Techbedrijf Microsoft leverde jarenlang technische ondersteuning aan het Amerikaanse ministerie van Defensie. Die ondersteuning kwam gedeeltelijk uit China. China geldt als de grootste cyberdreiging voor de Verenigde Staten. Onderzoeksjournalist Renee Dudley van ProPublica ontdekte deze praktijk in 2025. Haar onderzoek bracht aan het licht hoe Microsoft Chinese engineers liet meewerken aan gevoelige Pentagon-systemen. De onthulling zorgde voor grote onrust in Washington. Ze leidde bovendien tot een snelle beleidswijziging bij de Amerikaanse overheid. Het verhaal begon simpel. Dudley zag een online advertentie die niemand verder leek op te vallen. Die vondst bracht een omvangrijk systeem aan het licht. Microsoft werkt al jaren nauw samen met de Amerikaanse overheid. Het bedrijf levert clouddiensten aan tal van ministeries en instanties. Juist die vertrouwenspositie maakte de onthulling extra gevoelig. De zaak roept ook vragen op over andere grote leveranciers. Immers, veel techbedrijven werken met internationale supportteams. De onthulling raakt daarmee de kern van digitale soevereiniteit.
De constructie kreeg de naam “digital escorts”. Het systeem werkte met twee personen per melding. Eén persoon zat in China en loste het technische probleem echt op. Deze engineer schreef de code die het probleem verhielp. Daarna stuurde hij die code naar een Amerikaanse collega. Die Amerikaanse “escort” plakte de code simpelweg over in het systeem. Zo leek het alsof alleen Amerikanen met de gevoelige data werkten. De regel was namelijk duidelijk. Alleen Amerikaanse staatsburgers of permanente inwoners mogen gevoelige overheidsdata beheren. De praktijk omzeilde die regel op een slimme manier. De Amerikaanse escort begreep de technische inhoud vaak niet eens. Hij of zij voerde alleen uit wat de Chinese engineer had voorbereid. Op papier bleef alle uitvoering dus in Amerikaanse handen. In werkelijkheid loste een team in China het probleem op. Deze werkwijze bestond al geruime tijd voordat iemand het opmerkte. Het paste binnen een breder model van goedkope, wereldwijde technische ondersteuning. Zulke constructies schelen bedrijven veel geld op personeelskosten. Toch bleek de constructie in de praktijk een groot veiligheidsrisico. De letter van de regel bleef overeind, de geest ervan niet.
Dudley stuitte per toeval op de zaak. Ze zag eerst een advertentie voor digital escorts. Het werk betaalde tussen de 18 en 28 dollar per uur. Via LinkedIn vond ze mensen die op die advertentie hadden gereageerd. Zo kwam ze achter de werkwijze achter de schermen. Later zocht ze de term escort op bij het Amerikaanse octrooibureau. Daar vond ze patenten van Microsoft over digitale escorts. In die patenten stonden namen van huidige en voormalige Microsoft-medewerkers. Dit bevestigde dat het om een doelbewuste bedrijfsstrategie ging. Microsoft had het systeem dus zorgvuldig uitgedacht en zelfs laten patenteren. Dat maakte de zaak extra pijnlijk voor het bedrijf. Een octrooi bewijst immers dat een bedrijf zelf gelooft in een uitvinding. Het toont aan dat de werkwijze geen toevallige misstap was. De combinatie van een simpele vacature en een octrooizoektocht bleek verrassend krachtig. Zo ontstond met eenvoudige middelen een compleet beeld van de praktijk. Basaal speurwerk bleek uiteindelijk effectiever dan ingewikkelde onderzoeksmethodes.
Vervolgens onderzocht Dudley wat Microsoft de overheid had verteld. Ze bekeek de officiële documenten die Microsoft aan Defensie had gestuurd. Daarin ontbrak elke verwijzing naar buitenlandse engineers. China werd nergens genoemd. De overheid wist dus niet dat het werk deels in China gebeurde. Deze onwetendheid vormde de kern van het probleem. Het ministerie van Defensie had nooit ingestemd met een Chinese rol in gevoelige systemen. De regels rond gevoelige overheidsdata bestaan juist om buitenlandse inmenging te voorkomen. Door de constructie met digital escorts werden die regels feitelijk uitgehold. Niemand binnen de overheid kon dat controleren zonder extern onderzoek. Ambtenaren vertrouwden simpelweg op de toezeggingen van Microsoft. Dat vertrouwen bleek dus niet volledig terecht. Toezicht op techbedrijven blijkt lastig zonder gedetailleerde eigen kennis. Deze zaak onderstreept hoe belangrijk transparantie is bij overheidscontracten. Zonder journalistiek onderzoek was de praktijk waarschijnlijk nooit aan het licht gekomen. De verantwoordelijkheid lag uiteindelijk bij Microsoft zelf, niet bij de overheid.
ProPublica publiceerde het verhaal op een dinsdag. Het nieuws sloeg meteen in als een bom. Al op vrijdag reageerde Microsoft. Het bedrijf liet weten te stoppen met Chinese engineers voor Defensie-systemen. Die reactie kwam ongewoon snel voor een bedrijf van dit formaat. Het ministerie van Defensie ging nog een stap verder. Het opende een onderzoek naar mogelijke schade aan de nationale veiligheid. Onderzoekers moeten nu vaststellen of Chinese engineers gevoelige informatie hebben gezien. Ook wordt bekeken of zij systemen hebben kunnen beïnvloeden. Zulke vragen zijn niet eenvoudig te beantwoorden. Het gaat om jarenlange samenwerking met talloze support-meldingen. De snelle koerswijziging van Microsoft laat zien hoeveel druk er ontstond. Bedrijven reageren zelden zo snel op journalistiek onderzoek. Dat bevestigt hoe serieus Microsoft de dreigende schade inschatte. Ook politici in Washington volgden de zaak op de voet. Sommigen riepen op tot strengere wetgeving voor cloudcontracten.
De zaak laat zien hoe kwetsbaar grote clouddiensten kunnen zijn. Ook strikte regels bieden geen garantie tegen slimme omzeilingen. Een simpele truc met twee medewerkers hield jarenlang stand. Niemand bij de overheid merkte het probleem op. Pas door journalistiek onderzoek kwam de praktijk aan het licht. De zaak toont het belang van onafhankelijke controle op techbedrijven. Vooral bij overheidscontracten met grote gevolgen voor nationale veiligheid. Grote techbedrijven werken wereldwijd met personeel uit veel landen. Dat levert kostenvoordelen op maar ook risico’s voor veiligheid. Overheden moeten daarom strenger controleren wie toegang krijgt tot gevoelige systemen. Deze zaak zal ongetwijfeld leiden tot strengere regels voor cloudleveranciers. Andere Amerikaanse ministeries gebruiken vergelijkbare clouddiensten van grote techbedrijven. Zij zullen hun eigen contracten waarschijnlijk ook opnieuw bekijken. De zaak-Microsoft kan zo een keerpunt worden voor de hele sector. Onafhankelijke journalistiek bewijst hier haar waarde voor de nationale veiligheid. Uiteindelijk gaat het om vertrouwen tussen overheid en techbedrijf. Dat vertrouwen moet voortaan met bewijs worden onderbouwd, niet met beloftes.