Je kunt veerkracht niet aanbesteden
Over ketenweerbaarheid, gedeelde risico's en de illusie dat een contract de klus klaart
Op een vroege ochtend in de haven van Rotterdam valt een IT-systeem uit bij een terminaloperator. Geen aanval, geen sabotage - gewoon een storing. Binnen enkele uren staan transporten vast, raken planningen in de war en bellen inkoopmanagers bij bedrijven die drie schakels verderop in de keten zitten hun leveranciers. Leveranciers die zelf ook bellen. Naar hún leveranciers.
Niemand had hier contractueel voor getekend. Niemand had het in kaart gebracht. En toch: iedereen voelt het.
Dit is geen uitzonderlijk scenario. Het is de standaardsituatie. En toch blijven organisaties denken dat ze ketenweerbaarheid kunnen regelen met een goed opgesteld contract, een NDA en een jaarlijkse vragenlijst van honderd punten.
Spoiler: dat kunnen ze niet.
Van iedereen. En daarmee van niemand.
De econoom Garrett Hardin beschreef in 1968 de 'tragedy of the commons'1: een gedeelde weide waarop iedere boer zijn vee laat grazen. Individueel is het rationeel om zoveel mogelijk gebruik te maken van de gemeenschappelijke grond. Collectief leidt het tot uitputting. Niemand heeft er belang bij om als eerste te minderen - totdat er niets meer over is.
Ketenweerbaarheid werkt precies zo. Iedere organisatie heeft er belang bij dat de keten als geheel robuust is. Maar niet iedereen wil of kan daar evenveel voor betalen. De grote speler bovenaan de keten stelt eisen. De kleine toeleverancier onderaan moet ze invullen - met minder mensen, minder budget en minder volwassenheid.
Het gevolg is voorspelbaar: iedereen doet alsof een ander het regelt. Er worden rapporten geschreven, audits uitgevoerd en certificeringen behaald. De papieren werkelijkheid ziet er prima uit. De echte keten is zo fragiel als altijd.
Vertrouwen komt te voet
Er is ook een ander Nederlands verhaal: de waterschappen. Die zijn niet ontstaan uit idealisme of vrijwillige samenwerking. Ze zijn ontstaan omdat water zich niets aantrekt van eigendomsgrenzen - en omdat niemand het alleen kon tegenhouden. Op een gegeven moment werd het pijnlijk genoeg om gezamenlijk te besluiten: dit probleem is van ons allemaal, dus de oplossing ook.
Het verschil met de meent is cruciaal. Bij de meent is de rationele, individuele keuze om door te gaan - totdat de gezamenlijke weide kaal is. Bij het waterschap erkent iedereen: dit vraagt om gedeeld eigenaarschap - inclusief gedeelde governance, gedeelde kosten en gedeelde besluitvorming. Niet omdat het leuk is, maar omdat het water anders gewoon binnenkomt.
En wat het extra interessant maakt: de waterschappen beheren niet alleen veiligheid. Te veel water is een ramp, maar te weinig water is dat ook - de boer heeft de dijk nodig om droge voeten te houden, maar heeft ook het water nodig om zijn land vruchtbaar te houden. Veiligheid en economisch belang zijn onlosmakelijk verweven, precies zoals in een goed functionerende keten. Weerbaarheid is niet alleen een kostenpost om risico's te beperken; het is de voorwaarde voor continuïteit en groei.
Ketenweerbaarheid vraagt om datzelfde gedeelde eigenaarschap. Niet de bereidheid om een NDA te tekenen - dat is het minimum. Maar de bereidheid om samen te oefenen, kwetsbaarheden te delen en de telefoon op te nemen als het fout gaat. Vóór het fout gaat.
Een NDA regelt wat juridisch niet gedeeld mag worden. Het regelt níet of jouw contactpersoon bij de leverancier je om drie uur 's nachts belt als er iets misgaat. Dat hangt af van of er een relatie is. En relaties bouw je niet met een contract.
De aanbestedingsfuik
Hier ligt een groot deel van het probleem: inkoop en aanbesteding. De manier waarop organisaties leveranciers selecteren, stuurt het gedrag van die leveranciers volledig. En die sturing is op dit moment grotendeels verkeerd.
Als je een leverancier selecteert op laagste prijs en compliance-vinkjes, heb je de incentives al verkeerd ingericht. Een leverancier die de opdracht heeft binnengehaald op marge heeft geen ruimte om te investeren in jouw weerbaarheid. Die heeft nauwelijks ruimte om in de eigen weerbaarheid te investeren.
Erger nog: een boeteclausule voor downtime of een incident klinkt logisch, maar werkt averechts. De leverancier die weet dat melden wordt afgestraft, meldt niet. Die probeert het eerst zelf op te lossen. Stilletjes. Terwijl jij nog denkt dat alles in orde is.
Goede contracten zijn noodzakelijk. Maar wie denkt dat de handtekening het werk doet, heeft het werk nog nooit gedaan. Ze zijn een startpunt, geen eindpunt. De echte vraag is: welk gedrag lok je uit met de afspraken die je maakt? Stimuleert je contract transparantie, of het verdoezelen van problemen?
Groot en klein
Er is nog een complicerende factor die zelden eerlijk wordt benoemd: de enorme variatie in omvang en volwassenheid binnen een keten.
Een multinational kan een volwassen DORA-audit doorstaan. Een softwarebedrijf van twaalf mensen dat een kritiek onderdeel van jouw infrastructuur beheert, kan dat niet - en is ook niet van plan of in staat dat te leren voor de prijs die jij bereid bent te betalen.
Als je kleine leveranciers behandelt alsof ze grote zijn - met dezelfde eisen, dezelfde vragenlijsten, dezelfde tijdlijnen - krijg je twee uitkomsten. Óf ze haken af, waardoor jij afhankelijk wordt van partijen die wel aan de papierkant voldoen maar misschien minder goed zijn. Óf ze vullen de formulieren in en doen verder niets. Wat je krijgt is geen partner in weerbaarheid. Wat je krijgt is iemand die de audit doorkomt.
Volwassen ketenweerbaarheid houdt rekening met dit verschil. Kleine partijen hebben andere ondersteuning nodig. Niet andere eisen op papier, maar echte ondersteuning om aan diezelfde eisen te voldoen. Dat vraagt om een andere verhouding - meer samenwerking, minder inspectie.
Wat werkt dan wel?
Geen blauwdruk die voor iedere keten werkt. Maar er zijn een paar dingen die het verschil maken tussen een papieren oefening en echte weerbaarheid.
Begin met de 3-uur-'s-nachts-test. Bel je contactpersoon bij je drie belangrijkste leveranciers eens op. Misschien niet letterlijk midden in de nacht - maar stel jezelf de vraag: als er nú iets misging, zou die persoon jou bellen? Ken jij zijn of haar naam überhaupt? Als het antwoord nee is, heb je een relatieprobleem, geen complianceprobleem.
Betrek inkoop en security samen bij leveranciersselectie. Niet sequentieel - security vraagt een vragenlijst in, inkoop onderhandelt over de prijs. Maar tegelijkertijd. De vraag 'wat kopen we in?' en de vraag 'welk risico nemen we af?' zijn dezelfde vraag.
Beloon transparantie contractueel. Vervang of maak een aanvulling op de boeteclausule bij incidenten door een verplichting tot tijdige melding - en houd die twee gescheiden. Een leverancier die snel en eerlijk meldt, verdient een andere behandeling dan een leverancier die een incident verborgen houdt. Zorg dat je contract dat ook uitdrukt.
Oefen samen. Een gezamenlijke crisisoefening met twee of drie kritieke leveranciers levert meer op dan tien audits. Je ontdekt wie er écht opneemt, waar de communicatielijnen niet werken en welke aannames iedereen had gemaakt zonder ze ooit te toetsen.
Differentieer naar grootte en draag bij aan volwassenheid. Identificeer welke kleine leveranciers een kritieke positie hebben in jouw keten. Investeer in hun capaciteit - niet met meer eisen, maar met kennisdeling, gezamenlijke tooling of simpelweg tijd. Dat is geen liefdadigheid, dat is risicomanagement.
De waterschappen werden niet gebouwd op vertrouwen. Ze werden gebouwd op de gezamenlijke erkenning dat het water van niemand is en van iedereen tegelijk. Dat de dijk het niet kan schelen wiens land erachter ligt.
Ketenweerbaarheid vraagt om hetzelfde inzicht. Verantwoordelijkheid verdwijnt niet zodra er een contract ligt. Je kunt de relatie niet uitbesteden. En je kunt niet wachten tot het water al binnenloopt om te besluiten dat jullie eigenlijk samen verantwoordelijk waren.
De keten is zo sterk als het gesprek dat je er nooit over hebt gevoerd.
Dit artikel sluit aan bij een eerder stuk over digitale soevereiniteit en derde-partijafhankelijkheid (EN).
1. Tragedy of the Commons - Wikipedia
Foto door Bráulio jardim via Pexels