Overheden proberen al dertig jaar gevoelige digitale technologie te beheersen via exportcontrole. Bij encryptie lukte dat matig. Bij spyware lukte het beter, maar nog steeds niet goed genoeg. Nu staat een AI-cybersecuritymodel van Anthropic, genaamd Mythos, op de agenda. De vraag is of dit keer wél iets verandert, en wat dat betekent voor Nederlandse tech-bedrijven die internationaal leveren.
Drie decennia die weinig leerden
De geschiedenis van cyber-exportcontrole begint in de jaren negentig, toen de VS sterke encryptie behandelde als militaire technologie. Export ervan was verboden zonder vergunning. Dat regime stortte in onder commerciële druk en de opkomst van het internet. Code bleek niet te containen.
Daarna verschoof de aandacht naar spyware. Overheden wilden voorkomen dat bewakingssoftware zoals Pegasus terechtkwam bij autoritaire regimes die journalisten en activisten ermee volgden. De EU introduceerde een expliciete due-diligenceplicht voor exporteurs van cyber-surveillance-items, inclusief een verplichting om mensenrechtenrisico's te beoordelen. De Wassenaar-afspraken probeerden internationaal te coördineren.
Maar de academische en beleidsmatige evaluatie is eenduidig: cybertools zijn immaterieel, snel kopieerbaar en makkelijk te verplaatsen via resellers, partners of cloud-infrastructuur. Staten geven dezelfde begrippen een andere invulling. Internationale coördinatie versplintert. En de markt beweegt sneller dan de regelgeving.
Mythos is het nieuwste geval. Of exportcontrole op een AI-model houdbaar is, hangt af van hoe dat model verspreid wordt, wie er toegang toe heeft en via welke infrastructuur het draait. De historische les is dat zodra het gecontroleerde object verschuift van fysieke goederen naar software en modellen, handhaving navenant lastiger wordt.
Wat exportcontrole eigenlijk inhoudt
Voor Nederlandse bedrijven is de term 'exportcontrole' vaak abstract. In de praktijk gaat het om een concrete set verplichtingen.
Eerst is er productclassificatie. Valt jouw software, model of dienst onder de dual-use-verordening van de EU? Cyber-surveillance-items hebben een eigen regime. Als jouw product eronder valt, heb je in bepaalde gevallen een exportautorisatie nodig voordat je levert aan een klant buiten de EU.
Daarna is er klantenscreening. Wie is de eindgebruiker, en waarvoor gebruikt die jouw product? De EU-regels leggen een due-diligenceplicht op: exporteurs moeten beoordelen of er risico bestaat op mensenrechtenschendingen. Dat geldt ook als je via een reseller of partner levert.
Vervolgens zijn er contractuele verplichtingen. End-use-clausules, herexportbeperkingen, auditrechten. Kopers van gevoelige technologie moeten kunnen aantonen wat ze ermee doen en beloven het niet door te leveren aan partijen waaraan jij zelf niet zou mogen leveren.
Tot slot: documentatie. Bij een handhavingscheck of due diligence door een corporate klant moet je kunnen laten zien dat je dit serieus neemt. Zonder dossier sta je nergens.
Wat er misgaat als je het negeert
Niet-naleving leidt tot boetes, strafrechtelijke gevolgen en reputatieschade. Maar voor MKB-bedrijven zijn de operationele gevolgen minstens zo pijnlijk: leveringen die worden tegengehouden, contracten die mislopen op due diligence, internationale partnerships die onder druk komen. Een deal die vastzit op een exportvergunning terwijl de concurrent al levert, is commercieel verlies.
De ironie is dat exportcontrole door veel tech-bedrijven wordt behandeld als een juridisch niche-onderwerp, terwijl het in de praktijk een go-to-market-vraagstuk is. Een MKB-bedrijf dat software of AI-diensten levert aan klanten in de VS, het Midden-Oosten of Azië, loopt sneller risico dan het doorheeft. Zeker als er cybersecuritycomponenten, encryptie of surveillance-functionaliteit in het product zitten.
Waarom compliance nu een commercieel voordeel wordt
Hier zit een kans die veel bedrijven missen. Grote corporates en publieke opdrachtgevers stellen steeds vaker eisen aan export-compliance als onderdeel van hun leverancierskwalificatie. Een bedrijf dat aantoonbaar compliance-proof is, verkortt de sales-cycle en wint vertrouwen bij klanten die zelf onder toezicht staan.
Daarnaast groeit de vraag naar tooling en advisory. Screeningssoftware, classificatietools, audit-trails, licentiemanagement: bedrijven die hier vroeg in investeren, bouwen een dienst die aansluit op een structurele behoefte. De regelgeving wordt niet eenvoudiger, de markten worden niet kleiner en de druk vanuit Brussel neemt toe.
De strategische boodschap is helder. Exportcontrole gaat niet verdwijnen, ook al werkt het historisch gezien beperkt. Voor Nederlandse tech-bedrijven die internationaal groeien, is compliance niet langer een afterthought, maar onderdeel van hoe je schaalt.
Praktische checklist voor tech-MKB
Vier stappen om te starten:
1. Classificeer je product. Valt het onder de EU dual-use-verordening of het cyber-surveillance-regime? Raadpleeg de Europese Commissie-lijsten of een gespecialiseerde adviseur.
2. Screen je klanten. Wie is de eindgebruiker? In welk land? Voor welk doel? Leg dit vast in je sales-proces, niet alleen in je contracten.
3. Pas je contracten aan. Voeg end-use-verklaringen, herexportbeperkingen en auditrechten toe. Dit beschermt jou als iemand in jouw supply chain de fout ingaat.
4. Bouw een dossier. Documenteer classificatiebeslissingen, screeningsresultaten en vergunningaanvragen. Bij een controle of due diligence-vraag van een klant heb je direct bewijs.
De structurele spanning blijft
Exportcontrole op cybertools lost een legitiem probleem op: voorkomen dat gevoelige technologie bij verkeerde partijen terechtkomt. Maar de structurele spanning tussen beleidsdoelen en handhaafbaarheid verdwijnt niet. Code verspreidt zich snel. Modellen draaien in de cloud. Partners zitten verspreid over meerdere jurisdicties.
Voor Nederlandse MKB-bedrijven is de consequentie pragmatisch: wacht niet op de handhaving, maar bouw compliance in voordat je groeit. Bedrijven die dat nu doen, bouwen een proces dat internationale groei versnelt in plaats van remt.
