Microsoft wilde voor 3 miljard dollar rekencapaciteit huren bij Oracle, maar trok zich terug toen Oracle de geëiste beveiligingscertificering niet kon of wilde leveren. Een directe les voor elke inkoper.
Zelfs de grootste techbedrijven laten een contract van miljarden lopen als de beveiliging niet klopt. Microsoft was in gesprek om voor ongeveer 3 miljard dollar AI-rekencapaciteit te huren bij Oracle, een deal die de schaarse cloudcapaciteit moest aanvullen waar de hele sector om vecht. Toch ketste die af, en de reden is leerzaam voor iedereen die software of clouddiensten inkoopt: het ging niet over de prijs, maar over compliance.
Eén beveiligingseis liet de deal klappen
Microsoft stelde als voorwaarde dat de gehuurde capaciteit moest voldoen aan FedRAMP, het Amerikaanse federale beveiligingsraamwerk dat verplicht is voor clouddiensten die overheidsdata verwerken. Oracles publieke cloud had die specifieke certificering niet op orde. Het alsnog inbouwen ervan zou volgens de berichtgeving een complexe en bewerkelijke engineering-operatie zijn geweest, en daar wilde of kon Oracle niet aan beginnen. Microsoft trok daarop de stekker uit de onderhandelingen.
De kern is dus simpel: de leverancier kon de beveiligingsstandaard die de klant nodig had niet garanderen, en zonder die garantie ging de hele deal niet door. Geen korting, geen tussenoplossing, geen belofte om het later wel te regelen. De compliance-eis was hard.
Oracle spreekt het tegen
Oracle bestrijdt de lezing. Een woordvoerder noemde de details in de berichtgeving onjuist en benadrukte dat Microsoft zowel partner als klant blijft, met lopende samenwerking op meerdere fronten. Dat klopt ook: het gezamenlijke Oracle Database@Azure draait door en breidt uit naar 33 regio's wereldwijd. De afgeketste huurdeal staat los van die bestaande relatie.
De markt reageerde nuchter maar duidelijk. Het aandeel Microsoft zakte ongeveer 2% en Oracle iets meer, terwijl Microsoft dit boekjaar zo'n 190 miljard dollar aan investeringen begroot, grotendeels in eigen datacenters. Het bedrijf bouwt dus liever zelf verder dan capaciteit te huren die niet aan zijn eisen voldoet.
Wat dit voor jou betekent
Het bedrag is groot en de spelers zijn reuzen, maar het principe is precies hetzelfde voor een MKB-bedrijf of een afdeling van een grotere organisatie. Stel aan elke clouddienst of SaaS-leverancier dezelfde beveiligings- en compliance-eisen die je intern, of die je toezichthouder, ook hanteert. Werk je met persoonsgegevens onder de AVG, val je onder NIS2 of onder sectorregels, dan is de vraag niet of een leverancier indrukwekkend is, maar of hij aantoonbaar voldoet aan wat jij moet kunnen aantonen.
Leg die eisen vooraf vast en maak ze keihard. Vraag om certificeringen op papier, om een verwerkersovereenkomst die klopt, en om duidelijkheid over waar je data staat. Een leverancier die een vereiste certificering niet wil of kan leveren, is een risico, hoe groot of goedkoop hij ook is. En wie zich niet wil vastleggen op één partij, houdt grip door eigenaar te blijven van zijn eigen software in plaats van vast te zitten in vendor lock-in, en weegt per onderdeel of zelf bouwen of inkopen het verstandigst is.
Dat Microsoft 3 miljard dollar laat lopen om een beveiligingseis is geen detail uit de bovenwereld van hyperscalers. Het is de bevestiging van een nuchtere regel die voor elk bedrijf geldt: compliance is geen formaliteit die je achteraf afvinkt, maar een voorwaarde die bepaalt met wie je überhaupt in zee gaat. Wie dat omdraait en eerst tekent, betaalt de rekening later.
