Inbreng verslag van een schriftelijk overleg over het Rapport ‘Van Kwetsbaar naar weerbaar. Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede ICT-dienstverlening bij overheidsorganisaties.' (Kamerstuk 29362-388)
Inbreng verslag schriftelijk overleg
Nummer: 2025D51348, datum: 2025-12-10, bijgewerkt: 2025-12-15 14:05, versie: 3 (versie 1, versie 2)
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (nds-tk-2025D51348).
Gerelateerde personen:- Eerste ondertekenaar: B.C. Kathmann, voorzitter van de vaste commissie voor Digitale Zaken (GroenLinks-PvdA)
- Mede ondertekenaar: S.R. Muller, adjunct-griffier
Onderdeel van zaak 2025Z16797:
- Indiener: F. Rijkaart, minister van Binnenlandse Zaken en Koninkrijksrelaties
- Voortouwcommissie: vaste commissie voor Digitale Zaken
- 2025-09-17 13:45: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2025-10-01 11:00: Procedurevergadering Digitale Zaken (Procedurevergadering), vaste commissie voor Digitale Zaken
- 2025-12-10 14:00: Rapport 'Van Kwetsbaar naar weerbaar. Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede ICT-dienstverlening bij overheidsorganisaties' (Inbreng schriftelijk overleg), vaste commissie voor Digitale Zaken
Preview document (🔗 origineel)
2025D51348 INBRENG VERSLAG VAN EEN SCHRIFTELIJK OVERLEG
Binnen de vaste commissie voor Digitale Zaken hebben enkele fracties de behoefte om enkele vragen en opmerkingen voor te leggen aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de brief d.d. 12 september 2025 «Rapport Van Kwetsbaar naar weerbaar». Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede ICT-dienstverlening bij overheidsorganisaties» (Kamerstuk 29 362-388).
De fungerend voorzitter van de commissie,
Kathmann
Adjunct-griffier van de commissie,
Muller
Inhoudsopgave
| I | Vragen en opmerkingen vanuit de fracties |
| Vragen en opmerkingen van de leden van de D66-fractie | |
| Vragen en opmerkingen van de leden van de VVD-fractie | |
| Vragen en opmerkingen van de leden van de GL-PvdA-fractie | |
| Vragen en opmerkingen van de leden van de CDA-fractie | |
| Vragen en opmerkingen van de leden van de BBB-fractie | |
| II | Antwoord/reactie van de bewindspersoon |
I Vragen en opmerkingen vanuit de fracties
Vragen en opmerkingen van de leden van de D66-fractie
De leden van de D66-fractie hebben met interesse kennisgenomen van het rapport «Van kwetsbaar naar weerbaar», waarin een herkenbaar beeld wordt geschetst van een overheid die in toenemende mate afhankelijk van een beperkt aantal ICT-leveranciers.
Deze leden lezen dat er geen eenduidige overheidsbrede definities of afwegingskaders van wat kritieke, cruciale of vitale ICT-dienstverlening is, waardoor onduidelijk is welke kaders wel of niet van toepassing zijn. Zij vragen hoe de Minister beoordeelt dat er geen eenduidige definities bestaan van «kritieke», «vitale» of «cruciale» ICT-dienstverlening, waardoor organisaties zelf bepalen of ze extra maatregelen moeten nemen. Is de Minister bereid om een kader te introduceren dat bepaalt welke ICT-diensten onder welke normen, toezicht en verplichtingen vallen?
De leden van de D66-fractie merken op dat er rijksbreed onvoldoende gemonitord wordt bij afgesloten contracten bij kritieke of vitale ICT-diensten en bijbehorende leveranciers. Deze leden vragen hoe de Minister verklaart dat er niet centraal wordt gemonitord op continuïteits- en concentratierisico’s en wat hij hieraan gaat doen.
Zij lezen in de brief van de Minister (Kamerstuk 39 362, nr. 388) dat individuele overheidsorganisaties onvoldoende benodigde ICT-kennis hebben. Ook staat in de brief dat ICT-uitbestedingen op een te laag niveau in de organisaties uitgevoerd wordt. De verantwoordelijkheid, kennis en bewustzijn over ICT, beheer en risico’s in de gedigitaliseerde overheidsorganisaties zijn nog onvoldoende aanwezig op alle managementniveaus. De leden van de D66-fractie vragen hoe de Minister dit verklaart en welke stappen er worden gezet om strategische ICT-kennis waar nodig ICT-risico-expertise structureel op te bouwen binnen management en bestuur. Hoe verklaart de Minister dat organisaties wel operationele ICT-risico’s monitoren, maar vrijwel geen strategische risico’s zoals leveranciersfalen, concentratie of langdurige uitval?
Deze leden steunen de voorgenomen prioriteiten van de Minister, maar vragen af of het voldoende is. Zij vragen welke scenario’s zijn uitgewerkt voor langdurige dienstonderbrekingen door sancties, ketenuitval of buitenlandse overnames van ICT-leveranciers. Ook vragen de leden van de D66-fractie hoe de Minister de nakoming van toegepaste kaders, risicomanagement en effectiviteit van mitigerende maatregelen voor digitale weerbaarheid van overheidsprocessen gaat toetsen.
Vragen en opmerkingen van de leden van de VVD-fractie
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van het rapport «Van kwetsbaar naar weerbaar. Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede ICT-dienstverlening bij overheidsorganisaties», alsmede van de kabinetsreactie op dat rapport. Graag willen deze leden daarover een paar vragen stellen. Allereerst onderschrijven zij dat overheden weerbaar moeten zijn tegen langdurige uitval van ICT-diensten. Dat is in het belang van burgers.
In de onderhavige brief wordt de kernboodschap uit het hierboven genoemde rapport weergegeven. Daarin wordt een relatie gelegd tussen het op orde krijgen van de digitale weerbaarheid van overheidsorganisaties in de juiste verhouding ten opzichte van het realiseren van nieuw beleid. De leden van de VVD-fractie vragen hoe het kabinet dat ziet. Wat betekent dat in de praktijk? Wat betekent dat voor het verbeteren van de digitale weerbaarheid? Wat betekent dat voor het realiseren van nieuw beleid?
Er wordt geconstateerd dat ICT-uitbestedingen op een te laag niveau in de organisaties worden uitgevoerd, alsmede dat er sprake is van afwezigheid van benodigde kennis binnen de organisatie. Wat wordt er gedaan om ervoor te zorgen dat ICT-uitbestedingen ook de aandacht van de hogere niveaus in de organisatie hebben en dat de benodigde kennis wel aanwezig is? Graag krijgen deze leden een reactie van de Minister.
In het rapport staan diverse aanbevelingen. De Minister geeft prioriteit aan een aantal activiteiten. Deze acties worden nader uitgewerkt onder meer door het opstellen van plannen van aanpak en business cases. Kan worden aangegeven wat daarbij de tijdsplanning is? Wanneer zullen de acties naar verwachting nader zijn uitgewerkt? Wanneer zouden de acties daadwerkelijk uitgevoerd kunnen worden? Van enige urgentie kan toch wel worden gesproken. In hoeverre wordt de Kamer geïnformeerd over de uitgewerkte acties? Een apart aspect dat hierbij aan de orde is, is de financiering van dit alles. Kan de Minister daar al enig inzicht in geven? In hoeverre wordt daarbij een onderscheid gemaakt tussen de acties die prioriteit hebben en de overige acties? Of is er straks sprake van een totaal financieel plaatje? Graag krijgen zij een reactie van de Minister.
Vragen en opmerkingen van de leden van de GL-PvdA-fractie
De leden van de GroenLinks-PvdA-fractie hebben het rapport en de bijbehorende Kamerbrief gelezen. Deze leden spreken hun waardering uit voor het gedegen onderzoek en hopen op een daadkrachtige opvolging van de aanbevelingen. Ten eerste zullen deze leden ingaan op het rapport zelf, vervolgens gaan zij in op de reactie van het (demissionaire) kabinet. De leden van de Groenlinks-PvdA-fractie hopen de beantwoording tijdig voor het commissiedebat Digitaliserende overheid te ontvangen zodat deze bij dit debat betrokken kan worden.
Deze leden herkennen de risico’s voor de continuïteit van overheids-ICT, die niet voldoende worden afgedekt door bestaand beleid en lopende contracten. Hiertoe zijn specifieke casussen onderzocht.1 Zij vragen de Minister of hij op de hoogte is welke voorbeelden dit zijn en of de specifieke tekortkomingen inmiddels zijn verholpen. Voor de Tweede Kamer is dit inzicht onbevredigend: hoewel wordt geconstateerd dat bestaande kaders niet worden nageleefd, is het oncontroleerbaar voor de volksvertegenwoordiging. De leden van de GroenLinks-PvdA-fractie wijzen erop dat in toenemende mate de digitalisering van de overheid samenhangt met politieke besluiten, zoals het wel of niet uitbesteden van processen aan marktpartijen en het wel of niet migreren naar clouddiensten. Doordat de kaders die er wél zijn structureel niet worden nageleefd, ontstaan er grote risico’s voor de continuïteit van dienstverlening aan burgers en wordt Nederland kwetsbaar voor geopolitieke druk van niet-Europese mogendheden. Deze leden roepen het kabinet op om niet alleen uitvoering te geven aan de aanbevelingen van het rapport, maar ook expliciet de Kamer te betrekken in de uitvoering daarvan en de politieke sturing op digitalisering beter te borgen.
Zij herkennen de risico’s rondom het inkoop- en aanbestedingsbeleid. Te lang hebben overheden en uitvoerders ICT ingekocht alsof het kantoorspullen zijn. Daardoor heeft kostenefficiëntie zwaarder gewogen dan veiligheid en autonomie. Door de gefragmenteerde manier waarop inkoop telkens individueel plaatsvindt, verliest men zicht op de structurele risico’s die ontstaan als delen van de overheid hun digitale kerntaken uitbesteden aan niet-Europese techgiganten. De leden van de GroenLinks-PvdA-fractie benadrukken dat het noodzakelijk is om het inkoop- en aanbestedingsbeleid voor ICT van de overheid op de schop te doen. Eén manier om dit te doen is in het herziene cloudbeleid, waar ook al het hele jaar naar verwezen wordt maar nog niks van is gedeeld met de Kamer. Kan de Minister toelichten welke toezeggingen en aangenomen Kamermoties er verwerkt worden in dit herziene cloudbeleid? Erkent het kabinet dat het uitblijven van het herziene cloudbeleid ook betekent dat keuzes nog worden gebaseerd op beleid dat, zoals in het rapport te lezen is, niet genoeg doet om risico’s voor afhankelijkheden weg te nemen?
Deze leden vragen aandacht voor de gelaagdheid van digitale afhankelijkheden. Uiteraard is het van belang dat eigendom van ICT-leveranciers binnen de Europese Unie ligt, zodat de leveranciers uitsluitend onder Europese of Nederlandse wetgeving vallen. Echter zijn er ook veel Nederlands-Europese leveranciers die in hun diensten wél gebruik maken van platforms en componenten van niet-Europese leveranciers. Hiermee kunnen in cruciale onderdelen van Europese ICT-leveranciers alsnog afhankelijkheden ontstaan van enkele techgiganten, en bestaan er zorgwekkende risico’s op weglek van data naar derde landen. Wat gaat het kabinet doen om ook deze afhankelijkheden te verminderen? Wanneer komt het kabinet tot een heldere definitie van «autonomie» en «soevereiniteit» die afhankelijkheden in alle lagen van de technologie ondervangt?
De leden van de GroenLinks-PvdA-fractie stellen dat een integraal inzicht in het ICT-landschap, de afgesloten contracten en de uitgaven aan digitalisering door de hele overheid, randvoorwaarden zijn voor het beter beheersen van de kwetsbaarheden in het digitale domein. De fragmentatie van ICT is één van de grootste problemen waardoor digitale ongelukken nu gebeuren en er onvoldoende oog is voor de problematische afhankelijkheden. Hoe is de Minister van plan om het inzicht in de overheids-ICT structureel te verbeteren?
Deze leden zijn zeer bezorgd dat er geen strategische risicoanalyses plaatsvinden voor het uitbesteden van ICT binnen overheidsorganisaties. Aan te veel bestuurstafels is het risico op langdurige uitval en geopolitieke instabiliteit niet voor mogelijk geacht. Nu het tegendeel steeds waarschijnlijker blijkt, is het nodig dat overheidsorganisaties snel kunnen handelen om die risico’s wel te analyseren en weg te nemen. Hoe gaat de Minister, vooruitlopend op herziening van beleid, organisaties aandringen en in staat stellen om alle noodzakelijke maatregelen te nemen om onafhankelijker te worden van een handjevol techgiganten?
Zij wijzen op de noodzaak om contracten met ICT-dienstverleners zo in te richten, dat de dienstverlening van de overheid veilig en onafhankelijk blijkt. Recentelijk is de overheid overvallen door situaties als de voorgenomen overname van Solvinity, het cloudbedrijf dat diensten levert voor DigiD en ministeries, of de overname van Zivver, leverancier van data-uitwisselingsdiensten voor overheden, beide door Amerikaanse bedrijven. De leden van de GroenLinks-PvdA-fractie vinden het van uiterst belang dat in lopende contracten bepalingen worden opgenomen om overnames door niet-Europese bedrijven tegen te gaan, zodat contracten beëindigd kunnen worden als dit het geval is. Kan het kabinet aangeven hoeveel lopende contracten wel of niet beschikken over een dergelijke bepaling? Is de Minister bereid tot een brede verkenning van lopende contracten met ICT-leveranciers om te achterhalen in hoeveel gevallen contracten wél beschikken over zulke bepalingen?
Deze leden waarderen dat de overheid de conclusies van het rapport deelt en deze serieus neemt. Echter blijft de actie die nodig is om de risico’s die voortkomen uit de totale afhankelijkheid van enkele techgiganten te bestrijden, uit. Daarom vragen zij aan de Minister om de activiteiten die hij «prioriteit geeft» duidelijker toe te lichten. Volgens de leden van de GroenLinks-PvdA-fractie zijn ze nog te weinig concreet. Kan de Minister voor elk van de actiepunten uiteenzetten welke concrete acties hij hiertoe uitvoert, inclusief een tijdsplanning en – waar relevant – een inschatting van de benodigde kosten? Welke rol heeft de Minister in elk van de activiteiten, en welke andere overheden of bestuurders zijn nodig om de acties te laten slagen?
De leden van de GroenLinks-PvdA-fractie kijken uit naar het op te stellen Plan om de weerbaarheid van de Nederlandse overheid ten aanzien van ICT-dienstverlening te vergroten. Kan de bewindspersoon aangeven wanneer hij deze verwacht op te stellen en met de Kamer te delen? Is het nemen van aanvullende maatregelen om toezichthouders en adviescolleges die toezien op digitalisering een onderdeel van dit plan?
Tot slot stellen deze leden dat een nieuwe visie op digitalisering binnen de overheid noodzakelijk is. Het staande beleid heeft geleid tot een situatie waarin kerntaken van de digitale overheid zijn weggegeven, uitbesteed en afhankelijk zijn gemaakt van niet-Europese techgiganten. De risico’s hiervan zijn misschien niet meteen voelbaar, maar levensgroot. Daarom stellen de leden dat, in beginsel, het digitaal functioneren van Nederland in publieke handen dient te zijn zodat wij zelf de baas zijn over de digitale infrastructuur. Hoe kijkt het kabinet naar deze gedachte in het licht van de toenemende dreigingen voor de digitale infrastructuur van Nederland en Europa? Welke delen van de overheid zouden in eigen beheer moeten worden ondergebracht, en welke delen zouden marktpartijen op zich kunnen nemen? Denkt het kabinet dat de veiligheid en autonomie van de overheids-ICT te waarborgen is als de overheid in de huidige mate afhankelijk blijft van marktpartijen en hun economische belangen?
Vragen en opmerkingen van de leden van de CDA-fractie
De leden van de CDA-fractie hebben kennisgenomen van de brief van de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het rapport «Van kwetsbaar naar weerbaar». Deze leden maken graag van de gelegenheid gebruik om enkele vragen te stellen aan het kabinet hierover.
Zij vragen allereerst aan het kabinet welke maatregelen zij gaat nemen om niet alleen de weerbaarheid van de eigen digitale diensten te versterken, maar ook welke maatregelen zij gaat nemen om de digitale weerbaarheid van de burgers te vergroten.
De leden van de CDA-fractie lezen verder dat de weerbaarheid van overheden tekortschiet als grote ICT-incidenten niet binnen korte tijd worden opgelost. Welke concrete maatregelen gaat nemen om dit probleem aan te pakken? Volgen er bijvoorbeeld risico-analyses in het kader van cyberaanvallen, aanpassingen van inkoopbeleid om minder afhankelijk te zijn van enkele aanbieders en uitgebreide testen van nieuwe IT-programma’s?
Deze leden lezen dat er sprake is van onvoldoende kennisdeling op zowel nationaal als internationaal niveau. Kan het kabinet aangeven wat de reden hiervoor is en op welke manier Nederland meer kan samenwerken met Europese lidstaten om gezamenlijk op te trekken de digitale weerbaarheid te vergroten? Daarnaast vragen zij hoe kennisuitwisseling tussen ministeries rondom digitale weerbaarheid nu georganiseerd is op nationaal niveau. Welke verbeteringen ziet het kabinet daar? Kan centralisatie van kennis binnen de Rijksoverheid, in lijn met het rapport, hierin een groot verschil maken?
De leden van de CDA-fractie lezen dat het rapport aansluit bij de bestaande Nationale Veiligheidsstrategie over het vergroten van de digitale weerbaarheid van Nederland. Op welke punten is het rapport vernieuwend ten opzichte van de al bestaande strategie? Deze leden vragen ook of de aanbevelingen uit het onderhavige rapport parallel worden opgepakt met de Nationale Veiligheidsstrategie, of dat er sprake is van samenhang.
Zij lezen dat het kabinet prioriteit geeft aan onder andere het opzetten van een Center of Excellence, als motor voor de uitvoering van activiteiten en voor bundeling en bijeenbrengen van, kennis en kunde ter ondersteuning en facilitering van overheidsorganisaties. Op welke manier gaat het kabinet ervoor zorgen dat de mogelijkheden tot kennis- en informatiedeling voldoende geborgd is? Deze leden vragen ook of met dit Center ook geborgd is dat overheidsorganisaties van elkaar kunnen leren.
Zij lezen verder dat ook prioriteit wordt gegeven aan het ontwikkelen van overheidsbrede terugvalfaciliteiten voor noodsituaties, maar dat de daadwerkelijke uitvoering alleen mogelijk is met forse investeringen. Kan het kabinet inmiddels al inzichtelijk maken hoe groot die benodigde investeringen mogelijk gaan zijn, bij voorkeur uitgesplitst naar type investeringen? En heeft het kabinet ook een beeld van hoeveel bespaard kan worden als er sterkere IT-systemen zijn waar minder projectmatige budgetoverschrijdingen mee gemoeid zijn?
De leden van de CDA-fractie lezen dat het kabinet streeft naar verbetering van al lopende ontwikkelingen. Welke ontwikkelingen betreffen dit? Is het kabinet bereid om daarbij ook scholen en bibliotheken te betrekken zodat (in het kader van burgerschapsonderwijs) jongeren ook bereikt, geïnformeerd en bewust worden gemaakt van hoe zij weerbaarder kunnen worden? Zo ja, welke extra inspanningen kan de Kamer hierop verwachten op korte termijn?
Deze leden zijn ook benieuwd naar de mogelijkheden om buurtcrisisteams in de samenleving te organiseren die bijvoorbeeld één keer per jaar een oefenscenario in de praktijk brengen, zoals in de vorm van een survivalchallenge. Kan het kabinet toezeggen om met gemeenten in gesprek te gaan of hier eerste ervaringen mee kan worden opgedaan?
Vragen en opmerkingen van de leden van de BBB-fractie
De leden van de BBB-fractie hebben met grote urgentie kennisgenomen van het rapport «Van kwetsbaar naar weerbaar» van ABDTOPConsult. Deze leden constateren dat cruciale overheidsprocessen, zoals uitkeringen en de rechtsgang, recent ernstig in gevaar zijn geweest door het dreigende faillissement van een grote ICT-leverancier. Zij hebben naar aanleiding hiervan de volgende vragen.
De leden van de BBB-fractie vragen allereerst of de Minister van BZK de conclusie uit het rapport deelt dat er sprake is van een situatie van «vijf over twaalf» ten aanzien van de digitale weerbaarheid van de overheid. Herkent de Minister verder het beeld dat de overheid te afhankelijk is geworden van externe ICT-leveranciers en daardoor kwetsbaar is voor maatschappij-ontwrichtende scenario’s?
Deze leden vragen de Minister hoe hij de constatering beoordeelt dat bij overheden nog steeds onvoldoende sprake is van zowel eenduidige definities van kritieke ICT-dienstverlening als structurele terugvalopties zoals «step-in-rechten» en «escrow-regelingen». Kan de Minister tevens aangeven welke concrete verbeteringen hierin sinds het verschijnen van het rapport al zijn doorgevoerd?
Hoe borgt de Minister dat de zogeheten «lauwe fase» (dreigende crisis) bestuurlijk wordt vastgehouden en niet opnieuw leidt tot een situatie van «back to normal», terwijl de structurele risico’s blijven bestaan? Wordt hiervoor een rijksbreed crisis- en weerbaarheidsregime ingericht met vaste verantwoordingsmomenten?
Deelt de Minister de opvatting van de leden van de BBB-fractie dat digitale weerbaarheid geen beleidswens is, maar een kerntaak van de overheid? Onderschrijft de Minister dat de aanbevelingen uit het rapport alleen uitvoerbaar zijn met een substantieel en structureel budget?
Deze leden vragen waarom in de Kamerbrief (Kamerstuk 39 362, nr. 388) en bijbehorende beslisnota ervoor is gekozen om de financiering van de noodzakelijke rijksfaciliteiten (zoals dataopslag en fallback-voorzieningen) pas in een later stadium aan de orde te stellen. Acht de Minister het verder verantwoord om bij een zo hoog maatschappelijk risico te wachten op separate businesscases voordat structurele financiering wordt geregeld?
Zij vragen aan de Minister of kan worden aangegeven welk budget reeds is gereserveerd voor overheidsbrede terugvalfaciliteiten, een mogelijk nationaal ICT-weerbaarheids- en competence center, en het verminderen van technische schuld binnen rijks-ICT. Is de Minister bereid om benodigde middelen vrij te maken door herprioritering van onbestede middelen en vertragingsgelden die binnen andere begrotingsartikelen vrijkomen, zoals: onderbesteding op Bewaken en Beveiligen, meevallers bij Opsporing en Vervolging, onderuitputting bij Toevoegingen Rechtsbijstand, verminderde aanbestedingen bij BZK zelf? Zo nee, waarom niet, gezien de directe relatie tussen digitale weerbaarheid en nationale veiligheid? Kan de Minister als laatste inzichtelijk maken welk bedrag in 2025 via herschikking daadwerkelijk beschikbaar kan worden gemaakt voor digitale weerbaarheid?
II Antwoord/reactie van de bewindspersoon
Zie pagina 9 van het rapport «Van kwetsbaar naar weerbaar. Geleerde lessen uit dreigende acute en langdurige uitval van uitbestede ICT-dienstverlening bij overheidsorganisaties», bijlage bij Kamerstuk 29 362, nr. 388.↩︎