Antwoord schriftelijke vragen : Antwoord op vragen van de leden Kathmann en Six Dijkstra over ‘de groeiende afhankelijkheid van Amerikaanse techgiganten’

Antwoord van Staatssecretaris Van Marum (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Minister van Financiën en de Staatssecretarissen van Financiën (ontvangen
19 september 2025). Zie ook Aanhangsel Handelingen, vergaderjaar 2024–2025, nr. 2563.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud,
ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof
onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Antwoord 1

Ja.

Vraag 2

Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder
de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt?
Zo ja, kunt u dit besluit onderbouwen?

Antwoord 2

Rijksbreed

Het kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties
van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten
afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het rijksbreed cloudbeleid
2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie.
Zbo’s zijn niet verplicht het rijksbreed cloudbeleid te volgen, maar het wordt hen
wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s –
om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen
te nemen.

De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn
daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden
en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening
van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken
van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.

Ministerie van Financiën

DNB valt als zbo niet onder het rijksbrede of departementale cloudbeleid. DNB geeft
aan dat de risico's verbonden met de clouddiensten in een continu proces worden gemonitord
en dat op basis van een integrale risicoafweging passende maatregelen worden genomen.
Op basis van de huidige risicoafweging en businesscase ziet DNB voor de korte tot
middellange termijn geen noodzaak tot heroverweging. Wel onderzoekt DNB voor hoog-kritische
systemen exit/fallbackscenario's en back-up van data.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen
die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in
de cloud van Amerikaanse dienstverleners?

Antwoord 3

Rijksbreed

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik.
Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van
het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de
organisatie is die (cloud)dienst van wezenlijk belang.

Ministerie van Financiën

Het Ministerie van Financiën maakt in lijn met het huidige rijksbrede cloudbeleid
beperkt gebruik van clouddiensten, waarbij er sprake kan zijn van Amerikaanse aanbieders.
Dit ter ondersteuning van de bedrijfsvoeringsprocessen, en in beperkte gevallen als
onderdeel van het primaire proces van de uitvoering. Zo maakt de Douane gebruik van
Microsoft Azure ter ondersteuning van het keuzeproces binnen het toezicht op grensoverschrijdend
goederenverkeer, wat onderdeel is van het primaire proces. Voor alle toepassingen
geldt dat risico’s rond afhankelijkheden en gegevensbescherming zorgvuldig worden
meegewogen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten
van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties
onder uw gezag betreft?

Antwoord 4

Rijksbreed

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle
geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het
Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope
van het rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik
maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie
van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij
onder (materiële) cloudmigraties verstaan.

Voor dit overzicht verwijst het kabinet naar de Kamerbrief over geplande en voorgenomen
cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.

Ministerie van Financiën

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen4, is aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering
naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog
niet gestart. De applicaties binnen de primaire processen voor de heffing en inning
blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf
beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen
en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra
er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.

De Domeinen Roerende Zaken maakt per medio 2024 gebruik van Microsoft365. Deze stap
is gezet, nadat de benodigde compliantie op het gebied van informatiebeveiliging en
privacy was geborgd.

Na zorgvuldige heroverweging van risico’s, kosten en benefits gaat DNB door met de
reeds voorgenomen migraties naar clouddiensten. DNB voorziet op dit moment geen grootschalige
nieuwe migraties.

AFM heeft reeds een migratie gepland van Sharepoint naar Sharepoint online. Daarnaast
zijn er geen nieuwe migraties gepland.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de
processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties
onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden
worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke
merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving?
Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?

Antwoord 5

Rijksbreed

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats
voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als
EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid
nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het
kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen
ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud
verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.

Dit nemen wij momenteel mee in de herziening van het rijksbreed cloudbeleid, maar
ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid,
en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning
naar een soevereine overheidscloud als alternatief voor public clouddiensten.

Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor
het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid
van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.

Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst.
Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen
waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen
kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid.
Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio
dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.

Ministerie van Financiën

Het Ministerie van Financiën neemt, net als andere departementen, diverse ICT-producten
en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de
toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een
aantal processen en dienstverlening. Bij voorgenomen cloudmigraties wordt daarom een
exit-strategie opgesteld en een zorgvuldig besluitvormingstraject doorlopen. Elke
ICT-oplossing (of deze nu wordt ingekocht of intern ontwikkeld) brengt een zekere
mate van afhankelijkheid van leveranciers met zich mee. Ook bij on-premise oplossingen
geldt dat bij het wegvallen van bijvoorbeeld Microsoft- of Apple-ondersteuning, cruciale
functionaliteit kan uitvallen. Dit onderstreept dat het hier niet alleen een cloudvraagstuk
betreft, maar in de kern een licentie- en leveranciersafhankelijkheidsvraagstuk is.

Belastingdienst, Douane en Toeslagen onderzoeken verder hoe samenwerking met de markt
kan bijdragen aan een toekomstbestendige IT-inrichting. De domeinarchitectuur fungeert
hierbij als richtinggevend kader. Uitgangspunt is het benutten van marktstandaarden,
borging van kerncompetenties en heldere verantwoordelijkheidsverdeling. Dit draagt
bij aan een wendbare, betrouwbare en toekomstvaste informatievoorziening, passend
binnen de eisen en kaders van publieke dienstverlening.

DNB volgt, net als veel andere publieke en financiële instellingen in Europa, de ontwikkelingen
over dataopslag in de cloud op de voet en zal beleid indien nodig aanscherpen. DNB
onderzoekt binnen het Eurosysteem de mogelijkheden om de afhankelijkheid van Amerikaanse
IT-leveranciers te verkleinen en implementeert waar nodig oplossingen om de risico’s
te mitigeren.

Ook AFM geeft aan de ontwikkelingen uit de markt en vanuit de Rijksoverheid nauwgezet
te volgen. AFM geeft daarnaast aan dat haar cloudprovider eraan werkt om Europa juridisch
los te koppelen van Amerikaanse regelgeving. Indien nodig zal AFM haar beleid op basis
hiervan aanpassen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence
Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data
die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen
in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse
burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke
actor zou belanden?

Antwoord 6

Rijksbreed

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking
aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en
regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse
gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies
van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD
Act het risico klein is.5

Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data
tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent
het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud
verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht
aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of
heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643, nr. 1315] die hiertoe oproept?

Antwoord 7

Rijksbreed

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie
leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer
de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen
de EER plaatsvindt.

Zie verder vraag 2.

Ministerie van Financiën

Het Ministerie van Financiën handelt conform rijksbrede kaders en EU-wetgeving. Leveranciers
kunnen uitsluitend worden uitgesloten wanneer zij niet voldoen aan het bestek of als
er een juridische grondslag is. Banden met de Amerikaanse overheid vormen op zichzelf
geen uitsluitingsgrond onder de EU-aanbestedingsregels. Tegelijkertijd is de IT-afhankelijkheid
van Amerikaanse bedrijven groot. Onafhankelijkheid op korte termijn is dan ook niet
realistisch.

Risico’s kunnen worden beheerst via contractuele afspraken en een goed uitgewerkte
exit-strategie. Het onderhouden van werkbare relaties met Amerikaanse leveranciers
blijft daarbij essentieel.

Zie verder vraag 2.

Vraag 8

Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts
invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept
om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening
niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Antwoord 8

Ministerie van Financiën

Het Ministerie van Financiën onderschrijft het belang van continuïteit en weerbaarheid
in de digitale dienstverlening. Er wordt daarom, op basis van risicoafwegingen, rekening
gehouden met het effect op de continuïteit door eventuele strategische afhankelijkheid
van leveranciers ongeacht het land waar de leverancier is gevestigd. Zoals geschetst
in de Kamerbrief over uitvoering ontraden aangenomen moties debat migraties overheids-ICT
naar het buitenland van 7 april jl., vereist digitale soevereiniteit een evenwichtige
benadering waarbij samenwerking met strategische partners wordt gecombineerd met het
versterken van de Europese en nationale regie over digitale infrastructuur. Het Ministerie
van Financiën erkent daarnaast het belang van de ontwikkeling van een soevereine overheidscloud
als onderdeel van een breder pakket aan maatregelen binnen het huidige rijkscloudbeleid
en de IT-sourcingstrategie Rijk.

DNB en AFM hebben cloudbeleid opgesteld met eisen waar de systemen die worden gebruikt
aan moeten voldoen, onder meer op het gebied van privacy en informatiebeveiliging,
certificering en geldende Europese en Nederlandse wet- en regelgeving. Zo is er isolatie
van gegevens en gegevensverwerking, en moeten de gegevens binnen de EER gehost zijn.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement,
DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat
het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt
is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?

Antwoord 9

Zie vraag 5.

Vraag 10

Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig
te reageren op vragen 2, 4, 5, 6, 8 en 9?

Antwoord 10

Ministerie van Financiën

Ik, de Minister van Financiën, heb de AFM geraadpleegd voor de beantwoording van de
aan haar gerichte vragen. Hetzelfde geldt voor de vragen gericht aan DNB.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota
«Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?

Antwoord 11

De verzending heeft zo spoedig mogelijk plaatsgevonden.