Stel je voor: je hebt een logistiek bedrijf verspreid over drie distributiecentra in Nederland, België en Duitsland. Op een dinsdagochtend logt je salarisadministrateur in om de maandelijkse payroll goed te keuren. Het scherm gaat op zwart. Dan verschijnt een korte melding: Service suspended due to compliance with Executive Order 14922.”
Binnen een uur staat de organisatie in brand. Salarissen kunnen niet worden uitbetaald, want de salarisadministratie draait op de Amerikaanse software ADP. Personeelsdossiers zijn onbereikbaar: niemand weet wie er vandaag ziek is, wie er op verlof is of wat de noodnummers zijn. De werken-bij-pagina ligt eruit en alle sollicitatiedata zijn verdwenen, want recruitment loopt via Workday. De weekplanning voor de drie distributiecentra? Onbereikbaar, want die staat in Microsoft 365.
Wat blijkt? De Amerikaanse overheid heeft, onder het mom van nationale veiligheid, Amerikaanse techbedrijven bevolen om diensten aan specifieke Europese sectoren op te schorten. Jouw HR-systeem is van de ene op de andere dag veranderd in een geopolitiek drukmiddel.
Lees ook: Made-in-Holland-sticker als antwoord op importheffingen Trump: gaan we deze producten kopen?
Waarom de locatie van je server er niet toe doet
Dit klinkt als fictie, maar de wetgeving bestaat al jaren. De CLOUD Act geeft sinds 2018 Amerikaanse autoriteiten het recht om data op te vragen bij elk Amerikaans bedrijf, ongeacht waar die data staan. Combineer dat met FISA 702 en een president die graag per decreet regeert, en je begrijpt het gevaar.
Dat levert twee risico’s op. Ten eerste: Amerikaanse inlichtingendiensten kunnen bij je personeelsdata zonder dat jij het weet. Salarissen, BSN-nummers, beoordelingen, gezondheidsgegevens uit je verzuimsysteem. Ten tweede: met een presidentieel decreet kan jou de toegang worden ontzegd. Je data zijn er nog wel, maar jij kunt er niet meer bij. Geen hack, geen storing. Gewoon een politiek besluit.
Welke systemen lopen risico?
Pak je softwarelijst erbij en volg de eigendomsstructuur tot aan de top. Eindigt die in de VS? Dan heb je een probleem. De voor de hand liggende systemen ken je: Workday voor HR, Oracle HCM voor je personeelsdata, ADP voor salarisverwerking, Cornerstone voor learning & development. Maar denk ook aan de tools die minder opvallen: Microsoft Viva en LinkedIn voor talentdata, Qualtrics of SurveyMonkey voor je medewerkerstevredenheidsonderzoek, Slack en Zoom voor al je interne communicatie.
En let op: zelfs als je gebruikmaakt van Europese software zoals SAP of Unit4, ben je er nog niet. Draait die applicatie op AWS, Microsoft Azure of Google Cloud? Dan valt de infrastructuur alsnog onder de CLOUD Act. Je keten is zo sterk als de zwakste schakel.
Drie stappen om je risico te verkleinen
Wachten tot de toegang wordt ontzegd, is helaas echt geen optie. Dit vraagt nu om actie.
1. Audit je leveranciers en ken je keten
Breng in kaart welke software je gebruikt en wie de eigenaar is. Niet waar de server staat, maar waar het hoofdkantoor zit en wie de aandeelhouders zijn. Volg de keten tot aan de top. ADP? Hoofdkantoor in Roseland, New Jersey. Oracle? Austin, Texas. Microsoft? Redmond, Washington. Zelfs als je contracteert met de Nederlandse vestiging en je data in de Eemshaven staan: juridisch gezien is het Amerikaans grondgebied.
En kijk niet alleen naar je core HR-systeem, maar ook naar de infrastructuur eronder. Draait je Europese software op AWS, Azure of Google Cloud? Dan valt het alsnog onder Amerikaanse jurisdictie.
2. Splits je data slim op
Leg niet al je eieren in één Amerikaans mandje. Sla je meest kritieke data, denk aan BSN-nummers, salarisstroken en contracten, op bij een leverancier die juridisch volledig Europees is. Geen Amerikaanse aandeelhouders met zeggenschap. Wil je wel Amerikaanse AI-tools gebruiken voor talent analytics? Doe dat dan alleen met geanonimiseerde datasets.
3. Regel je digitale nooduitgang
Heb je een plan B? Leg contractueel vast dat je te allen tijde, in een open formaat zoals CSV of XML, je volledige database kunt downloaden. En test dit ook daadwerkelijk. Als de digitale muur wordt opgetrokken, moet jij je data aan deze kant van de oceaan hebben.
Van Human Resources naar Human Risk Management
Hoe vervelend ook, deze crisis dwingt ons tot een correctie die al jaren geleden had moeten plaatsvinden: minder blind vertrouwen op Silicon Valley. Europese HR-tech maakt een inhaalslag. Nederlandse, Duitse en Franse alternatieven groeien hard en zijn niet onderworpen aan Amerikaanse wetgeving.
De keuze voor je software is allang geen puur technische beslissing meer. Het gaat over de soevereiniteit van je organisatie. Trump mag dan ver weg in Washington zitten. Via je HR-systeem zit hij dichterbij dan je denkt.
Lees ook: Loonkosten stijgen tot wel 6 procent: ‘Wie er niet op anticipeert, komt over drie jaar in de knel’
