Antwoord schriftelijke vragen : Antwoord op vragen van de leden Kathmann en Six Dijkstra over hoe het demissionaire kabinet omgaat met de keuze voor mailcommunicatie in eigen beheer

Antwoord van Staatssecretaris Van Marum (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Minister van Justitie en Veiligheid (ontvangen 22 september 2025).

Vraag 1

Bent u bekend met het bericht «Demissionair de cloud in denderen: doe het niet»?1

Antwoord 1

Ja.

Vraag 2

Wat geeft de Rijksoverheid in totaal uit aan Microsoft-producten?2

Antwoord 2

In het notaoverleg «Wolken aan de horizon» d.d. 2 juni jl. is reeds toegezegd aan
de Tweede Kamer een overzicht te bieden van de gecontracteerde hoeveelheid aanbestedingen
die uiteindelijk door de ministeries via SLM Rijk goedgekeurd zijn. Dit onderzoek
loopt.

Vraag 3

Wanneer moeten alle departementen en overheidsorganisaties uiterlijk besluiten of
zij wel of niet hun mailverkeer en gegevens in eigen beheer gaan nemen als de ondersteuning
van Microsoft Exchange afloopt op 14 oktober 2025?

Antwoord 3

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken
rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse
en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen
mandateringsregelingen.

Hoewel de technische ondersteuning van bepaalde versies van Exchange stopt op 14 oktober
2025, heeft de leverancier al een nieuwere on-premise versie gelanceerd die wel ondersteund
wordt.3

Feitelijk is de situatie dat alleen voor Microsoft Exchange 2016 en Microsoft Exchange
2019 vanaf 14 oktober 2025 geen support of beveiligingsupdates meer geleverd worden.

Ook zonder de door de leverancier aanbevolen upgrade door te voeren, zal de maildienst
niet per 14 oktober ophouden met functioneren en gaat de maildienst ook niet automatisch
uit eigen beheer. Voor blijvend betrouwbaar functioneren van de maildienst is een
upgrade door Microsoft beschikbaar gesteld. Deze is bekend bij de dienstverleners
van de Rijksoverheid.

Vraag 4

Heeft de demissionaire status van het kabinet gevolgen voor besluitvorming van departementen
over het wel of niet in beheer nemen van mailverkeer en gegevens?

Antwoord 4

Lopend beleid mag ten tijde van een demissionair kabinet worden uitgevoerd. Er zijn
op dit moment bovendien geen zaken op digitaal terrein controversieel verklaard.

Vraag 5

Welke departementen en organisaties zijn nu van plan om mailverkeer en gegevens in
eigen beheer te nemen, welke hebben besloten dit niet te doen en welke moeten het
besluit nog nemen?

Antwoord 5

Ten behoeve van de beantwoording van deze vraag is een uitvraag bij de grootste ICT-dienstverleners
van de Rijksoverheid gedaan. Voor alle departementen geldt dat beheer van mailverkeer
en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaatsvindt,
behoudens de Ministeries van Economische Zaken (EZ), Landbouw, Visserij, Voedselzekerheid
en Natuur (LVVN) en Klimaat en Groene Groei (KGG), waar -ook na 14 oktober- sprake
is van een hybride situatie.

Ook bij een groot aantal uitvoeringsorganisaties als DUO, Rijkswaterstaat en Dienst
Justitiële Inrichtingen vindt beheer van mailverkeer en gegevens nu en na 14 oktober
volledig binnen een eigen on-premise omgeving plaats. Dit geldt ook voor de Belastingdienst,
Toeslagen en de Douane. Wel heeft de Belastingdienst in het Jaarplan 2025, dat uw
Kamer op 11 december 2024 heeft ontvangen, aangegeven dat de Belastingdienst voornemens
is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie
van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire
processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving,
op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente
(geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig
besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover
worden geïnformeerd.

Vraag 6 en 7

Kunt u, in het licht van de recente sancties richting het Internationaal Strafhof,
aangeven of mailverkeer en gegevens binnen de justitiële keten in Nederland vanaf
14 oktober 2025 in eigen beheer blijven?4

Wat zijn de politie, het Openbaar Ministerie, de Raad voor de Rechtspraak en de Hoge
Raad van plan te doen vanaf 14 oktober 2025? Worden deze organisaties eveneens kwetsbaar
voor Amerikaanse sancties?

Antwoord 6 en 7

Het kabinet is zich ervan bewust dat afhankelijkheid van een klein aantal techaanbieders
voor digitale diensten zorgt voor risico's op het vlak van o.a. concurrentiepositie,
digitale open strategische autonomie en continuïteit van dienstverlening. Om deze
risico’s te mitigeren wordt in het kader van onder meer de vernieuwing van het cloudbeleid
voor de (rijks)overheid gekeken naar mogelijkheden om cloudtechnologie op verantwoorde
wijze in te zetten.

Ook binnen de Justitiële keten bestaat aandacht voor deze risico’s en maken organisaties
in overleg met hun ICT-leverancier passende keuzes om deze te mitigeren. Zo wordt
bij de Hoge Raad de email verzonden, ontvangen en opgeslagen op servers die in eigen
beheer zijn en verbiedt het cloudbeleid van de rechtspraak het gebruik van de cloud
voor primaire processystemen. Voor de bedrijfsvoering maakt de Rechtspraak gebruik
van Microsoft Exchange Online.

De Amerikaanse sancties tegen het Internationaal Strafhof zijn een specifieke maatregel
voor een specifieke situatie en hebben geen inhoudelijke koppeling met onze nationale
ICT-infrastructuur.

Vraag 8

Kunt u bevestigen dat het Shared Service Center ICT (SSC-ICT) de migratie van 57.000
werkplekken van ambtenaren naar de Microsoft-cloud definitief niet doorzet en mailverkeer
en gegevens zelf blijft beheren?

Antwoord 8

U bent per Kamerbrief reeds geïnformeerd over de geplande en voorgenomen cloudmigraties
van overheids-ICT naar het buitenland, waaronder de migratie van de werkplekken van
SSC-ICT.5

Vraag 9

Bent u bereid om, in lijn met de vele aangenomen Kamermoties die de digitale soevereiniteit
van de overheid aanjagen, ervoor te zorgen dat alle departementen en overheidsorganisaties
het goede voorbeeld van SSC-ICT volgen en gegevens in eigen beheer houden?

Antwoord 9

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken
rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse
en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen
mandateringsregelingen.

Vraag 10

Kunt u toezeggen dat u en uw collega’s geen onomkeerbare stappen zullen zetten die
de digitale afhankelijkheid van de Verenigde Staten (VS) doen toenemen, tenzij de
Kamer anders besluit?

Antwoord 10

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats
voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als
EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd moeten we als EU
zelf meer verantwoordelijkheid nemen en ook eensgezind optrekken waar het onze kernbelangen
betreft. Ik ben het wel met u eens dat een te grote afhankelijkheid van één of een
enkele marktpartij(en) ongewenst is. In de afweging welke data we in eigen beheer
dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties
worden meegewogen.

Dit nemen wij momenteel mee in de aanscherping van het rijksbreed cloudbeleid, maar
ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid,
en in de IT-sourcingstrategie Rijk. Ook zet ik mij deze kabinetsperiode in voor het
realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor
het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid
van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.

Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst.
Het is van belang om op case-by-case basis zorgvuldige afwegingen te maken, om te
bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig
voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid.
Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio
dit jaar verwachte Visie digitale autonomie en soevereiniteit Overheid.

Vraag 11

Bent u bereid om departementen en organisaties te helpen om mailverkeer en gegevens
in eigen beheer te houden vanaf 14 oktober 2025, zodat de strategische afhankelijkheid
van de VS niet groeit?

Antwoord 11

Zie de beantwoording van vraag 10. Voor het overgrote deel van de departementen en
organisaties geldt dat zij dit al in eigen beheer hebben. De afweging om dit wel of
niet zo te houden, is een departementale verantwoordelijkheid. De departementen nemen
hierover besluiten binnen hun eigen mandateringsregelingen. CIO Rijk faciliteert het
uitvoeren van goede risicoanalyses met beleid en handreikingen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en minstens één week voor het zomerreces
beantwoorden?

Antwoord 12

De Kamervragen zijn zo spoedig mogelijk beantwoord.