Inbreng verslag schriftelijk overleg : Inbreng verslag van een schriftelijk overleg over het Rapport ‘Van Kwetsbaar naar weerbaar. Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede ICT-dienstverlening bij overheidsorganisaties.' (Kamerstuk 29362-388)

Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om
enkele vragen en opmerkingen voor te leggen aan de Minister van Binnenlandse Zaken
en Koninkrijksrelaties over de brief d.d. 12 september 2025 «Rapport Van Kwetsbaar
naar weerbaar». Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede
ICT-dienstverlening bij overheidsorganisaties» (Kamerstuk 29 362-388).

De fungerend voorzitter van de commissie,

Kathmann

Adjunct-griffier van de commissie,

Muller

Inhoudsopgave

I

Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de D66-fractie

Vragen en opmerkingen van de leden van de VVD-fractie

Vragen en opmerkingen van de leden van de GL-PvdA-fractie

Vragen en opmerkingen van de leden van de CDA-fractie

Vragen en opmerkingen van de leden van de BBB-fractie

II

Antwoord/reactie van de bewindspersoon

I Vragen en opmerkingen vanuit de fracties

Vragen en opmerkingen van de leden van de D66-fractie

De leden van de D66-fractie hebben met interesse kennisgenomen van het rapport «Van
kwetsbaar naar weerbaar», waarin een herkenbaar beeld wordt geschetst van een overheid
die in toenemende mate afhankelijk van een beperkt aantal ICT-leveranciers.

Deze leden lezen dat er geen eenduidige overheidsbrede definities of afwegingskaders
van wat kritieke, cruciale of vitale ICT-dienstverlening is, waardoor onduidelijk
is welke kaders wel of niet van toepassing zijn. Zij vragen hoe de Minister beoordeelt
dat er geen eenduidige definities bestaan van «kritieke», «vitale» of «cruciale» ICT-dienstverlening,
waardoor organisaties zelf bepalen of ze extra maatregelen moeten nemen. Is de Minister
bereid om een kader te introduceren dat bepaalt welke ICT-diensten onder welke normen,
toezicht en verplichtingen vallen?

De leden van de D66-fractie merken op dat er rijksbreed onvoldoende gemonitord wordt
bij afgesloten contracten bij kritieke of vitale ICT-diensten en bijbehorende leveranciers.
Deze leden vragen hoe de Minister verklaart dat er niet centraal wordt gemonitord
op continuïteits- en concentratierisico’s en wat hij hieraan gaat doen.

Zij lezen in de brief van de Minister (Kamerstuk 39 362, nr. 388) dat individuele overheidsorganisaties onvoldoende benodigde ICT-kennis hebben. Ook
staat in de brief dat ICT-uitbestedingen op een te laag niveau in de organisaties
uitgevoerd wordt. De verantwoordelijkheid, kennis en bewustzijn over ICT, beheer en
risico’s in de gedigitaliseerde overheidsorganisaties zijn nog onvoldoende aanwezig
op alle managementniveaus. De leden van de D66-fractie vragen hoe de Minister dit
verklaart en welke stappen er worden gezet om strategische ICT-kennis waar nodig ICT-risico-expertise
structureel op te bouwen binnen management en bestuur. Hoe verklaart de Minister dat
organisaties wel operationele ICT-risico’s monitoren, maar vrijwel geen strategische
risico’s zoals leveranciersfalen, concentratie of langdurige uitval?

Deze leden steunen de voorgenomen prioriteiten van de Minister, maar vragen af of
het voldoende is. Zij vragen welke scenario’s zijn uitgewerkt voor langdurige dienstonderbrekingen
door sancties, ketenuitval of buitenlandse overnames van ICT-leveranciers. Ook vragen
de leden van de D66-fractie hoe de Minister de nakoming van toegepaste kaders, risicomanagement
en effectiviteit van mitigerende maatregelen voor digitale weerbaarheid van overheidsprocessen
gaat toetsen.

Vragen en opmerkingen van de leden van de VVD-fractie

De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het rapport
«Van kwetsbaar naar weerbaar. Geleerde lessen uit dreigende acute en langdurige uitval
van uitbestede ICT-dienstverlening bij overheidsorganisaties», alsmede van de kabinetsreactie
op dat rapport. Graag willen deze leden daarover een paar vragen stellen. Allereerst
onderschrijven zij dat overheden weerbaar moeten zijn tegen langdurige uitval van
ICT-diensten. Dat is in het belang van burgers.

In de onderhavige brief wordt de kernboodschap uit het hierboven genoemde rapport
weergegeven. Daarin wordt een relatie gelegd tussen het op orde krijgen van de digitale
weerbaarheid van overheidsorganisaties in de juiste verhouding ten opzichte van het
realiseren van nieuw beleid. De leden van de VVD-fractie vragen hoe het kabinet dat
ziet. Wat betekent dat in de praktijk? Wat betekent dat voor het verbeteren van de
digitale weerbaarheid? Wat betekent dat voor het realiseren van nieuw beleid?

Er wordt geconstateerd dat ICT-uitbestedingen op een te laag niveau in de organisaties
worden uitgevoerd, alsmede dat er sprake is van afwezigheid van benodigde kennis binnen
de organisatie. Wat wordt er gedaan om ervoor te zorgen dat ICT-uitbestedingen ook
de aandacht van de hogere niveaus in de organisatie hebben en dat de benodigde kennis
wel aanwezig is? Graag krijgen deze leden een reactie van de Minister.

In het rapport staan diverse aanbevelingen. De Minister geeft prioriteit aan een aantal
activiteiten. Deze acties worden nader uitgewerkt onder meer door het opstellen van
plannen van aanpak en business cases. Kan worden aangegeven wat daarbij de tijdsplanning
is? Wanneer zullen de acties naar verwachting nader zijn uitgewerkt? Wanneer zouden
de acties daadwerkelijk uitgevoerd kunnen worden? Van enige urgentie kan toch wel
worden gesproken. In hoeverre wordt de Kamer geïnformeerd over de uitgewerkte acties?
Een apart aspect dat hierbij aan de orde is, is de financiering van dit alles. Kan
de Minister daar al enig inzicht in geven? In hoeverre wordt daarbij een onderscheid
gemaakt tussen de acties die prioriteit hebben en de overige acties? Of is er straks
sprake van een totaal financieel plaatje? Graag krijgen zij een reactie van de Minister.

Vragen en opmerkingen van de leden van de GL-PvdA-fractie

De leden van de GroenLinks-PvdA-fractie hebben het rapport en de bijbehorende Kamerbrief
gelezen. Deze leden spreken hun waardering uit voor het gedegen onderzoek en hopen
op een daadkrachtige opvolging van de aanbevelingen. Ten eerste zullen deze leden
ingaan op het rapport zelf, vervolgens gaan zij in op de reactie van het (demissionaire)
kabinet. De leden van de Groenlinks-PvdA-fractie hopen de beantwoording tijdig voor
het commissiedebat Digitaliserende overheid te ontvangen zodat deze bij dit debat
betrokken kan worden.

Deze leden herkennen de risico’s voor de continuïteit van overheids-ICT, die niet
voldoende worden afgedekt door bestaand beleid en lopende contracten. Hiertoe zijn
specifieke casussen onderzocht.1 Zij vragen de Minister of hij op de hoogte is welke voorbeelden dit zijn en of de
specifieke tekortkomingen inmiddels zijn verholpen. Voor de Tweede Kamer is dit inzicht
onbevredigend: hoewel wordt geconstateerd dat bestaande kaders niet worden nageleefd,
is het oncontroleerbaar voor de volksvertegenwoordiging. De leden van de GroenLinks-PvdA-fractie
wijzen erop dat in toenemende mate de digitalisering van de overheid samenhangt met
politieke besluiten, zoals het wel of niet uitbesteden van processen aan marktpartijen
en het wel of niet migreren naar clouddiensten. Doordat de kaders die er wél zijn
structureel niet worden nageleefd, ontstaan er grote risico’s voor de continuïteit
van dienstverlening aan burgers en wordt Nederland kwetsbaar voor geopolitieke druk
van niet-Europese mogendheden. Deze leden roepen het kabinet op om niet alleen uitvoering
te geven aan de aanbevelingen van het rapport, maar ook expliciet de Kamer te betrekken
in de uitvoering daarvan en de politieke sturing op digitalisering beter te borgen.

Zij herkennen de risico’s rondom het inkoop- en aanbestedingsbeleid. Te lang hebben
overheden en uitvoerders ICT ingekocht alsof het kantoorspullen zijn. Daardoor heeft
kostenefficiëntie zwaarder gewogen dan veiligheid en autonomie. Door de gefragmenteerde
manier waarop inkoop telkens individueel plaatsvindt, verliest men zicht op de structurele
risico’s die ontstaan als delen van de overheid hun digitale kerntaken uitbesteden
aan niet-Europese techgiganten. De leden van de GroenLinks-PvdA-fractie benadrukken
dat het noodzakelijk is om het inkoop- en aanbestedingsbeleid voor ICT van de overheid
op de schop te doen. Eén manier om dit te doen is in het herziene cloudbeleid, waar
ook al het hele jaar naar verwezen wordt maar nog niks van is gedeeld met de Kamer.
Kan de Minister toelichten welke toezeggingen en aangenomen Kamermoties er verwerkt
worden in dit herziene cloudbeleid? Erkent het kabinet dat het uitblijven van het
herziene cloudbeleid ook betekent dat keuzes nog worden gebaseerd op beleid dat, zoals
in het rapport te lezen is, niet genoeg doet om risico’s voor afhankelijkheden weg
te nemen?

Deze leden vragen aandacht voor de gelaagdheid van digitale afhankelijkheden. Uiteraard
is het van belang dat eigendom van ICT-leveranciers binnen de Europese Unie ligt,
zodat de leveranciers uitsluitend onder Europese of Nederlandse wetgeving vallen.
Echter zijn er ook veel Nederlands-Europese leveranciers die in hun diensten wél gebruik
maken van platforms en componenten van niet-Europese leveranciers. Hiermee kunnen
in cruciale onderdelen van Europese ICT-leveranciers alsnog afhankelijkheden ontstaan
van enkele techgiganten, en bestaan er zorgwekkende risico’s op weglek van data naar
derde landen. Wat gaat het kabinet doen om ook deze afhankelijkheden te verminderen?
Wanneer komt het kabinet tot een heldere definitie van «autonomie» en «soevereiniteit»
die afhankelijkheden in alle lagen van de technologie ondervangt?

De leden van de GroenLinks-PvdA-fractie stellen dat een integraal inzicht in het ICT-landschap,
de afgesloten contracten en de uitgaven aan digitalisering door de hele overheid,
randvoorwaarden zijn voor het beter beheersen van de kwetsbaarheden in het digitale
domein. De fragmentatie van ICT is één van de grootste problemen waardoor digitale
ongelukken nu gebeuren en er onvoldoende oog is voor de problematische afhankelijkheden.
Hoe is de Minister van plan om het inzicht in de overheids-ICT structureel te verbeteren?

Deze leden zijn zeer bezorgd dat er geen strategische risicoanalyses plaatsvinden
voor het uitbesteden van ICT binnen overheidsorganisaties. Aan te veel bestuurstafels
is het risico op langdurige uitval en geopolitieke instabiliteit niet voor mogelijk
geacht. Nu het tegendeel steeds waarschijnlijker blijkt, is het nodig dat overheidsorganisaties
snel kunnen handelen om die risico’s wel te analyseren en weg te nemen. Hoe gaat de
Minister, vooruitlopend op herziening van beleid, organisaties aandringen en in staat
stellen om alle noodzakelijke maatregelen te nemen om onafhankelijker te worden van
een handjevol techgiganten?

Zij wijzen op de noodzaak om contracten met ICT-dienstverleners zo in te richten,
dat de dienstverlening van de overheid veilig en onafhankelijk blijkt. Recentelijk
is de overheid overvallen door situaties als de voorgenomen overname van Solvinity,
het cloudbedrijf dat diensten levert voor DigiD en ministeries, of de overname van
Zivver, leverancier van data-uitwisselingsdiensten voor overheden, beide door Amerikaanse
bedrijven. De leden van de GroenLinks-PvdA-fractie vinden het van uiterst belang dat
in lopende contracten bepalingen worden opgenomen om overnames door niet-Europese
bedrijven tegen te gaan, zodat contracten beëindigd kunnen worden als dit het geval
is. Kan het kabinet aangeven hoeveel lopende contracten wel of niet beschikken over
een dergelijke bepaling? Is de Minister bereid tot een brede verkenning van lopende
contracten met ICT-leveranciers om te achterhalen in hoeveel gevallen contracten wél
beschikken over zulke bepalingen?

Deze leden waarderen dat de overheid de conclusies van het rapport deelt en deze serieus
neemt. Echter blijft de actie die nodig is om de risico’s die voortkomen uit de totale
afhankelijkheid van enkele techgiganten te bestrijden, uit. Daarom vragen zij aan
de Minister om de activiteiten die hij «prioriteit geeft» duidelijker toe te lichten.
Volgens de leden van de GroenLinks-PvdA-fractie zijn ze nog te weinig concreet. Kan
de Minister voor elk van de actiepunten uiteenzetten welke concrete acties hij hiertoe
uitvoert, inclusief een tijdsplanning en – waar relevant – een inschatting van de
benodigde kosten? Welke rol heeft de Minister in elk van de activiteiten, en welke
andere overheden of bestuurders zijn nodig om de acties te laten slagen?

De leden van de GroenLinks-PvdA-fractie kijken uit naar het op te stellen Plan om de weerbaarheid van de Nederlandse overheid ten aanzien van ICT-dienstverlening
te vergroten. Kan de bewindspersoon aangeven wanneer hij deze verwacht op te stellen en met de
Kamer te delen? Is het nemen van aanvullende maatregelen om toezichthouders en adviescolleges
die toezien op digitalisering een onderdeel van dit plan?

Tot slot stellen deze leden dat een nieuwe visie op digitalisering binnen de overheid
noodzakelijk is. Het staande beleid heeft geleid tot een situatie waarin kerntaken
van de digitale overheid zijn weggegeven, uitbesteed en afhankelijk zijn gemaakt van
niet-Europese techgiganten. De risico’s hiervan zijn misschien niet meteen voelbaar,
maar levensgroot. Daarom stellen de leden dat, in beginsel, het digitaal functioneren
van Nederland in publieke handen dient te zijn zodat wij zelf de baas zijn over de
digitale infrastructuur. Hoe kijkt het kabinet naar deze gedachte in het licht van
de toenemende dreigingen voor de digitale infrastructuur van Nederland en Europa?
Welke delen van de overheid zouden in eigen beheer moeten worden ondergebracht, en
welke delen zouden marktpartijen op zich kunnen nemen? Denkt het kabinet dat de veiligheid
en autonomie van de overheids-ICT te waarborgen is als de overheid in de huidige mate
afhankelijk blijft van marktpartijen en hun economische belangen?

Vragen en opmerkingen van de leden van de CDA-fractie

De leden van de CDA-fractie hebben kennisgenomen van de brief van de Minister van
Binnenlandse Zaken en Koninkrijksrelaties over het rapport «Van kwetsbaar naar weerbaar».
Deze leden maken graag van de gelegenheid gebruik om enkele vragen te stellen aan
het kabinet hierover.

Zij vragen allereerst aan het kabinet welke maatregelen zij gaat nemen om niet alleen
de weerbaarheid van de eigen digitale diensten te versterken, maar ook welke maatregelen
zij gaat nemen om de digitale weerbaarheid van de burgers te vergroten.

De leden van de CDA-fractie lezen verder dat de weerbaarheid van overheden tekortschiet
als grote ICT-incidenten niet binnen korte tijd worden opgelost. Welke concrete maatregelen
gaat nemen om dit probleem aan te pakken? Volgen er bijvoorbeeld risico-analyses in
het kader van cyberaanvallen, aanpassingen van inkoopbeleid om minder afhankelijk
te zijn van enkele aanbieders en uitgebreide testen van nieuwe IT-programma’s?

Deze leden lezen dat er sprake is van onvoldoende kennisdeling op zowel nationaal
als internationaal niveau. Kan het kabinet aangeven wat de reden hiervoor is en op
welke manier Nederland meer kan samenwerken met Europese lidstaten om gezamenlijk
op te trekken de digitale weerbaarheid te vergroten? Daarnaast vragen zij hoe kennisuitwisseling
tussen ministeries rondom digitale weerbaarheid nu georganiseerd is op nationaal niveau.
Welke verbeteringen ziet het kabinet daar? Kan centralisatie van kennis binnen de
Rijksoverheid, in lijn met het rapport, hierin een groot verschil maken?

De leden van de CDA-fractie lezen dat het rapport aansluit bij de bestaande Nationale
Veiligheidsstrategie over het vergroten van de digitale weerbaarheid van Nederland.
Op welke punten is het rapport vernieuwend ten opzichte van de al bestaande strategie?
Deze leden vragen ook of de aanbevelingen uit het onderhavige rapport parallel worden
opgepakt met de Nationale Veiligheidsstrategie, of dat er sprake is van samenhang.

Zij lezen dat het kabinet prioriteit geeft aan onder andere het opzetten van een Center
of Excellence, als motor voor de uitvoering van activiteiten en voor bundeling en
bijeenbrengen van, kennis en kunde ter ondersteuning en facilitering van overheidsorganisaties.
Op welke manier gaat het kabinet ervoor zorgen dat de mogelijkheden tot kennis- en
informatiedeling voldoende geborgd is? Deze leden vragen ook of met dit Center ook
geborgd is dat overheidsorganisaties van elkaar kunnen leren.

Zij lezen verder dat ook prioriteit wordt gegeven aan het ontwikkelen van overheidsbrede
terugvalfaciliteiten voor noodsituaties, maar dat de daadwerkelijke uitvoering alleen
mogelijk is met forse investeringen. Kan het kabinet inmiddels al inzichtelijk maken
hoe groot die benodigde investeringen mogelijk gaan zijn, bij voorkeur uitgesplitst
naar type investeringen? En heeft het kabinet ook een beeld van hoeveel bespaard kan
worden als er sterkere IT-systemen zijn waar minder projectmatige budgetoverschrijdingen
mee gemoeid zijn?

De leden van de CDA-fractie lezen dat het kabinet streeft naar verbetering van al
lopende ontwikkelingen. Welke ontwikkelingen betreffen dit? Is het kabinet bereid
om daarbij ook scholen en bibliotheken te betrekken zodat (in het kader van burgerschapsonderwijs)
jongeren ook bereikt, geïnformeerd en bewust worden gemaakt van hoe zij weerbaarder
kunnen worden? Zo ja, welke extra inspanningen kan de Kamer hierop verwachten op korte
termijn?

Deze leden zijn ook benieuwd naar de mogelijkheden om buurtcrisisteams in de samenleving
te organiseren die bijvoorbeeld één keer per jaar een oefenscenario in de praktijk
brengen, zoals in de vorm van een survivalchallenge. Kan het kabinet toezeggen om
met gemeenten in gesprek te gaan of hier eerste ervaringen mee kan worden opgedaan?

Vragen en opmerkingen van de leden van de BBB-fractie

De leden van de BBB-fractie hebben met grote urgentie kennisgenomen van het rapport
«Van kwetsbaar naar weerbaar» van ABDTOPConsult. Deze leden constateren dat cruciale
overheidsprocessen, zoals uitkeringen en de rechtsgang, recent ernstig in gevaar zijn
geweest door het dreigende faillissement van een grote ICT-leverancier. Zij hebben
naar aanleiding hiervan de volgende vragen.

De leden van de BBB-fractie vragen allereerst of de Minister van BZK de conclusie
uit het rapport deelt dat er sprake is van een situatie van «vijf over twaalf» ten
aanzien van de digitale weerbaarheid van de overheid. Herkent de Minister verder het
beeld dat de overheid te afhankelijk is geworden van externe ICT-leveranciers en daardoor
kwetsbaar is voor maatschappij-ontwrichtende scenario’s?

Deze leden vragen de Minister hoe hij de constatering beoordeelt dat bij overheden
nog steeds onvoldoende sprake is van zowel eenduidige definities van kritieke ICT-dienstverlening
als structurele terugvalopties zoals «step-in-rechten» en «escrow-regelingen». Kan
de Minister tevens aangeven welke concrete verbeteringen hierin sinds het verschijnen
van het rapport al zijn doorgevoerd?

Hoe borgt de Minister dat de zogeheten «lauwe fase» (dreigende crisis) bestuurlijk
wordt vastgehouden en niet opnieuw leidt tot een situatie van «back to normal», terwijl
de structurele risico’s blijven bestaan? Wordt hiervoor een rijksbreed crisis- en
weerbaarheidsregime ingericht met vaste verantwoordingsmomenten?

Deelt de Minister de opvatting van de leden van de BBB-fractie dat digitale weerbaarheid
geen beleidswens is, maar een kerntaak van de overheid? Onderschrijft de Minister
dat de aanbevelingen uit het rapport alleen uitvoerbaar zijn met een substantieel
en structureel budget?

Deze leden vragen waarom in de Kamerbrief (Kamerstuk 39 362, nr. 388) en bijbehorende beslisnota ervoor is gekozen om de financiering van de noodzakelijke
rijksfaciliteiten (zoals dataopslag en fallback-voorzieningen) pas in een later stadium
aan de orde te stellen. Acht de Minister het verder verantwoord om bij een zo hoog maatschappelijk risico te wachten op separate businesscases
voordat structurele financiering wordt geregeld?

Zij vragen aan de Minister of kan worden aangegeven welk budget reeds is gereserveerd
voor overheidsbrede terugvalfaciliteiten, een mogelijk nationaal ICT-weerbaarheids-
en competence center, en het verminderen van technische schuld binnen rijks-ICT. Is
de Minister bereid om benodigde middelen vrij te maken door herprioritering van onbestede
middelen en vertragingsgelden die binnen andere begrotingsartikelen vrijkomen, zoals:
onderbesteding op Bewaken en Beveiligen, meevallers bij Opsporing en Vervolging, onderuitputting
bij Toevoegingen Rechtsbijstand, verminderde aanbestedingen bij BZK zelf? Zo nee,
waarom niet, gezien de directe relatie tussen digitale weerbaarheid en nationale veiligheid?
Kan de Minister als laatste inzichtelijk maken welk bedrag in 2025 via herschikking
daadwerkelijk beschikbaar kan worden gemaakt voor digitale weerbaarheid?

II Antwoord/reactie van de bewindspersoon