Antwoord schriftelijke vragen : Antwoord op vragen van de leden Kathmann en Six Dijkstra over ‘de groeiende afhankelijkheid van Amerikaanse techgiganten’

Antwoord van Staatssecretaris Van Marum (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Staatssecretaris van Justitie en Veiligheid en de Minister van Asiel
en Migratie (ontvangen 19 september 2025). Zie ook Aanhangsel Handelingen, vergaderjaar
2024–2025, nr. 2562.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud,
ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het
feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot
Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Antwoord 1

Ja.

Vraag 2

Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst
(IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere
overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen?
Zo ja, kunt u dit besluit onderbouwen?

Antwoord 2

Rijksbreed

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties
van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten
afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid
2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie.
Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen
wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s –
om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen
te nemen.

De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn
daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden
en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening
van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken
van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen
die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in
de cloud van Amerikaanse dienstverleners?

Antwoord 3

Rijksbreed

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik.
Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van
het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de
organisatie is die (cloud)dienst van wezenlijk belang.

Ministerie van Justitie en Veiligheid

Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse
dienstverleners.

Het Ministerie van Justitie en Veiligheid maakt voor de digitale werkplek gebruik
van Microsoft 365-diensten. Deze worden niet in de online (cloud) variant afgenomen,
maar als lokaal geïnstalleerde applicaties op de desktop (bij managed laptops) of
als centrale applicaties via het OverheidsDataCenter (ODC) bij Citrix-werkplekken.
Bestanden die in deze applicaties worden gemaakt, worden opgeslagen op de lokale schijf
en/of op het ODC. Deze diensten worden conform de rijksbrede kaders ingezet, met een
inrichting die specifiek is afgestemd op de beveiligings- en privacy vereisten van
het Ministerie van JenV. Microsoft Teams wordt enkel gebruikt voor videoconferencing
en chat.

Alle gebruikte digitale voorzieningen worden voortdurend gemonitord en waar nodig
aangepast op basis van actuele dreigingen en technologische ontwikkelingen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten
van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het
CJIB en andere overheidsorganisaties onder uw gezag betreft?

Antwoord 4

Rijksbreed

Ten behoeve van de Kamerbrief van 22 november 20242 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle
geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.3 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten
de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel
gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor
de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling
over wat zij onder (materiële) cloudmigraties verstaan.

Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen
cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.

Ministerie van Justitie en Veiligheid

Momenteel loopt de vernieuwing van de oude werkplekvoorzieningen van o.a. DJI, IND
en CJIB naar een toekomstige moderne werkplek voorziening. Hierin wordt het gebruik
van MS365 inclusief de online producten als Teams-online onderzocht en worden de opties
tussen on-premise en cloudvoorzieningen vergeleken.

Het Ministerie van JenV participeert tevens in het interdepartementale programma Beter
Samenwerken (BSW) waarin het beoogde gebruik van MS Teams in de werkomgeving wordt
heroverwogen.

De herziening van het rijksbreed cloudbeleid geeft aanleiding tot het te zijner tijd,
conform Rijksbeleid, aanscherpen en aanpassen van het departementale cloudbeleid.
In de tussentijd heeft het Ministerie van JenV een aanvullende tijdelijke Bestuurlijke
Beleidslijn Cloud voor het Ministerie van Justitie en Veiligheid en Ministerie van
Asiel en Migratie vastgesteld, waarin voorgenomen migraties moeten worden heroverwogen.
Deze tijdelijke beleidslijn is van kracht zolang het nieuwe Rijks cloudbeleid nog
niet is vastgesteld.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de
processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het
CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse
digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande
en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse
burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd
worden?

Antwoord 5

Rijksbreed

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats
voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als
EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid
nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het
kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen
ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud
verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.

Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar
ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid,
en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning
naar een soevereine overheidscloud als alternatief voor public clouddiensten.

Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor
het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid
van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.

Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst.
Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen
waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen
kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid.
Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio
dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.

Ministerie van Justitie en Veiligheid

De genoemde risico’s kunnen gemitigeerd worden door verschillende acties te ondernemen.
Zo kan via Strategisch Leveranciersmanagement Rijk (SLM Rijk) de contractuele afspraken
met de Amerikaanse leveranciers worden aangescherpt. Daarnaast is SLM Rijk voornemens
een contractueel framework voor Europese alternatieven te realiseren; momenteel loopt
er een Data Protection Impact Assessment (DPIA) op de clouddiensten van Stackit, een
Duitse cloudprovider.

Een te grote afhankelijkheid van één of een enkele marktpartij is ongewenst. In de
afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten
risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence
Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data
die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder
uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het
gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen
in handen van een statelijke actor zou belanden?

Antwoord 6

Rijksbreed

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking
aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en
regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse
gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies
van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD
Act het risico klein is.4

Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data
tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent
het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud
verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht
aan besteed.

Ministerie van Justitie en Veiligheid

SLM Rijk voert met regelmatig DPIA’s uit op de diensten van Microsoft, Google Cloud
en AWS en heeft daarbij ook specifiek gekeken naar internationale doorgifte van persoonsgegevens
(er is een zogeheten Data Transfer Impact Assessment (DTIA) uitgevoerd). Hierbij is
rekening gehouden met de mogelijkheid dat gegevens toegankelijk zijn voor de Amerikaanse
overheid op basis van met de AVG conflicterende Amerikaanse wetgeving.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of
heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Antwoord 7

Rijksbreed

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie
leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer
de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen
de EER plaatsvindt.

Zie verder vraag 2 en 4.

Vraag 8

Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties
onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.5 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening
niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Antwoord 8

Ministerie van Justitie en Veiligheid

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het
herziening van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie
en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Momenteel worden
mogelijkheden verkent die als alternatief kunnen worden ingezet om de continuïteit
niet enkel afhankelijk te laten zijn van partijen uit de VS.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement,
de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder
zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en
/ of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder
uw gezag genomen wordt?

Antwoord 9

Ministerie van Justitie en Veiligheid

Het Ministerie van JenV en AenM zijn op dit moment bezig met een heroverweging, zie
antwoorden op vraag 2, 4 en 8.

Het bevorderen van de strategische autonomie van Nederland en / of Europa staat vol
op het netvlies. Het is in deze fase echter niet haalbaar en mogelijk om op korte
termijn te realiseren. Ook zal het gepaard gaan met aanzienlijke kosten en realisatie
inspanningen.

Om die reden zal afhankelijkheid van Amerikaanse Techgiganten vooralsnog blijven bestaan.

Vraag 10

Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij
bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Antwoord 10

Ik heb uw verzoek doorgeleid naar de Autoriteit Persoonsgegevens.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota
«Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Antwoord 11

De verzending heeft zo spoedig mogelijk plaatsgevonden.