[overzicht] [activiteiten] [ongeplande activiteiten] [besluiten] [commissies] [geschenken] [kamerleden] [kamerstukdossiers] [🧑mijn] [open vragen]
[toezeggingen] [stemmingen] [verslagen] [🔍 uitgebreid zoeken] [wat is dit?]

Lijst van vragen en antwoorden over de initiatiefnota ‘Wolken aan de horizon’ (Kamerstuk 36 574, nr. 2)

Initiatiefnota van de leden Six Dijkstra en Kathmann over “Wolken aan de horizon”

Lijst van vragen en antwoorden

Nummer: 2025D12878, datum: 2025-03-25, bijgewerkt: 2025-03-27 15:04, versie: 3 (versie 1, versie 2)

Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-36574-4).

Gerelateerde personen:

Onderdeel van kamerstukdossier 36574 -4 Initiatiefnota van de leden Six Dijkstra en Kathmann over “Wolken aan de horizon”.

Onderdeel van zaak 2025Z05587:

Preview document (🔗 origineel)

Tweede Kamer der Staten-Generaal 2
Vergaderjaar 2024-2025

36 574 Initiatiefnota van de leden Six Dijkstra en Kathmann over «Wolken aan de horizon»

Nr. 4 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 25 maart 2025

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de initiatiefnemers over over de initiatiefnota van 18 juni 2024 inzake «Wolken aan de horizon» (Kamerstuk 36 574, nr. 2).

De initiatiefnemers hebben deze vragen beantwoord bij brief van 25 maart 2025. Vragen en antwoorden zijn hierna afgedrukt.

De voorzitter van de commissie,
Kathmann

Adjunct-griffier van de commissie,
Muller

Vragen en antwoorden

1

Bij de bronvermelding staan een aantal interessante namen, maar hebben de initiatiefnemers ook met Chief Information Officers (CIO’s) of Raden van Bestuur (RvB’s) van overheidsorganisaties gesproken zoals, maar niet beperkt tot, het Uitvoeringsinstituut Werknemersverzekeringen (UWV), de Belastingdienst, of de Dienst Uitvoering Onderwijs (DUO), dewelke met grote IT-uitdagingen te kampen hebben en clouddiensten afnemen?

Antwoord

De initiatiefnemers hebben voor het schrijven van de nota geen CIO’s of Raden van Bestuur van uitvoeringsinstanties geraadpleegd. Naar aanleiding van de initiatiefnota is wel een ambtelijk gesprek gevoerd met onder andere CIO Rijk, die een coördinerende functie heeft op onder andere het Rijksbreed cloudbeleid. Er was ook een delegatie van het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken aanwezig. De initiatiefnemers zijn ten tijde van de beantwoording een overleg met de drie genoemde uitvoerders aan het beleggen. Indien het lukt dit tijdig plaats te laten vinden, zullen zij de uitkomsten bij het notaoverleg terugkoppelen.

2

Kunnen de initiatiefnemers een beeld schetsen hoe voorkomen wordt dat Nederlandse en Europese softwareontwikkelaars die leveren aan de publieke sector en daarnaast gebruikmaken van de infrastructuur van hyperscale cloudproviders tussen wal en schip raken?

Antwoord

De ambitie om het aandeel Nederlands-Europese cloudoplossingen bij de Rijksoverheid te vergroten, betekent niet dat clouddiensten van hyperscalers per definitie worden uitgesloten. Datzelfde geldt voor Nederlandse en Europese softwareontwikkelaars die (deels) gebruik maken van hun infrastructuur. De initiatiefnemers erkennen dat het tijd vergt om de toegang tot het Rijk te vergroten en het aanbod van de sector op de vraag aan te sluiten. In het inkoopbeleid zal daarom de voorkeur uitgaan naar leveranciers die hun volledige dienst in eigen beheer hebben, zodat het Rijk maximaal bijdraagt aan kennisopbouw van de binnenlandse cloudsector op het gebied van zowel infrastructuur als software als zij deze dienst afneemt. Dit geldt in ieder geval voor kritieke processen, waaronder in ieder geval (vertrouwelijke) communicatie binnen het Rijk en de opslag van persoonsgegevens. Het vergroten van de strategische autonomie is en blijft het uitgangspunt. Als volledig eigen beheer niet mogelijk blijkt, wordt er met voorrang gekeken naar diensten die een zo groot mogelijk aandeel van hun dienst in Nederland of Europa beleggen.

3

Hebben de initiatiefnemers het risico van bedrijfsovernames en «joint-ventures» onderzocht, aangezien kleinere partijen kunnen opgaan in grotere partijen en grotere partijen weer overgenomen kunnen worden door derde partijen (en een lokale partij dus geen garantie is)?

Antwoord

De initiatiefnemers pleiten in hun nota voor een eerlijkere markt en een overheid die in haar (inkoop)beleid aanstuurt op meer digitale autonomie. Het uitgangspunt «Nederlands waar het kan, Europees waar het moet» wordt een voorwaarde bij inkoop en aanbestedingen en werkt in het voordeel van Nederlandse en Europese cloudaanbieders. Een overname door een niet-Europees bedrijf, zoals een Amerikaanse hyperscaler, zou de facto een «killer acquisition» zijn en leiden tot contractbreuk, omdat deze is afgesloten onder de voorwaarde dat het bedrijf gevestigd is in Nederlands of Europa en onderhevig is aan nationale wetgeving. In contracten moet worden afgesproken dat tussentijdse overname is uitgesloten of tenminste aanleiding is om het contract te herevalueren. Als lancerende klant heeft de overheid de positie om deze voorwaarde te stellen.

4

Zijn er op dit moment redelijke Europese alternatieven voor de wens om een Europese cloudinfrastructuur te bouwen? Zo nee, wanneer zijn deze te verwachten?

Antwoord

Als overkoepelend Europees project is GAIA-X het duidelijkste voorbeeld, maar in de ogen van initiatiefnemers is het onwaarschijnlijk dat dit initiatief voldoende tegenwicht zal kunnen bieden tegen de marktmacht van de Amerikaanse hyperscalers. De uiteindelijke uitkomst van het project GAIA-X is niet een Europese clouddienst, maar standaardisatieproject.1 Bovendien is zelfs een Amerikaanse hyperscaler als Amazon Web Services aangesloten op het initiatief.2 Initiatiefnemers betwijfelen daarom of GAIA-X effect sorteert op het gebied van een autonome Europese cloud. Dat laat onverlet dat er wel alternatieven bestaan. Daarbij is onder andere te denken aan Nextcloud – een Duits open source cloudplatform dat recentelijk in gebruik is genomen door vijf Nederlandse universiteiten in samenwerking met SURF.3 Dit is een veelbelovende ontwikkeling die, mits succesvol, laat zien dat Europese cloudaanbieders wel degelijk in staat zijn om kwaliteitsproducten te leveren. De inzet van deze nota is dan ook om op Nederlands niveau stappen te zetten en tevens bij te dragen aan de Europese samenwerking.

5

Wat is voor de initiatiefnemers de voornaamste reden waarom er gekozen is voor Microsoft voor onze cloudinfrastructuur?

Antwoord

In de bijlage van de Kamerbrief Rijksbreed cloudbeleid 2022 staat de geschiedenis van het kabinetsbeleid en de beweegredenen voor de massale overstap naar big tech-bedrijven als Microsoft beschreven.4 Hoewel de initiatiefnemers niet kunnen oordelen over de individuele keuze van organisaties om dit beleid op te volgen, hebben zij na het voeren van veel gesprekken met de sector, overheidsfunctionarissen en uitvoerders een eigen analyse gemaakt.

In algemene zin kan je spreken van een aaneenschakeling aan decentrale keuzes die gemaakt zijn op basis van gemak en kostenplaatjes, maar die bij elkaar opgeteld leiden tot een risicovolle nationale afhankelijkheid van big tech. Deze beweging is gefaciliteerd door als Rijk jarenlang innig samen te werken met Microsoft, de grote herkenbaarheid van Microsoft-diensten, en de eenzijdige focus van IT-opleidingen op cloudtoepassingen van Microsoft.

Big tech-bedrijven als Microsoft bieden voordehand liggende voordelen dankzij hun schaal. Enkele redenen waarom de keuze voor Microsoft aantrekkelijk is voor een organisatie zijn de opschaalbaarheid van de clouddiensten en het ontlasten van de medewerkers. Implementatie kan daardoor snel gebeuren en bespaart ook nog eens mankracht. Het nieuwe Rijksbrede cloudbeleid van 2022 bracht de migraties in een verdere stroomversnelling, door de keuze voor de publieke cloud open te gooien onder de voorwaarde van een risicoanalyse en privacy-afspraken. De innige samenwerking met Microsoft, mede mogelijk gemaakt via het Strategisch Leveranciersmanagement Microsoft-Rijk, maakt het voldoen aan die voorwaarden makkelijk waardoor het nog makkelijker is om met hen in zee te gaan. Het volledig uitbesteden van kennis en kunde over clouddiensten beïnvloedt ook de manier waarop aanbestedingen worden geschreven. Als «de cloud» alleen nog maar herkenbaar is als Microsoft Azure, worden in aanbestedingen niet-noodzakelijke eisen gesteld die alleen hyperscalers kunnen leveren. Daardoor wordt de vendor lock-in nog groter.

Op de achtergrond spelen de logische gevolgen van monopolievorming ook een rol. Vanaf de basisschool tot aan het volwassenonderwijs wordt men opgeleid in de taal, vorm en applicaties van Microsoft Office. Zowel in het bedrijfsleven als het privéleven spreken we van Microsoft Word als we een tekstverwerker bedoelen en noemen we spreadsheetprogramma’s Excel. De makkelijke aansluiting op de Azure Cloud zorgt voor eenzelfde gebrek aan kennis en ervaring met alternatieve clouddiensten. Het totaalpakket wat hyperscalers daardoor aan kunnen bieden, is aantrekkelijk voor publieke organisaties waar kostenefficiëntie en ontzorging de belangrijkste criteria zijn waarop ICT-inkoop wordt beoordeeld. De kans is immers groot dat de nieuwe medewerker die een overheidsorganisatie net heeft aangenomen als student gebruikmaakte van de studentenkorting voor Microsoft 365 en alle applicaties goed kent, of bij haar vorige baan in het bedrijfsleven ook alleen maar deze software gebruikte.

Dat wil volgens de initiatiefnemers niet zeggen dat de diensten slecht functioneren. Dat is het probleem niet, en in afzonderlijke casussen is het gebruik van Microsoft Azure of Microsoft 365 goed uitlegbaar. Het gaat initiatiefnemers om het langetermijnrisico van een te grote marktconcentratie bij één partij of slechts enkele partijen, wanneer een zeer groot deel van de overheidsdepartementen haar werkprocessen heeft uitbesteed aan Microsoft (of een andere hyperscaler). De nota doet daarom aanbevelingen om de marktconcentratie op zowel de korte termijn als de lange termijn terug te dringen. Amerikaanse hyperscalers blijven bestaan en leveren goede producten; maar om op termijn een Nederlandse techsector te behouden en afhankelijkheden te verminderen, kan actie niet uitblijven en moet de afhankelijkheid doorbroken worden.

6

Onder «Amerika» en «Amerikaanse» worden de Verenigde Staten verstaan. De initiatiefnemers spreken uit dat een stabiele regering aldaar in de toekomst allerminst zeker is. Kunnen de initiatiefnemers duiden wat zij met deze uitspraak bedoelen?

Antwoord

Met de stabiliteit van de regering verwijzen de initiatiefnemers naar de voorspelbaarheid van de Verenigde Staten, vooral in haar relatie met de Europese Unie. Ervaringen met eerdere regeringen én met de nieuw aangetreden regering leren dat de Verenigde Staten haar marktmacht inzet om druk uit te oefenen op andere landen. Denk hierbij aan de manier waarop de huidige president heeft aangekondigd een «handelsoorlog» met Europa te willen beginnen.5 CEO’s van Amerikaanse big tech-bedrijven, waaronder Amazon, Apple, Meta, OpenAI en X hebben indirect of openlijk steun uitgesproken richting diens administratie.6 De politieke belangen van de regering-Trump en de economische belangen het Amerikaanse bedrijfsleven zijn vervlochten; allebei leidt het tot het onder druk zetten van Europa. Zo is zeer recent nieuw beleid aangekondigd om forse tarieven te heffen op Europese afnemers van Amerikaanse techbedrijven,7 een keuze die nog een jaar geleden ondenkbaar was. De Europese afhankelijkheid van Amerikaanse big tech lijkt dus haar vruchten af te werpen in het voordeel van de Verenigde Staten.

Technologie is (geo)politiek. Digitale afhankelijkheden zijn gevaarlijk voor de nationale veiligheid en leiden ertoe dat digitalisering als politiek drukmiddel kan en zal worden ingezet. Dit is mede te danken aan de verstrekkende bevoegdheden die de Verenigde Staten zich via haar techgiganten kan toe-eigenen. Het kabinet bevestigt in haar reactie op deze nota dat geforceerde toegang tot persoonsgegevens die opgeslagen staan in de Amerikaanse cloud mogelijk is, óók als de servers op Europees grondgebied staan.8 De afhankelijkheid van Microsoft-diensten is voor het Internationaal Strafhof, in het licht van de door de VS aangekondigde sancties, ook reden tot zorg.9 De bijzondere interesse van de Amerikaanse regering in het ondermijnen van Europees techbeleid werd nogmaals duidelijk in de kritische speech van Vice-President JD Vance op de Veiligheidsconferentie in München.10 Dit is de zoveelste keer dat de regering-Trump openbaar de autonomie van Europa ondermijnt. Zolang Europa geen stappen zet naar meer strategische autonomie om vertrouwelijke gegevensverwerking en communicatie door overheden te garanderen, zullen dit soort dreigementen onbeantwoord blijven vanuit de EU en verwordt digitalisering tot een geopolitiek wapen. Deze nota hoopt bij te dragen aan een stevige Nederlandse inzet in dit complexe krachtenveld.

7

Door innige samenwerking tussen het Rijk en Microsoft zet Nederland volgens de initiatiefnota lokale alternatieven buitenspel. In hoeverre zijn lokale alternatieven nu in staat om hetzelfde niveau van dienstverlening te leveren?

Antwoord

Omdat er zo weinig gebruik wordt gemaakt van lokale alternatieven, is het moeilijk te zeggen of zij diensten van een dergelijke kwaliteit kunnen leveren. Het ligt voor de hand dat een partij als Microsoft hier een flink voordeel heeft gezien de schaal. Echter, deze schaal is niet altijd nodig voor alle werkzaamheden. Door in eerste instantie de focus te leggen op communicatie en data-opslag binnen de Rijksoverheid zonder enige tussenkomst van de Verenigde Staten, ligt er een duidelijke en realistische vraag op tafel. Het leveren van deze diensten is behapbaar en aantoonbaar mogelijk, kijkende naar de voorbeelden van overheidsorganisaties die al gebruikmaken van Nederlandse leveranciers voor dit deel van hun werkzaamheden. Denk aan het Standaard Platform van Logius11 of de opensource werkplek met MijnBureau die wordt ontwikkeld door het Ministerie van Binnenlandse Zaken.12

De initiatiefnemers zijn zich er goed van bewust dat een totale overstap van Amerikaanse naar Europese diensten niet over één dag gaat. Wel is het essentieel om een stip op de horizon te zetten: minimaal 30% van de clouddiensten die de overheid gebruikt worden belegd bij Nederlandse en Europese partijen. Een helder doel stellen doet investeringen lonen en dwingt af dat het Rijk centraal de regie voert. Door de binding met de Nederlandse sector te vergroten, het cloudlandschap van de overheid goed in beeld te brengen en het bevorderen van de autonomie als harde eis op te nemen bij aanbestedingen, komt er een samenhangende aanpak. Door het commitment aan te gaan zullen vraag en aanbod naar elkaar toegroeien, wat op termijn zorgt voor een Nederlandse techsector waarvoor het überhaupt het proberen waard is om haar diensten aan de overheid aan te bieden.

Dit zal de nodige creativiteit vergen. Innovatieve samenwerkingen, zoals de «Bijenkorf Cloud Megascaler» die is voorgesteld door onderzoeker Maaike Okano-Heijmans van het Clingendael Instituut,13 heeft de bijzondere interesse van de initiatiefnemers. Als de schaal van binnenlandse aanbieders een drempel blijkt, kan een techsector die kleine partijen goed verenigt rondom een gezamenlijke opdracht alsnog leveren, zeker als het Rijk dit aanmoedigt in aanbestedingen. De initiatiefnemers benadrukken dat het Rijk als grootste IT-afnemer van Nederland een verantwoordelijkheid heeft om zulke innovatie te faciliteren, met oog op de diensten die zij zelf op termijn van Nederlandse partijen zal moeten afnemen.

8

De initiatiefnota stelt dat zonder ingrijpen het denkbaar is dat er op termijn zelfs geen Nederlandse of Europese cloudindustrie overblijft. Welke rol heeft de Digitalemarktenverordening (DMA) hierin?

Antwoord

De Digitalemarktenverordening (DMA) speelt geen rol in het stimuleren van een Nederlands-Europese cloudindustrie. Hoewel clouddiensten onder de DMA genoemd zijn als «kernplatformdiensten» en in theorie onder de regelgeving vallen, is er geen enkele cloudaanbieder benoemd als «poortwachter.» Er valt dus niks te handhaven. Daarmee geeft de DMA niet de juiste instrumenten om in te grijpen op oneerlijke praktijken in de cloudsector. Een analyse van Copenhagen Economics benoemt terecht dat de DMA op dit punt niet duidelijk is.14

De DMA Working Group, de groep die namens het Europees Parlement heeft onderhandeld over de verordening, heeft de Europese Commissie in januari ook op deze tekortkoming gewezen.15 De oproep om met spoed te bezien of cloudaanbieders tóch onder de DMA kunnen vallen, ondersteunen de initiatiefnemers van de nota volledig. Brussel zal, hoe het ook wendt of keert, een rol moeten spelen in het bestrijden van digitale afhankelijkheden en het versterken van de interne markt. Het aanscherpen van de DMA, het maken van aanvullende regelgeving specifiek gericht op clouddiensten, én het aanpassen van Europees mededingingsrecht zijn alledrie betekenisvolle maatregelen die ook nationaal effect zullen hebben.

9

Hoe zeker kan worden gesteld dat de dataveiligheid groeit, wanneer de afhankelijkheid van Amerikaanse megabedrijven afneemt? Zijn de veiligheidsstandaarden van deze aanbieders mogelijk van een hoger niveau dan van de kleinere alternatieven?

Antwoord

Linksom of rechtsom, Nederlands-Europese aanbieders die diensten willen leveren aan het Rijk zullen moeten voldoen aan de geldende veiligheidsstandaarden. De initiatiefnemers vragen van het Rijk dat zij transparant communiceert over de voorwaarden waar cloudaanbieders aan moeten voldoen en op basis van welke standaarden dat moet. Het Rijk moet Nederlands-Europese aanbieders beter op weg helpen om eerlijk mee te kunnen doen aan aanbestedingen en inkooptrajecten. Geïnteresseerde nationale cloudaanbieders laten weten dat deze trajecten vaak stroef en ondoorzichtig verlopen; andere techbedrijven moeten er niet eens aan denken om aan de overheid te leveren. De kloof tussen de overheid en de techsector moet kleiner. Niet door eisen af te zwakken, maar door de kennis waar nodig te bundelen en samenwerkingen tussen aanbieders te faciliteren.

Op het gebied van dataveiligheid is het een enorm voordeel dat Nederlandse en Europese leveranciers onder het Europese recht vallen. Omdat Europese en Amerikaanse wetgeving fundamenteel verschillen op het gebied van dataveiligheid, hebben de Europese Unie en de Verenigde Staten meermaals een juridisch raamwerk met elkaar moeten opstellen om het afnemen van Amerikaanse digitale diensten mogelijk te maken. Alleen onder voorwaarde van die afspraken is werken met Amerikaanse big tech rechtmatig. In 2020 heeft het Europees Hof van Justitie besloten het destijds geldende «privacyschildbesluit» nietig te verklaren, nadat bleek dat het Amerikaanse recht onrechtmatige toegang gaf tot gevoelige informatie van Europese burgers.16 Het EU-VS Data Privacy Framework (DPF) dat nu van kracht is, is er gekomen op de voorwaarde dat het onafhankelijke toezicht aan de kant van de Amerikanen gewaarborgd is. Nu de regering-Trump heeft besloten de toezichthouder af te schalen, is ook het DPF geweld aangedaan, waardoor de houdbaarheid van deze afspraken allerminst zeker is. Uit nieuwe rechtspraak zal moeten blijken wat hiervan de gevolgen zijn, maar volgens de initiatiefnemers is de kans aanzienlijk dat Europese rechters wederom zullen concluderen dat de privacy van Europese burgers niet meer beschermd is.17

Gezien deze ontwikkelingen en het feit dat de regering-Trump meermaals de pijlen heeft gericht op het verzwakken van democratisch tot stand gekomen Europese techwetgeving, durven de initiatiefnemers met zekerheid te stellen dat het bestrijden van de afhankelijkheid van Amerikaanse bedrijven de veiligheid van burgerdata bevordert.

10

Behoren de veiligheidsstandaarden ook niet tot de uitlegbare voordelen van het kiezen voor grote cloudaanbieders?

Antwoord

Eén van de schaalvoordelen van Amerikaanse big tech is het gemak waarmee zij kunnen voldoen aan veiligheidsstandaarden met de ervaring die is opgedaan door de vele contracten die met het Rijk zijn afgesloten. De innige samenwerking tussen overheid en big tech, gefaciliteerd door het Strategisch Leveranciersmanagement Microsoft-Rijk, maakt dit mogelijk. De initiatiefnemers bepleiten dat de toegang tot het Rijk voor Nederlandse en Europese aanbieders minstens zo laagdrempelig moet zijn als dat voor grote techbedrijven. Zolang de afhankelijkheid van grote aanbieders groeit, krimpt ook het aandeel alternatieve aanbieders dat – met de nodige ondersteuning die grote bedrijven wel wordt geboden – eenzelfde dienst had kunnen bouwen en leveren. Door lokale aanbieders proactief te helpen worden de schaalvoordelen van hyperscalers overkomelijk gemaakt. Verder wijzen de initiatiefnemers op het antwoord op vraag 9 voor een duiding waarom de dataveiligheid bij Amerikaanse big tech niet verzekerd is.

11

De initiatiefnemers schrijven op pagina 5 van de initiatiefnota: «Door de grootschalige verhuizing van persoonsgegevens naar landen waar bedrijven geen loyaliteit hebben richting Nederlanders, raken burgers grip over hun eigen leven kwijt.» Op pagina 8 wordt in dat verband nog verwezen naar de Amerikaanse CLOUD Act, maar ook naar de spionage-activiteiten van de VS. Ook andere landen kunnen verzoeken om toegang tot data te verkrijgen. In de EU wordt gewerkt aan de E-evidence regulation die eenzelfde werking heeft, ook wanneer de data op Nederlandse servers staat. Dit staat niet op zichzelf en Nederland kan ook verzoeken indienen. Daarnaast heeft ook Nederland inlichtingendiensten met verregaande bevoegdheden. Hebben initiatiefnemers de risico’s voor clouddiensten op Europese servers in verhouding tot deze ontwikkelingen meegewogen, maar ook in verhouding tot EU-landen waar de EU-wetgeving niet prevaleert boven de constitutionele wetgeving van dat land?

Antwoord

De initiatiefnemers erkennen dat vergaande tapmogelijkheden zowel in Europa als andere landen altijd reden zijn tot zorg. Vertrouwelijkheid van communicatie, de privacy van burgers en de veiligheid van data zijn in een digitale wereld essentiële grondrechten. Bevoegdheden die raken aan deze rechten moeten altijd proportioneel zijn en onderhevig aan sterk en onafhankelijk toezicht.

Echter zien de initiatiefnemers wezenlijke verschillen tussen de Amerikaanse CLOUD Act en de Europese e-Evidence-verordening, waardoor de vergelijking volgens hen onterecht is. Ten eerste benadrukken de initiatiefnemers dat de e-Evidence-verordening binnen de invloedssfeer van Nederland ligt. Zowel de regering als het verkozen Europarlement zijn betrokken bij de verordening. Bovendien gaat Nederland over de werking van haar eigen geheime diensten en is het aan het parlement om deze te voorzien van de nodige tegenmacht.

Ten tweede is de e-Evidence-verordening enkel van toepassing op verstrekkings- en/of bewaringsbevelen die worden uitgevoerd tijdens een strafprocedure en het uitvoeren van een vrijheidsstraf of een aanhoudingsbevel van ten minste vier maanden. Dit betreft altijd zaken over individuele rechtspersonen, waarbij het opvragen van informatie per casus op proportionaliteit wordt beoordeeld door een rechter.18 Het opvragen van overheidsinformatie door een andere EU-lidstaat zou alleen kunnen in het hypothetische geval dat de desbetreffende lidstaat een strafrechtelijke procedure tegen Nederland aanspant. Zoiets is nog nooit voorgekomen; het strafrecht betreft immers in vrijwel alle gevallen individuen.

12

Was de conclusie van de Stichting Internet Domeinregistratie Nederland (SIDN) dat het in Nederland aan arbeidsaanbod ontbreekt onjuist?

Antwoord

De initiatiefnemers hebben publiekelijk en in gesprekken achter de schermen met SIDN hun twijfels geuit over haar keuze om een deel van het domeinregistratiesysteem onder te brengen in de cloud van Amazon Web Services (AWS). Uit de openbare samenvatting van de AIVD-risicoanalyse blijkt dat het onderbrengen van het (registratiesysteem van het) .nl-domein bij AWS een risico vormt voor de kritische digitale infrastructuur van Nederland. Volgens de initiatiefnemers geeft dat aan dat het .nl-domein wel degelijk in handen thuishoort van een Nederlandse partij. Tegelijkertijd zien ze ook dat er na de politieke betrokkenheid aanvullende waarborgen en een exitstrategie zijn afgedwongen, waardoor de risico’s van de cloudmigratie enigszins ingeperkt zijn. Uiteraard is de SIDN-casus slechts één voorbeeld van een Nederlandse dienst die (deels) naar Amerikaanse big tech dreigt te verdwijnen en hebben veel andere organisaties de overstap al gemaakt of staan zij voor dezelfde keuze.

Of de conclusie van SIDN over het ontbreken van arbeidsaanbod juist is, kunnen de initiatiefnemers niet met zekerheid stellen. Nationale cloudaanbieders geven aan dat er binnen de sector interesse en voldoende kennis is om het domeinregistratiesysteem van het .nl-domein in Nederland onder te brengen. SIDN geeft anderzijds aan geen aanbod te hebben gekregen dat aan de door hun opgestelde eisen voldoet. Naar aanleiding van deze casus is er in de QuickScan die is uitgevoerd naar de Nederlandse cloudsector ook gekeken naar de situatie van SIDN. In die analyse blijkt dat er criteria zijn waar Nederlands-Europese leveranciers lager scoren dan Amerikaanse hyperscalers, maar wordt niet duidelijk welke criteria randvoorwaardelijk zijn en welke slechts «nice-to-have.» Zo vragen de initiatiefnemers zich af of criteria zoals «de beschikbaarheid van Serverless-functionaliteit» en «Everything as Code» onoverbrugbaar zijn voor het functioneren van het .nl-domeinregistratiesysteem. Zoals het kabinet in de Kamerbrief van 16 januari j.l. opmerkt, «[was] een reflectie op de criteria die SIDN heeft opgesteld voor de migratie van haar domeinnaamregistratie geen onderdeel van de opdracht.»19 De initiatiefnemers kunnen niet beoordelen of de arbeidsvraag doorslaggevend is voor de keuze om voor een deel naar AWS te gaan, zolang een reflectie op de gestelde criteria ontbreekt.

In algemene zin stellen de initiatiefnemers dat enige tekortkomingen in het arbeidsaanbod mede te danken zijn aan de afhankelijkheid van Amerikaanse hyperscalers. De zoveelste overstap naar een hyperscaler draagt bij aan het probleem. Zolang de drempel voor lokale alternatieven om diensten te leveren aan (semi-)publieke instanties te hoog is, blijven investeringen in de nodige expertise ook uit en groeit de afhankelijkheid van Amerikaanse hyperscalers verder. Dit kip-ei verhaal is alleen te doorbreken als vraag én aanbod elkaar tegemoetkomen in het algemene belang. Aan de vraagkant zullen aanbestedingen zodanig herzien moeten worden dat de technische eisen voorop staan en autonomie zwaarder meeweegt in de keuze voor een leverancier. Hierin moet de keuze om bepaalde diensten niet te verhuizen naar de cloud nadrukkelijk worden overwogen. Aan de aanbodkant zal de Nederlandse cloudsector ervaring moeten opdoen met diensten verlenen aan overheidsinstanties. Dat gaat alleen gebeuren als het Rijk een concreet doel stelt voor het vergroten van het aandeel clouddiensten dat wordt afgenomen van Nederlandse en Europese partijen. Er zúllen nationale techbedrijven moeten zijn die kritische cloud-infrastructuur kunnen bouwen en beheren als Nederland haar autonomie en verdienvermogen nu en in de toekomst wil waarborgen.

Op 18 maart heeft de Kamer unaniem uitgesproken dat de hele DNS-keten in Nederland dient te blijven. Het Ministerie van Economische Zaken moet nu het initiatief nemen om samen met SIDN een geschikte Nederlandse leverancier te vinden.20

13

Het onderzoek van de Autoriteit Consument & Markt (ACM), waarnaar verwezen op pagina’s 5 en 6, stelt dat Nederland in de top 5 van landen staat waarin het meest wordt besteed aan clouddiensten als percentage van de totale IT-kosten. Dit gaat dan om een wereldwijd beeld, immers verwijst de ACM naar een grafiek van Techzine. Het gaat dan om, voor wat Nederland betreft, 7,2% van de totale IT-kosten. In het Indexverslag over de digitale economie en samenleving 2022 – Digitale overheidsdiensten van DESI scoort Nederland hoog.1 Wanneer we dan naar het verslag kijken van de ACM, op pagina 23, zien we bij figuur 2 het gebruik van clouddiensten per land (EU-breed).

Hebben de initiatiefnemers de overeenkomst tussen deze grafiek en de scores op digitale economie en samenleving van DESI meegewogen? Wat zal de impact zijn op de huidige kwaliteit van de dienstverlening indien het huidige beleid wordt omgegooid conform de gedane voorstellen? Tevens de vraag hoe die 7,2% ten opzichte van de totale IT-kosten zich verhoudt tot de budgetten per land. Indien Duitsland € 100 miljoen investeert in IT en Nederland € 70 miljoen, waarvan Duitsland € 7 miljoen investeert in de cloud en Nederland € 5,4 miljoen, dan staat dat niet in verhouding. Hebben de initiatiefnemers dit meegewogen in hun voorstel?

Antwoord

De relatief goede score van Nederland op de index van de digitale economie en samenleving (DESI) staat volgens de initiatiefnemers los van de data over het cloudgebruik in de private sector. De genoemde grafiek uit het onderzoek van de ACM en de 7,2% van de totale IT-kosten zijn gebaseerd op cijfers die slaan op bedrijven en zeggen weinig over het soort clouddiensten en van welke aanbieders deze worden afgenomen. Omdat deze nota zich nadrukkelijk richt op overheden en vitale sectoren, zien de initiatiefnemers geen direct verband tussen de cijfers. De vergelijking is dus niet meegewogen in de nota.

De voorstellen uit de nota zullen niet leiden tot slechtere dienstverlening. De nota stelt niet voor om in één keer alle diensten van big tech-bedrijven op te geven. Het Rijk heeft tijd nodig om cloudmigraties te herzien en nationale aanbieders hebben tijd nodig om expertise op te bouwen. Het stellen van een doel op de langere termijn – 30% aandeel van clouddiensten binnen het Rijk bij Nederlands-Europese partijen beleggen per 2029 – moet deze beweging van beide kanten aanjagen. Daarin wordt met voorrang gekeken naar communicatie binnen de overheid en de opslag van gevoelige data, aspecten die op afstand staan van dienstverlening aan burgers. Hooguit zullen ambtenaren moeten wennen aan werken in een nieuwe digitale omgeving.

14

Welke lidstaten beschikken thans over een eigen cloudservice op overheidsniveau?

Antwoord

De initiatiefnemers hebben geen overzicht kunnen vinden van lidstaten die over een cloudservice op overheidsniveau beschikken. Zij hebben dit nagevraagd bij het Rathenau Instituut. Rathenau merkt op dat er vooral private clouddiensten zijn waar overheden gebruik van maken, hoewel het aantal krimpt. Er zijn echter voorbeelden die in de buurt komen, zoals het Duitse overheidsproject ZenDis. Deze maakt gebruik van de Europese NextCloud-dienst en levert open source software aan publieke sectoren.21

Op 18 maart heeft de Kamer uitgesproken dat er een beperkte Rijkscloud moet worden gebouwd,22 in navolging op het initiatief Cloud Kootwijk bedacht doort techexpert Bert Hubert.23

15

Inzake de wezenlijke risico’s voor de nationale veiligheid, zoals benoemd op pagina’s 10 en 11, de vraag of de initiatiefnemers enkele concrete voorbeelden hebben waar de Algemene verordening gegevensbescherming (AVG) onvoldoende toereikend is.

Antwoord

De initiatiefnemers zien geen aanwijzingen dat de AVG ontoereikend is in het kader van de initiatiefnota. Zoals ook aanbevolen in het rapport «Het Rijk in de cloud: Donkere wolken pakken samen» van de Algemene Rekenkamer,24 zullen er in EU-verband afspraken moeten worden gemaakt om AVG-voorwaarden af te dwingen in de inkoopvoorwaarden van IT-diensten. Dit gebeurt nu onvoldoende en dat brengt risico’s met zich mee. Zoals de initiatiefnemers ook schrijven in het antwoord op vraag 9, is de samenwerking met Microsoft, Google en Amazon momenteel afhankelijk van afspraken met de Amerikaanse regering die op z’n zachtst gezegd kwetsbaar zijn. Zie ook argumenten 4 en 6 in de appendix van de initiatiefnota. Het volledig uitbesteden van kritieke onderdelen van de digitale overheid brengt in de kern al privacy-risico’s met zich mee. Door (delen van) werkprocessen volledig neer te leggen bij een derde partij, in dit geval vrijwel uitsluitend Amerikaanse big tech-bedrijven, worden naast cruciale taken ook publieke verantwoordelijkheden weggegeven. Het Rijk verliest de regie over dataverwerking en kan niet met zekerheid zeggen dat de AVG wordt nageleefd, omdat ze noch de kennis noch de inzage heeft om dit te controleren.

16

Wat is de reden dat de overheid als «launching customer» de op pagina’s 10 en 11 genoemde diensten zou moeten afnemen? Kan dit niet door een derde partij in Nederland worden gedaan?

Antwoord

De nota is gericht aan het kabinet als eindverantwoordelijke van de strategische autonomie van Nederland. Naast keuzes in wetgeving, kan het Rijk het publieke belang ook dienen door strategisch inkoop- en aanbestedingsbeleid. Als grootste IT-afnemer van Nederland heeft de overheid een ongekende positie om mede vorm te geven aan de nationale techsector. Als de overheid zich committeert aan het afnemen van meer lokale clouddiensten, komen ondernemers in actie om deze diensten te bouwen en aan te bieden. Volgens de initiatiefnemers is daar een uitgesproken ambitie voor nodig: om per 2029 30% van alle clouddiensten binnen de overheid bij Nederlandse en Europese leveranciers te beleggen. Zoiets kan het parlement in een vrijemarkteconomie niet van een derde partij vragen, het is aan de overheid om als lancerende klant aan te geven welke diensten nodig zijn om autonoom te functioneren.

17

Waarop is de harde deadline voor het uitfaseren van de niet-Nederlandse cloud gebaseerd?

Antwoord

Uit gesprekken met de Nederlandse cloudsector is deze deadline tot stand gekomen. Een periode van vijf jaar tussen het schrijven van de nota en het behalen van een 30%-aandeel voor clouddiensten in Nederlands-Europese handen schept volgens de betrokken leveranciers een goed balans tussen realisme en urgentie. De initiatiefnemers stellen voor om in deze periode met voorrang te kijken naar clouddiensten voor (vertrouwelijke) communicatie en data-opslag. Daar is op het gebied van veiligheid van (burger)informatie de grootste winst te boeken. Zodra er voor deze onderdelen een lokale clouddienst is ingericht en in eigen beheer is gebracht, kunnen de mailservers en data-opslag van de overheid met spoed worden losgeweekt van enige tussenkomst van de Verenigde Staten. Het is aan het kabinet om te komen met een tegenvoorstel voor een harde deadline en een concrete doelstelling als zij deze niet uitvoerbaar acht.

18

Hoe reëel is de ambitie dat overheidsdepartementen het liefst binnen drie maanden in staat moeten zijn hun gehele omgeving te migreren tussen clouddiensten?

Antwoord

Op het moment is het überhaupt op orde hebben van een exitstrategie al uitdaging genoeg,25 maar zodra deze is opgesteld is een snelle overstap goed mogelijk. De initiatiefnemers stellen voor om drie maanden als norm te stellen, tenzij volgens het «pas-toe-of-leg-uit»-principe wordt uitgelegd waarom een langere migratietijd noodzakelijk is. Verder benadrukken de initiatiefnemers dat een snelle migratietijd vraagt om vooraf de juiste standaarden te verplichten: met name interoperabiliteit en dataportabiliteit zijn van belang. Als het Rijk in een aanbesteding afdwingt dat zowel de primaire dienst als de secundaire «plan B»-dienst kunnen samenwerken met andere systemen binnen het werkproces en alle data makkelijk overgezet kan worden naar een nieuwe leverancier, is het mogelijk om snel over te stappen. Het Rijk kan dit momenteel niet waarmaken, daarom pleiten de initiatiefnemers ervoor zo snel mogelijk alle diensten die worden afgenomen van big tech-bedrijven van een exitstrategie te voorzien en daarin standaarden voor interoperabiliteit en dataportabiliteit op te nemen. In een onvoorspelbare geopolitieke context moet de overheid snel kunnen overschakelen zonder in te leveren op kritieke dienstverlening.

Op 18 maart heeft de Kamer uitgesproken dat alle big tech-diensten die de overheid afnemen moeten worden voorzien van een risicoanalyse en een exitstrategie bij Nederlandse of Europese leveranciers.26 Er moet een Rijksbrede formulering komen voor wanneer de exitstrategieën in werking treden.

19

Waarom gaan de initiatiefnemers uit van een kostenplaat vergelijkbaar met de huidige, wanneer er beperkt inzicht is in de huidige cijfers?

Antwoord

De initiatiefnemers delen de frustratie over het gebrek aan transparantie over het cloudgebruik van de overheid. Het verzorgen van een betrouwbaar, centraal overzicht van de staat van de overheids-ICT is een essentiële aanbeveling in de nota. Ook verwijzen de initiatiefnemers naar de unaniem aangenomen motie-Koekkoek27 die vraagt om jaarlijks inzichtelijk te maken hoeveel het Rijk uitgeeft aan diensten van grote niet-Europese techbedrijven. Met dit inzicht kan er een meer realistische inschatting gemaakt worden van het nodige budget. Uit de Kamerbrief van de Staatssecretaris van 12 maart 202528 blijkt dat het kabinet niet meer voornemens is om dit centrale overzicht aan te leveren. Dit bemoeilijkt de besluitvorming over ICT-uitgaven nog verder en benadrukt volgens de initiatiefnemers de bittere noodzaak van een integrale behandeling van digitale zaken op de Rijksbegroting.

De inschatting dat de voorstellen uit de nota kostenneutraal uitpakken, is voor nu slechts te baseren op de volgende aannames:

1. Centrale inkoop en centrale onderhandelingen leidt tot kostenbesparing. De decentrale, individuele afspraken tussen overheden en leveranciers leidt tot onnodig hoge kosten, die bij een gezamenlijke inkoopstrategie omlaag onderhandeld hadden kunnen worden.

2. Monopoliepositie van big tech leidt tot wurgcontracten. De totale afhankelijkheid van enkele bedrijven maakt ons kwetsbaar voor verhogingen in de licentiekosten. Een ecosysteem waarin ook kleinere lokale aanbieders meeconcurreren, doorbreekt het monopolie en dwingt eerlijkere prijzen af van alle leveranciers.

3. Recente geopolitieke ontwikkelingen leiden tot onvoorziene hogere kosten. De aangekondigde handelsoorlog van de regering-Trump zal naar alle waarschijnlijkheid ook de digitale sector raken. Nieuw beleid van de Amerikaanse regering belooft forse tarieven te heffen op Amerikaanse IT-diensten die in de EU worden afgenomen.29

4. Investeringen betalen zichzelf terug. Het is aannemelijk dat in zee gaan met lokale alternatieven op de korte termijn duurder uitpakt. De prijzen zullen vervolgens omlaaggaan zodra meer lokale aanbieders meedingen bij aanbestedingen, gezond met elkaar concurreren en de kans krijgen om op te schalen.

20

Hoe verhoudt het feit dat de Nederlands-Europese cloudmarkt eerst zodanig gevormd moet zijn dat dit aan de aanbodkant mogelijk is, tot de aanname dat de kostenplaat vergelijkbaar zal blijven, in de wetenschap dat er eerst grote investeringen noodzakelijk zullen zijn?

Antwoord

Zoals ook beschreven in het antwoord op vraag 19, veronderstellen de initiatiefnemers dat investeringen op korte termijn zullen leiden tot besparingen op de lange termijn. De huidige situatie maakt al pijnlijk duidelijk dat decentrale inkoop en de problematische afhankelijkheid van big tech leidt tot onnodig hoge kosten. Tegelijkertijd is het aannemelijk dat een concurrerende markt van kleinschalige Nederlandse en Europese alternatieven op termijn voor lagere prijzen, vooral als de kosten van hyperscalers in vergelijking met grote vaart omhoogschieten. De initiatiefnemers benadrukken dat in de financiering ook een grote rol is weggelegd voor de Europese Unie. Nu de geopolitieke context vraagt om EU-brede digitale industriepolitiek, verwachten de initiatiefnemers dat er aanvullende middelen komen voor publieke en private initiatieven die de strategische autonomie in het digitale domein vergroten.

21

Op pagina 16 refereren initiatiefnemers aan een exit-strategie. Vooralsnog worden deze per departement geregeld. Hebben de initiatiefnemers ook de mogelijkheid onderzocht om dit centraal aan te sturen?

Antwoord

Zoals ook blijkt uit het recente rapport van de Algemene Rekenkamer,30 staat Nederland voor een grote uitdaging om goede exitstrategieën te formuleren. De initiatiefnemers zijn groot voorstander om deze uitdaging centraal aan te pakken en hebben expliciet nagedacht over deze mogelijkheid. Dit sluit volgens hen aan bij de aanbevelingen uit de nota om een stevig mandaat te beleggen bij de coördinerende bewindspersoon en het CIO Rijk. Centrale aansturing raakt echter aan de ministeriële verantwoordelijkheid, waardoor samenhang in het naleven van digitaal beleid – waaronder het verplichten van een exitstrategie – binnen de overheid wel vaker wordt bemoeilijkt. De initiatiefnemers dringen het kabinet aan om drempels die in de weg staan voor een centrale regie over het opstellen van exitstrategieën zo veel mogelijk weg te nemen. Uiteraard heeft de Tweede Kamer als medewetgever een taak om dit mandaat te bekrachtigen, indien nodig per wet.

De aangenomen Kamermotie, waar de initiatiefnemers ook naar verwijzen in het antwoord op vraag 18, stelt voor om Rijksbreed te formuleren wanneer de exitstrategieën in werking moeten treden. Dit zorgt voor een meer centrale regie.

22

Op pagina 27 halen de initiatiefnemers het Europa-argument aan, waarin zij indirect stellen dat Nederland ook toonaangevend zou moeten zijn op het gebied van cloudtechnologie. Nu is er eind 2023 door het Ministerie van EZK de Nationale Technologiestrategie gepubliceerd waarin benoemd wordt waar Nederland toonaangevend is. Cloudtechnologie werd hierin niet genoemd als kansrijk. Kunnen de initiatiefnemers dit duiden?

Antwoord

De initiatiefnemers stellen dat een nationale cloudinfrastructuur een randvoorwaarde is voor de prioriteit «artificial intelligence and data science.» De afhankelijkheid van big tech-bedrijven uit het buitenland wordt in de Nederlandse Technologiestrategie expliciet genoemd als barrière voor het benutten van deze sleuteltechnologie.31 Het kabinet geeft terecht aan dat er behoefte is aan een nationale cloudinfrastructuur om het innovatiebeleid waar te maken volgens Nederlandse waarden. Dit zal tegelijkertijd de strategische autonomie van Nederland verbeteren, zodra er een gezond ecosysteem is van lokale alternatieven die ook diensten aan de overheid kunnen leveren.

  1. Gaia-X is a distraction which should be abandoned (berthub.eu, 25 juli 2024)↩︎

  2. What’s next for Europe’s data revolution? AWS joins the GAIA-X initiative (aws.amazon.com, 19 november 2020)↩︎

  3. Onderzoekers kiezen voor een alternatieve cloud: «Ik wil zelf kunnen kiezen met wie ik mijn bestanden deel» (NRC, 31 december 2024)↩︎

  4. Kamerstuk 26 643, nr. 904↩︎

  5. Trump vows to launch trade war on EU (POLITICO, 1 februari 2025)↩︎

  6. Big Tech zit vooraan bij de inauguratie van Donald Trump (NOS, 19 januari 2025)↩︎

  7. Fact Sheet: President Donald J. Trump Issues Directive to Prevent the Unfair Exploitation of American Innovation (21 februari 2025)↩︎

  8. Kamerstuk 36 574, nr. 3, p.8↩︎

  9. ICC braces for swift Trump sanctions over Israeli arrest warrants (The Guardian, 20 januari 2025)↩︎

  10. Vance’s week of waging war on EU tech law (POLITICO, 15 februari 2025)↩︎

  11. Logius | Standaard Platform↩︎

  12. Over Mijn Bureau, Mijn Bureau (GitHub)↩︎

  13. Nederland en de EU: Zet in op cloudsoevereiniteit (Clingendael, 16 april 2024)↩︎

  14. 6 reflections on the recent designation of gatekeepers under the DMA (Copenhagen Economics)↩︎

  15. Brief van de DMA Working Group aan de Europese Commissie (23 januari 2025)↩︎

  16. Veelgestelde vragen over het arrest van het Hof van justitie van de Europese Unie in zaak C-311/18 (23 juli 2020)↩︎

  17. US Cloud soon illegal? Trump punches first hole in EU–US Data Deal (23 januari 2025)↩︎

  18. https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32023R1543↩︎

  19. Kamerstuk 26 643, nr. 1272↩︎

  20. Motie-Kathmann c.s, Kamerstuk 26 643, nr. 1317↩︎

  21. ZenDiS | Zentrum Digitale Souveränität↩︎

  22. Motie-Kathmann, Kamerstuk 26 643, nr. 1316↩︎

  23. Mailen en communiceren zonder Musk en Trump: Cloud Kootwijk (2 februari 2025)↩︎

  24. Kamerstuk 26 643, nr. 1264↩︎

  25. Kamerstuk 26 643, nr. 1264↩︎

  26. Motie-Kathmann, Kamerstuk 26 643, nr. 1318↩︎

  27. Kamerstuk 36 600 VII, nr. 67↩︎

  28. Kamerstuk 26 643, nr. 1314↩︎

  29. Fact Sheet: President Donald J. Trump Issues Directive to Prevent the Unfair Exploitation of American Innovation (21 februari 2025)↩︎

  30. Kamerstuk 26 643, nr. 1264↩︎

  31. «De Nationale Technologiestrategie: bouwstenen voor strategisch technologiebeleid» (19 januari 2024, Bijlage bij Kamerstuk 33 009, nr. 140): «De cloudinfrastructuur en de benodigde platformen om AI-modellen te laten draaien en data te verwerken zijn bovendien veelal in handen van enkele grote technologiebedrijven met een sterke marktpositie. Zonder eigen infrastructuur kan Nederland de inzet op mensgerichte AI onvoldoende borgen.» (p.71)↩︎