Antwoord schriftelijke vragen : Antwoord op vragen van de leden Kathmann en Six Dijkstra over de groeiende afhankelijkheid van Amerikaanse techgiganten

Antwoord van Staatssecretaris Van Marum (Binnenlandse Zaken en Koninkrijksrelaties),
mede namens de Minister van Volksgezondheid, Welzijn en Sport (ontvangen 19 september
2025). Zie ook Aanhangsel Handelingen, vergaderjaar 2024–2025, nr. 2557.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud,
ondanks zorgen in de Tweede Kamer»? Bent u tevens bekend met het feit dat de hoofdaanklager
van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd
op laste van de Amerikaanse regering?1

Antwoord 1

Ja.

Vraag 2

Kunt u bevestigen dat het RIVM, die BNR met zestien andere overheidsorganisaties onder
de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners
niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Antwoord 2

Rijksbreed

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties
van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten
afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid
2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie.
Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen
wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s –
om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen
te nemen.

De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn
daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden
en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening
van het Rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken
van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.

Ministerie van Volksgezondheid, Welzijn en Sport Ik kan bevestigen dat het RIVM de overstap naar clouddiensten van Amerikaanse dienstverleners
heroverweegt. Ik ben het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties
van groot belang zijn. Het Rijk en daarmee VWS, inclusief het agentschap RIVM, is
zich terdege bewust van de ontwikkelingen rondom cloud en heroverweegt ook eerder
genomen besluiten. Zo heeft het RIVM in 2025 een reeds voorgenomen omvangrijke cloudmigratie
niet doorgezet. Er zijn geen nieuwe cloudmigraties gepland, het RIVM wacht op het
nieuwe Rijksbrede cloudbeleid dat op dit moment wordt opgesteld. Bij reeds eerder
in gang gezet te cloudmigraties is het huidige geldende Rijksbrede cloudbeleid gevolgd.

NZa

De NZa heeft een terugkeer naar de situatie voor de overstap naar Amerikaanse clouddiensten
niet in overweging. De NZa is nu in de afrondende fase van een cloudmigratieproject.
Er is voorafgaand en tijdens de overstap aandachtig gekeken naar de risico's, op gebied
van informatiebeveiliging en privacy. Aanvullend is er advies gevraagd aan de CISO
Rijk. Uit de risico-inventarisaties is gebleken dat er geen hoge restrisico's aanwezig
waren. Wijzigingen in een vernieuwd Rijksbreed cloudbeleid zal de NZa uiteraard verwerken
in hun strategie.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen
die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in
de cloud van Amerikaanse dienstverleners?

Antwoord 3

Rijksbreed

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik.
Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van
het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de
organisatie is die (cloud)dienst van wezenlijk belang.

Ministerie van Volksgezondheid, Welzijn en Sport

De concernorganisaties van het Ministerie van VWS zijn verdeeld tussen organisaties
die afhankelijk zijn van (interne) shared service centers, zoals SSC-ICT, en organisaties
die afhankelijk zijn van public cloud leveranciers. Wanneer een shared service center
wordt gebruikt voor werkplekdiensten, kantoorautomatiseringssoftware en communicatiediensten,
dan zijn zij niet direct afhankelijk van Amerikaanse dienstverleners. Deze diensten
berusten namelijk niet op public cloud. De andere groep organisaties is hier wel afhankelijk
van en zij gebruiken diverse public cloud diensten. Zij nemen deze diensten af onder
voorwaarden van Strategisch Leveranciersmanagement Rijk (SLM-Rijk) en de data opslag
en verwerking vindt plaats binnen de Europese Economische Ruimte (EER).

Vanuit het CIBG en DUS-I kan ik melden dat er geen processen, registers en/of knooppunten
zijn ondergebracht in de public cloud doordat zij zowel SSC-ICT gebruiken als ook
Nederlandse service providers. Diverse processen worden ondersteund door applicaties
met een directe afhankelijkheid van public cloud leveranciers. Dit betreft onder andere
processen die klantcontact ondersteunen, publicatie van informatie, bedrijfsvoering,
geldstromen en de uitvoering van diverse regelingen. Reeds gerealiseerde cloudmigraties
zijn hierdoor in lijn met het huidige geldende Rijksbrede cloudbeleid.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten
van Amerikaanse dienstverleners, daar waar het uw departement, het RIVM en andere
overheidsorganisaties onder uw gezag betreft?

Antwoord 4

Rijksbreed

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle
geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het
Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope
van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik
maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie
van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij
onder (materiële) cloudmigraties verstaan.

Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen
cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.

Ministerie van Volksgezondheid, Welzijn en Sport

De VWS organisaties zijn te verdelen in organisaties die geen voorgenomen migratie
naar public cloud diensten hebben gepland en organisaties die al enige migraties hebben
uitgevoerd. De migraties naar public cloud ondersteunen het primaire proces met diverse
tooling. Tevens zijn er migraties in heroverweging door recente ontwikkelingen op
dit thema. Alle heroverwegingen worden gedaan in afstemming met de VWS CIO Office
Concern.

NZa

De NZa is de cloudmigratie aan het afronden. Er is daarnaast een voorgenomen migratie
van het klantbeheersysteem via een aanbestedingsprocedure. De NZa zal hierbij het
geldende Rijkscloudbeleid volgen.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de
processen, dienstverlening en dataopslag binnen uw departement, het RIVM en andere
overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale
dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen
migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor
de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Antwoord 5

Rijksbreed

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats
voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als
EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid
nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het
kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen
ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud
verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.

Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar
ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid,
en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning
naar een soevereine overheidscloud als alternatief voor public clouddiensten.

Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor
het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid
van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.

Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst.
Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen
waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen
kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid.
Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio
dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.

Ministerie van Volksgezondheid, Welzijn en Sport

Indien de toegang tot Amerikaanse digitale dienstverlening wordt ontzegd, zal dit
leiden tot een brede variatie aan verstoringen. Systemen die niet afhankelijk zijn
van de public cloud zullen ongehinderd door draaien. Organisaties die voor hun werkplekken
afhankelijk zijn van public cloud zullen directe impact ervaren op toegang tot hun
werkplekken, e-mail en overige communicatiediensten. Ook deze risico's zijn beschouwd:
om de continuïteit van de organisatie te kunnen waarborgen zijn er al plannen ontwikkeld
om over te kunnen gaan op alternatieve middelen.

De Inspectie Gezondheidszorg en Jeugd (IGJ) ontvangt (verplichte) meldingen, Europese
meldingen en overige meldingen. Wanneer de meldingen niet meer worden ontvangen of
hier geen toegang meer toe is, kan dit consequenties hebben voor de kwaliteit van
het toezicht.

Organisaties die afhankelijk zijn van public cloud diensten zullen in alle gevallen
een directe impact ervaren in dat deel van een proces. Afhankelijk van de rol in dit
proces zal dit in meer of mindere mate significante gevolgen hebben voor de interne
organisatie en wellicht merkbaar zijn voor burgers en maatschappij. Hier is dus geen
eenduidig antwoord op te geven. Binnen het Ministerie van VWS wordt er continu onderzoek
gedaan naar de impact op de continuïteit van onze dienstverlening.

NZa

Voorafgaand aan de transitie naar de cloud zijn alle waarborgen en mitigerende maatregelen
op basis van de toen geldende risico's, doorgevoerd. Daarmee is de NZa voorbereid
op veel denkbare scenario's.

Het ontzeggen van de toegang tot Amerikaanse digitale dienstverlening zou het meest
extreme scenario zijn. Dan liggen op de korte termijn vrijwel alle toezichten reguleringswerkzaamheden
van de NZa stil.

De werkomgeving zit volledig in de cloud, dus mailen, overleggen of gezamenlijk werken
in bestanden is dan niet mogelijk. De NZa kan dan kortom niet aan wet- en regelgeving
voldoen en zal een hernieuwde I-strategie uitzetten op basis van het vernieuwde Rijksbrede
cloudbeleid.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence
Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data
die uw departement, het RIVM en andere overheidsorganisaties onder uw gezag hebben
opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor
Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een
statelijke actor zou belanden?

Antwoord 6

Rijksbreed

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking
aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en
regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse
gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies
van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD
Act het risico klein is.

Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data
tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent
het huidige cloudbeleid al diverse regels omtrent de typen data die in de public cloud
verwerkt mogen worden. In de herziening van het cloudbeleid wordt ook hier aandacht
aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of
heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Antwoord 7

Rijksbreed

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie
leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer
de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen
de EER plaatsvindt.

Zie verder vraag 2.

Ministerie van Volksgezondheid, Welzijn en Sport

Er zijn bij de meeste organisaties geen nieuwe migraties gestart, noch stopgezet.
Bij nieuwe contracten wordt vanaf heden ook naar de geopolitieke situatie gekeken,
zodat bij toekomstige aanbestedingen de afhankelijkheid van technologie leveranciers
een grotere rol kan spelen in de beoordelingscriteria conform het Rijkscloudbeleid.

Vraag 8

Hoe geven uw departement, het RIVM en andere overheidsorganisaties onder uw gezag
voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643–1320) die
oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening
niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Antwoord 8

Ministerie van Volksgezondheid, Welzijn en Sport

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement,
het RIVM en andere overheidsorganisaties onder uw gezag niet verder zal toenemen,
en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het
uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen
wordt?

Antwoord 9

Zie vraag 5

Ministerie van Volksgezondheid, Welzijn en Sport

Digitale autonomie en soevereiniteit zijn belangrijke thema’s voor VWS door onze rol
in de maatschappij via mijn meldpunten, registers en diensten. De geopolitieke veranderingen
hebben er voor gezorgd dat de risico’s op gebied van beschikbaarheid en continuïteit
goed in beeld worden gehouden en we ondersteunen de ontwikkeling van het nieuwe Rijksbrede
cloudbeleid.

NZa

Het Rijksbrede cloudbeleid is voor de NZa het uitgangspunt. Daarnaast maakt de NZa
proactief en zorgvuldig afwegingen over de veiligheid van data en functionaliteit
van hun IT-oplossingen.

Vraag 10

Kunt u de Nederlandse Zorgautoriteit (NZa), als onafhankelijke autoriteit, vragen
of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

De antwooAntwoord 10

Ministerie van Volksgezondheid, Welzijn en Sport

rden van de NZa zijn verwerkt bij de relevante vragen.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota
«Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Antwoord 11

De verzending heeft zo spoedig mogelijk plaatsgevonden.