Initiatiefnota 'Wolken aan de horizon'

De voorzitter:

Een hele goede ochtend allemaal op deze maandagochtend 2 juni 2025 in de Thorbeckezaal. Het is net na tienen. Op de agenda staat een notaoverleg van de vaste commissie voor Digitale Zaken over de initiatiefnota Wolken aan de horizon, van de leden Kathmann van GroenLinks-PvdA en Six Dijkstra van Nieuw Sociaal Contract. Aan mijn rechterzijde — de mensen thuis en op de tribune zien hen aan de linkerzijde — zijn de initiatiefnemers aangeschoven: de heer Six Dijkstra van Nieuw Sociaal Contract en mevrouw Kathmann van GroenLinks-PvdA. Een groots compliment aan hen voor de voortvarendheid waarmee zij binnen relatief korte tijd een initiatiefvoorstel hebben ingeleverd. Het vergt immers heel veel tijd en energie om dat tot stand te brengen. Dus hulde daarvoor.

Naast hen zijn vanuit het kabinet de minister van Economische Zaken, de heer Beljaarts, en de staatssecretaris Digitale Zaken, de heer Szabó, aangeschoven. Aan mijn linkerzijde — voor de mensen thuis en op de tribune is dat rechts — zijn aangeschoven: de heer Thijssen namens de partij GroenLinks-PvdA, de heer Buijsse namens de partij VVD en mevrouw Bruyning namens Nieuw Sociaal Contract. Ikzelf zal straks ook nog even als woordvoerder optreden. Ik draag het voorzitterschap dan heel even over aan de heer Thijssen, met zijn welnemen. Ik zou dan gaarne willen mededelen dat fracties elk vijf minuten spreektijd hebben. Het voorstel is om een vijf interrupties per fractie toe te laten.

Dan wens ik u allen een waardig debat toe en geef ik voor de eerste termijn gaarne het woord aan de heer Thijssen, die het woord zal voeren namens de partij GroenLinks-PvdA.

De heer Thijssen (GroenLinks-PvdA):

Dank, voorzitter. Ik sluit me aan bij de complimenten en het dankwoord aan de initiatiefnemers voor het schrijven van Wolken aan de horizon. We komen er in Den Haag steeds meer achter hoe belangrijk digitalisering is voor onze veiligheid en economie. Het is allang niet meer alleen iets voor techneuten en ICT'ers; het is keiharde politiek. GroenLinks-PvdA strijdt al langer voor digitale autonomie. Het is onaanvaardbaar hoe groot de macht van big tech is geworden. In feite draait onze hele overheid nu op computers die niet van ons zijn. Er staan gegevens op harde schijven van iemand anders. Het leidt tot risico's die we misschien niet meteen voelen, maar waar we wel echt iets aan moeten doen.

Met de spanning in de wereld is de urgentie alleen maar groter geworden, terwijl de nota nog voor het aantreden van Donald Trump is gemaakt. We snappen nu allemaal dat we baas moeten zijn in eigen cloud. Nederland kan niet blijven leunen op Amerikaanse techmiljardairs, op dezelfde mensen die bijna allemaal de kant van de regering-Trump hebben gekozen en zich laten lenen voor zijn politieke strijd met Europa.

Neem nou bijvoorbeeld ASML. Dit bedrijf maakt machines waarmee de beste chips ter wereld gemaakt kunnen worden. Niemand in de wereld kan dat. De VS wilden dat wij exportbeperkingen aan ASML zouden opleggen. Aangezien wij niet gek zijn, hebben we dat ook gedaan, zodat deze machines niet naar bijvoorbeeld China geëxporteerd kunnen worden. Maar de Verenigde Staten en die heren van big tech willen die machines ook kunnen maken. Trump wil dat ook. De e-mails, memo's en alles wat de Nederlandse overheid overlegt met ASML om hun bedrijfsgeheimen geheim te houden, staan — u raadt het al — op Amerikaanse clouddiensten. Ziet u de wolken al opdoemen? Dit is ontzettend link. Wie weet zitten ze er al aan met hun tengels. Mijn vraag aan de bewindspersonen is dan ook: hoe zien zij dat? Hoe zien zij de risico's voor deze parel van de Nederlandse industrie? Zijn hun bedrijfsgeheimen wel veilig als zij overleggen met deze bewindslieden?

Een tweede voorbeeld. We zien ook allemaal dat Trump dreigt met handelstarieven. Daarover wordt nu onderhandeld. Overleg binnen de overheid over die onderhandelingen is terug te lezen in memo's en e-mails die staan op Amerikaanse clouddiensten. Hoe lastig is het onderhandelen als de ander je onderhandelingsstrategie kent, vraag ik de minister. Graag een reactie daarop.

Deze voorbeelden laten kristalhelder zien waarom de Nederlandse overheid zo snel mogelijk van de Amerikaanse clouddiensten af moet. Ik neem aan dat de bewindslieden dat met mij eens zijn. Als ze het met me eens zijn, wil ik ook vragen hoe het eigenlijk komt dat al die overheidsdiensten op deze Amerikaanse clouddiensten staan. Hoe is dit zo gekomen, vraag ik de minister van EZ.

De oplossing zit 'm in een nieuwe aanpak van de overheid. Het beleid moet op de schop en er moet centrale sturing komen in plaats van ieder voor zich. Nu kiest elk stukje van de overheid voor de goedkoopste en makkelijkste optie. Dat is vrijwel altijd Microsoft, Google of Amazon. Door het gebrek aan sturing kunnen we er straks zelf niet meer bij en ligt alles bij big tech. GroenLinks-PvdA wil van de staatssecretaris weten hoe hij dit wil coördineren. Ik hoop dat hij daar in dit debat wat over wil zeggen, zonder te verwijzen naar de Nederlandse Digitaliseringsstrategie, die hij vrijdag presenteert. Eerlijk gezegd heb ik daar nu namelijk geen boodschap aan. Concreet. Kan hij ingaan op de aanbevelingen van Wolken aan de horizon, die gaan over de rol van de CEO Rijk, de chief information officer, en de coördinerend bewindspersoon? Welke rol pakt hij in het uitvoeren van aangenomen Kamermoties op dit punt? Hoeveel geld heeft hij hiervoor beschikbaar?

Niet alleen de cyberveiligheid, maar ook onze economische veiligheid staat op het spel. Als de Nederlandse en de Europese cloudsector buitenspel worden gezet, is er straks geen industrie meer over. De tijd voor actie is nu. Hebben de initiatiefnemers, zo vraag ik hun, contact gehad met cloudondernemers en het werkveld van deze nota? Wat horen zij in die gesprekken met deze ondernemers? Wat heeft de sector nodig om aan de slag te gaan? Het gaat nu namelijk te vaak mis. Dat zit hem vooral in inkoop en aanbesteding van clouddiensten, de zogenaamde open trajecten, die uiteindelijk bijna uitsluitend bij Amerikaanse techgiganten terechtkomen. Hoe komt dat toch, vraag ik aan de bewindspersonen. Ondervinden zij problemen met hoe hun ICT nu wordt aanbesteed?

Het komt er keer op keer op neer dat big tech het wint. Hoe komt het dat big tech het keer op keer wint van de Europese alternatieven? Een oorzaak is voor GroenLinks-PvdA duidelijk. Microsoft, Google en Amazon hebben directe toegang tot de overheid. In een soort clubje dat we Strategisch Leveranciersmanagement Microsoft Rijk noemen, worden contracten met elkaar afgestemd. Ik moet zeggen: dit is toch ongelofelijk? Je zal maar een apart clubje hebben met toegang tot je opdrachtgever met miljardenbudget. Lekker dan! Dus mijn vraag is: hoe kijken de initiatiefnemers naar dit construct en hoe zou het kunnen worden uitgebreid, zodat Europese bedrijven ook in gesprek kunnen met de overheid over aanbesteden, veiligheid en geld? Kunnen ook de bewindslieden reflecteren op dit aparte clubje, met toegang tot deze opdrachtgever met miljardenbudget? Ik overweeg op dit punt met collega Bruyning een motie in te dienen, want vanuit economisch belang is het heel verstandig om te investeren in de eigen sector. Dat verdient zichzelf dubbel en dwars terug. Kunnen de bewindspersonen aangeven hoeveel belastinggeld we nu per jaar kwijt zijn aan big tech? Hoeveel geld besteden we jaarlijks aan Europese alternatieven? Hoe maken we die verdeling straks eerlijker?

De heer Thijssen (GroenLinks-PvdA):

Ja, ik heb nog een klein stukje. Het is een notaoverleg. Ik denk: ik kan uren spreken. Maar ik heb nog een minuutje nodig.

De heer Thijssen (GroenLinks-PvdA):

Ik zal me haasten.

Tot slot: de cloudcommissaris. GroenLinks heeft grote behoefte aan inzicht. We vragen er vaak genoeg om. Beide initiatiefnemers hebben het zelfs bij acht verschillende ministeries uitgevraagd: wat doen we nu om digitale autonomie te vergroten? We missen bij het kabinet de urgentie die de Kamer wel voelt. Omdat de overheid de informatie almaar niet geeft, zal ik straks een motie indienen om een onafhankelijke functionaris aan te wijzen, die door de departementen heen kan prikken, een zogenaamde cloudcommissaris. Dit leidt tot de laatste paar vragen. Hoe willen de initiatiefnemers de vinger aan de pols houden over de opvolging van hun voorstellen en hoe gaan de bewindspersonen de Kamer inzicht geven in hoe de afhankelijkheid van big tech wordt ingeperkt?

Ik kijk uit naar de antwoorden van de initiatiefnemers en het kabinet.

Dank u wel.

De heer Thijssen (GroenLinks-PvdA):

Tja, ik vind het een beetje een gekke vraag. Stel dat we bij de rijksoverheid zeggen: we gaan de postkamer uitbesteden. Stel dat de Amerikaanse ambassade zegt: nou, dat is prima, we hebben nog wel een zaaltje vrij, ga daar maar de post verwerken van de Nederlandse overheid. Dan zeggen wij: o, dat is prima. Dan belooft de ambassade dat ze niet in onze brieven gaan neuzen. Iedereen zou zeggen: je bent hartstikke gek. Dat is vertrouwelijke post, die moet de rijksoverheid zelf beheren. Dit is toch precies wat wij gedaan hebben? Ik denk dat het cruciaal is dat wij controle krijgen over onze eigen informatie en dat wij controle krijgen over onze eigen e-mails. Ik heb net twee voorbeelden genoemd, van ASML en van onderhandelingen over handelstarieven. Wij moeten zelf controle hebben over de informatie die wij als rijksoverheid hebben, over de afspraken die wij met elkaar proberen te maken en allemaal van dat soort zaken. Het kan zijn dat het wat duurder is. Dat wil ik ook graag weten van de initiatiefnemers en van de bewindspersonen. Ik heb gehoord dat er ook aanbiedingen zijn geweest van Europese aanbieders die zelfs goedkoper waren. Het is dus nog maar de vraag of het echt duurder moet zijn. Mijn ervaring is ook wel dat als je gaat aanbesteden, het op een gegeven moment wat volume gaat krijgen en je tegen die andere bedrijven zegt dat dit de komende decennia zo gaat blijven, die prijzen ook naar beneden kunnen. Dan moeten ze wel zaken ontwikkelen, maar dan weten ze dat ze de komende decennia dat geld kunnen terugverdienen. Dan zul je zien dat die prijzen naar beneden kunnen. Wat mij betreft mag het dus wat kosten. Hoeveel precies, dat vraag ik graag aan de initiatiefnemers en de bewindslieden. Ik denk dat we hier gewoon uit kunnen gaan van de Europese kracht en de innovatiekracht, en dat we op termijn uiteraard de concurrentie aankunnen met die grote techbedrijven, big tech, in Amerika.

De heer Thijssen (GroenLinks-PvdA):

Toch nog even over de kosten. Ik gaf al aan dat er indicaties zijn dat het goedkoper kan. Laat ik een ander voorbeeld noemen. In Nederland hebben we eerder de opwekking van windenergie op de Noordzee aanbesteed. Dat was toen de duurste optie van duurzame energie. Maar omdat de Nederlandse overheid toen heeft gezegd dat ze dat niet één keer zou gaan doen maar dat we 6.000 megawatt gaan neerzetten op de Noordzee, en dat we dat niet een paar jaar gaan doen maar gedurende de komende decennia, zagen we dat die consortia die dat kunnen heel erg scherp gingen aanbesteden. Zij snapten namelijk dat hier een businesscase, een markt, was die zich de komende decennia zou ontwikkelen en ze wilden daarbij zijn. Ik vermoed dat dat hier ook gaat gebeuren bij Europese bedrijven. Als zij zien dat de Nederlandse overheid en ook andere Europese overheden overgaan naar Europese clouddiensten, dan zullen al die bedrijven daar bij willen zitten. En dus gaan ze scherp aanbesteden. Ik vermoed dus dat die meerkosten best nog wel eens zouden kunnen meevallen. Maar nogmaals, ik weet dat de initiatiefnemers excellente ondersteuning hebben, dus ik weet zeker dat we er dadelijk uitgebreid antwoord op zullen krijgen.

Dan nog uw vraag over de prioritering. Ik zou zeggen: we moeten met alles zo snel mogelijk weg bij die Amerikaanse clouddiensten. Ik heb in de initiatiefnota gezien dat er een doelstelling is om een derde weg te halen. De vraag waar dan precies de prioriteit zou moeten liggen, geef ik graag door aan de initiatiefnemer van mijn partij GroenLinks-PvdA, mevrouw Kathmann. Ik hoop dat zij daar in haar termijn antwoord op kan geven.

De heer Buijsse (VVD):

Dank u wel, voorzitter. Ook ik zou graag allereerst de initiatiefnemers willen bedanken voor deze nota. De VVD vindt het mooi dat intenties die de initiatiefnemers hebben en die al dateren uit 2024, aansluiten bij de urgentie die we vandaag de dag ervaren en die ook echt leeft bij inwoners en ondernemers in ons land. De vraag waar we vandaag voor staan is in hoeverre wij als Europa en in het bijzonder als Nederland strategisch autonomer kunnen en willen worden. Het is goed dat we hierover vandaag met elkaar in gesprek gaan.

Voorzitter. Als het gaat om clouddiensten is het voor de VVD van het grootste belang dat onze nationale veiligheid en de bescherming van persoonsgegevens niet in het geding zijn. Onze vitale infrastructuur moet te allen tijde werken, en inwoners en ondernemers moeten ervan uit kunnen gaan dat hun gegevens altijd veilig zijn. We moeten ook eerlijk zijn: we zijn als overheid jarenlang naïef geweest bij het migreren van overheidsdiensten naar de cloud, waardoor er een sterke afhankelijkheid is ontstaan. Afhankelijkheid maakt je kwetsbaar. Actuele nieuwsfeiten over het afsluiten van e-mailaccounts binnen het ICC en over het afsluiten van toegang tot wetenschappelijke kennis bij universiteiten in de Verenigde Staten, maar ook de conclusies uit het Rekenkameronderzoek, tonen de urgentie aan. Dat is voor de VVD-fractie een duidelijke call for action richting het kabinet.

Er moet dus iets gebeuren. Maar wat is de businesscase? De Amerikaanse hyperscalers bieden laagdrempelig toegang tot veel technologie en op grote schaal. Maar dat heeft een prijs: de overheid betaalt voor al die transacties. Kan de staatssecretaris of de minister aangeven hoeveel geld wij als overheden gezamenlijk uitgeven aan clouddiensten? En om te beginnen: hoeveel geld gaat er om in het zogenaamde Strategische Leveranciersmanagement Rijk met Microsoft, Google en Amazon? Met het oog op de toekomst van clouddiensten: is het aannemelijk dat het bedrag dat uit Europa verdwijnt uiteindelijk nog een factor groter zal zijn? Wat de VVD betreft is naast het veiligheidsaspect ook het economische aspect een argument om te werken aan een meer divers cloudlandschap. Zien de initiatiefnemers dat ook zo?

Voorzitter. Ik wil ingaan op de drie hoofdonderwerpen van de indieners in de initiatiefnota. Het eerste kopje in de initiatiefnota gaat over het pakken van de regie over digitale soevereiniteit. De VVD is het eens met de indieners dat er meer regie dient te komen om risico's en kansen van de digitalisering te verzilveren, ook voor wat betreft het gebruik van clouddiensten door de overheid. In tegenstelling tot de indieners zijn wij niet voor het opleggen van normen voor een minimumaandeel cloudopslag bij Nederlandse of Europese leveranciers. Wel zijn we het eens met de indieners dat we meer en beter dienen samen te werken met bedrijven en decentrale overheden en dat we, gezien de sterk groeiende vraag binnen en buiten de overheid, slimmer moeten omgaan me de beschikbare cloudcapaciteit in Nederland. Ik wil de indieners en de staatssecretaris vragen hoe zij dit beoordelen. Hebben we bijvoorbeeld genoeg ruimte in Nederland voor de groeiende vraag naar datacentercapaciteit voor zowel de publieke als de private sector? En is de staatssecretaris in gesprek met de minister van VRO over de vraag of de gewenste datacentercapaciteit past bij de lijn van de Nota Ruimte?

De heer Buijsse (VVD):

Dit is eigenlijk de perfecte vraag; dank u wel, meneer Thijssen. Ik veronderstel even dat het voorbeeld dat u schetste, gaat over de nationale veiligheid en het nationaal belang. Op het punt van de nationale veiligheid kiest de VVD voor een risicomitigerende aanpak. Als in de prioriteitstelling boven komt drijven dat het een grote mate van importantie heeft dat gegevens in het kader van de nationale veiligheid nú naar de Nederlandse of Europese cloud gaan, is de VVD er direct voorstander van om dat te doen. Dit is tegelijkertijd ook het antwoord op de vraag waarom we geen voorstander zijn van een norm van 30%. We begrijpen wel dat we door een risicomitigerende strategie naar een hoger aandeel Europese of Nederlandse cloud zullen gaan, maar dat betekent niet dat dat een doel op zich is. Misschien komen we wel uit op 50% of 70%. Dan zouden we onszelf met die 30% veel tekortdoen. Het gaat wat ons betreft om de vraag wat de risico's zijn en hoe je mitigerenderwijze daarmee omgaat.

De heer Buijsse (VVD):

Dat zijn meerdere vragen in één keer, maar dat kan ik aan. De indieners spreken over een doelstelling van 30%. Wij zijn ervan overtuigd dat je gezien de gigantisch grote omvang van het cloudgebruik bij de overheid, zowel decentraal als centraal, die sprong niet in één keer kunt maken. Wij stellen daarom voor om een risicomitigerende strategie te volgen: eerst de belangrijkste risico's. Naar gelang de risico's lager worden, kun je vervolgens overwegen om de hele cloudinfrastructuur Europees of Nederlands te laten zijn, ook op basis van kostenaspecten, wellicht gezien ook de veronderstelling die u doe dat het daardoor goedkoper wordt. Maar wij zijn ons er terdege van bewust dat je niet alles in één keer kunt doen en dat dat een onrealistisch scenario is.

De heer Buijsse (VVD):

Dat is voor mij een vraag aan de minister.

De heer Buijsse (VVD):

Groen staal is niet helemaal onderdeel van mijn portefeuille. Het heeft er wel mee te maken dat we daar een klimaatakkoord onder hebben liggen, waarin we doelstellingen hebben opgenomen waar je uiteindelijk de groenstaalproductie onderdeel van maakt. Om met elkaar een groeimodel te hebben naar de hogere doelstelling van de klimaatdoelen, bouw je die normen in. Maar hier, in deze situatie, hebben we niet zo'n wereldwijde doelstelling die nodig is om tot zo'n norm te komen. Laat die norm alsjeblieft geen doelstelling zijn. Ik zou het prima vinden als we op 30% zouden komen, of zelfs op 100%, zoals de heer Thijssen suggereerde. Dat is alleen maar beter voor onze economie en voor onze eigen lokale ondernemers, uiteraard. Maar het gaat wat ons betreft om de snelheid, en het gaat uiteindelijk ook om de kosten die ermee gepaard gaan. Die moeten dragelijk zijn. Het moet een goede businesscase zijn.

De heer Buijsse (VVD):

Nou, versta me niet verkeerd, maar ik heb nog twee paragraafjes te gaan in mijn spreektekst. Volgens mij gaan die in op de vraag van mevrouw Koekkoek. Misschien is het het beste als ik mijn laatste twee paragraafjes voorlees, en dat mevrouw Koekkoek dan nog de vraag aan mij stelt, of niet, want anders heeft zij een vraag minder.

De heer Buijsse (VVD):

Als dat zou kunnen, graag, ook voor mevrouw Koekkoek. Als het niet goed is, hoor ik het wel.

Voorzitter. Het tweede kopje in de initiatiefnota betrof "zorg voor een gezonde voedingsbodem en eerlijke concurrentie". Zo heette dat kopje. De VVD staat sympathiek tegenover voorstellen van de indieners die streven naar meer samenwerking met de Nederlandse cloudsector, en ja, hierin mogen we best wat nationaler gaan denken en ons minder snel overgeven aan de verleiding van Amerikaanse techgiganten. Maar er moet ook een businesscase zijn voor de cloudsector. Hoe beoordelen de indieners van de nota dit? Heeft u voldoende beeld bij de mate waarin er een businesscase is voor de cloudsector om op te ondernemen? Heeft u een financieel plaatje voor ogen van wat dit de overheid ongeveer gaat kosten?

De VVD vindt daarnaast dat we het aanbestedingsbeleid dienen te herzien, om de businesscase juist aantrekkelijker te maken voor de bedrijven. We hebben kennisgenomen van het feit dat Estland een wet heeft voorbereid waarin staat dat er bij aanbestedingen, naast een beoordeling van het kostenaspect, ook een beoordeling van risico's komt. Mijn vraag aan de indieners en de staatssecretaris is of dit voor Nederland ook zou kunnen, en hoe zij daartegen aankijken.

Voorzitter. Het laatste kopje luidt "handhaaf eigen beleid". De indieners stellen dat autonomie en privacy al hoofdpunten zijn voor het Nederlandse beleid, maar dat dit door gebrek aan regie boterzacht is. Ze stellen daarom voor wetgeving te maken om de digitale autonomie verder te verankeren. Als het gaat om het verstevigen van de positie van CIO's, exitstrategieën en open standaarden, kan de VVD meegaan in de gedachten van de indieners. Echter gaat het wettelijk borgen van de zogenaamde "soevereine nationale cloud" ons een brug te ver. Een nationale cloud voor vitale overheidsstructuur is voor de VVD wel denkbaar en mogelijk zelfs noodzakelijk, maar eerder als gevolg van een risicostrategie op bestaande wetgeving in het kader van nationale veiligheid en privacy. Het is dus geen doel op zich.

Als VVD stellen we voor een nationale cloud dus prioriteiten op volgorde van relevantie: nationale veiligheid en bescherming persoonsgegevens als eerste, en vervolgens andere zaken. Kijken de indieners en de staatssecretaris ook qua prioriteitstelling op deze wijze naar een nationale cloud? Als dit niet zo is, dan is de vraag: waar gaat u dan beginnen? Die vraag stel ik mede met het oog op de opslagcapaciteit, de businesscase voor bedrijven en de hoge kosten die hiermee gepaard gaan.

Voorzitter. De eindconclusie wat betreft de aanbevelingen uit de initiatiefnota is dat wij niet alle aanbevelingen kunnen omarmen, maar wel een aantal.

Dank u wel.

De heer Buijsse (VVD):

Richting mevrouw Koekkoek zou ik willen zeggen: dit is natuurlijk niet het eerste debat dat wij voeren over de cloud. Een aantal weken geleden — ik denk dat het zelfs een maand of twee geleden is — hebben we het plenaire debat gehad over migraties van overheids-ICT naar het buitenland. Daarbij hebben de VVD, maar ook anderen moties ingediend. Ik denk dat al die moties bij elkaar opgeteld al een hele behoorlijke call to action zijn voor het kabinet. Wij krijgen daar ook feedback over. Voor mij persoonlijk: ik heb zelf ook een motie ingediend namens de VVD-fractie. Die heeft ook een meerderheid gehaald. Daarmee heb ik het kabinet verzocht om zo snel mogelijk, het liefst nog voor het meireces — we zitten nu vlak voor het zomerreces, dus ik geef nog even wat credits aan het kabinet — te komen met een risico-inventarisatie voor de nationale veiligheid en voor de bescherming van persoonsgegevens. Ik heb gevraagd om dat samen met de AIVD en de Autoriteit Persoonsgegevens te doen. Als we op dat gebied nu niet heel snel de risico's mitigeren en komen met oplossingen, dan gaan we echt een scheve schaats rijden. Dat vind ik eigenlijk wel heel concreet, mevrouw Koekkoek. Ik ben ook heel benieuwd. Ik heb een aantal moties klaarliggen; wellicht kunnen we samen optrekken om het nog concreter te maken wat betreft de businesscase.

Mevrouw Bruyning (NSC):

Dank, voorzitter. Allereerst dank ik de initiatiefnemers voor het opstellen van deze initiatiefnota. Zij brengen hiermee een urgent en strategisch vraagstuk onder de aandacht dat gezien de oplopende geopolitieke spanningen alleen maar relevanter is geworden: onze digitale afhankelijkheid van de Verenigde Staten. Die afhankelijkheid is vooral nijpend bij cloudtechnologie. De Nederlandse overheid, en in het verlengde daarvan ook onze samenleving, leunt bijna volledig op de infrastructuur van drie grote Amerikaanse techbedrijven. Daarmee maken we onszelf kwetsbaar. Dit is geen abstract of hypothetisch risico; het is een concrete zwakte in onze digitale autonomie.

Voor veel mensen lijkt dit misschien een ver-van-mijn-bedshow. Wat maakt het immers uit waar de overheid haar gegevens opslaat, via welke servers toeslagen worden uitbetaald of via welk platform je belastingaangifte wordt verwerkt? Zolang het maar werkt, toch? Maar juist daar wringt het. We kunnen die werkzekerheid niet garanderen. De realiteit is dat de Amerikaanse overheid via wetgeving zoals de CLOUD Act direct invloed kan uitoefenen op gegevens die zich fysiek op Europees grondgebied bevinden zolang die in handen zijn van Amerikaanse bedrijven. In een tijd van geopolitieke frictie is het niet ondenkbaar dat de VS op enig moment druk kunnen uitoefenen door onze digitale infrastructuur te beïnvloeden of zelfs te blokkeren. De gedachte dat Washington met één druk op de knop onze overheidsdiensten kan stilleggen, is ongemakkelijk en vooral reëel. Het is dan ook van belang dat we politiek gezien niet alleen reageren op incidenten of ophef, maar dat we vooruitdenken.

Nieuw Sociaal Contract vindt dat we als Kamer bezig moeten zijn met de grote vraagstukken van morgen: het onderhoud van een weerbare democratie. In dat licht is het lovenswaardig dat de initiatiefnemers dit debat al meer dan een jaar geleden geagendeerd hebben.

Voorzitter. Ik heb enkele vragen aan zowel de initiatiefnemers als de regering. Laat ik beginnen met de haalbaarheid van de voorstellen. De bekende olifant in de kamer is dat er simpelweg minder hoogwaardige Nederlandse of Europese cloudleveranciers zijn dan Amerikaanse. Wat maakt dat de initiatiefnemers geloven dat er voldoende aanbod is om de ambitie van een autonome overheidscloud te realiseren? Als dat aanbod er komt, hoe garanderen we dan dat deze leveranciers technologisch niet structureel achterlopen op reuzen als Microsoft en Amazon?

Dan het financiële aspect. De initiatiefnota stelt dat de voorstellen budgetneutraal zijn, maar is dat realistisch? De cloudsector is een miljardenindustrie. Kan een autonome Nederlandse of Europese overheidscloud echt zonder substantiële extra investeringen tot stand komen, of zijn er op termijn toch subsidies en structurele financiering nodig? Ik krijg graag een onderbouwing van de initiatiefnemers.

Ook over het tijdspad heb ik een vraag. De initiatiefnemers mikken op ten minste 30% autonome cloud voor de overheid in 2029. Het kabinet daarentegen lijkt in de kabinetsreactie terughoudend en committeert zich niet aan een concreet streefjaar. Mijn fractie vindt het echter van groot belang dat er wél een stip op de horizon wordt gezet, zodat daar doelgericht naartoe gewerkt kan worden. In de tweede termijn zal ik hierover een motie indienen.

Voorzitter. De initiatiefnemers verwijzen in hun positionpaper ook naar het concept van de "Bijenkorf Cloud Megascaler ", een idee dat afkomstig is uit een rapport van Clingendael. Kort gezegd komt het neer op een Europees model, waarbij verschillende cloudfunctionaliteiten, afkomstig van verschillende aanbieders, worden samengevoegd tot één pakket. Hierdoor ontstaat diversificatie en wordt het voor kleinere, innovatieve partijen eenvoudiger om een plek te veroveren in de cloudmarkt. Wat Nieuw Sociaal Contract betreft moet dit model actief gestimuleerd worden op Europees niveau. Ook op dit punt overweeg ik een motie.

Dan wil ik nog ingaan op een ander belangrijk punt: de rol van Nederlandse bedrijven. Vorige week hebben meerdere bedrijven, verenigd onder de naam "Dutch Cloud Community", en de Stichting Digitale Infrastructuur Nederland een positionpaper gepubliceerd. Hierin pleiten zij voor een nieuwe categorie binnen de overheid: gevoelige data, essentiële diensten en kritieke infrastructuur. Aanbestedingen binnen deze categorie zouden aan strengere eisen moeten voldoen, waarbij opslag en verwerking uitsluitend bij Nederlandse of Europese partijen kan plaatsvinden. Zo blijven data immuun voor buitenlandse inmenging, zoals Amerikaanse of Chinese inlichtingenwetgeving. Ik vraag de initiatiefnemers hoe zij tegen deze aanbevelingen aankijken en ik vraag de regering om een inhoudelijke reactie.

In dit verband wijs ik ook op het feit dat andere Europese landen al gebruikmaken van uitzonderingsbepalingen ten aanzien van nationale veiligheid binnen aanbestedingsregels. Waarom zou Nederland hierin achterblijven? De genoemde bedrijven doen nog enkele andere concrete voorstellen: een keurmerk voor Nederlandse en Europese partijen die voldoen aan strenge voorwaarden voor het verwerken van gevoelige overheidsdata, een centraal loket voor overheidsinkopers waarmee zij aanbieders met dit keurmerk kunnen vinden en een 24 uurscalamiteitenplan dat migratie van data naar en van lokale opslag mogelijk maakt, naar voorbeeld van de aanpak binnen Defensie. Graag hoor ik van zowel de initiatiefnemers als de regering hoe zij tegen deze aanbevelingen aankijken.

Voorzitter. Als we iets geleerd hebben van de afgelopen jaren, is het dat digitale autonomie geen luxe is, maar noodzaak. Het gaat niet alleen om technologie, maar het gaat ook om soevereiniteit, veiligheid en bestuurlijke betrouwbaarheid. Laten we daarom de noodzakelijke stappen zetten, niet morgen, maar vandaag.

Dank u wel.

Mevrouw Bruyning (NSC):

Allereerst dank u wel voor de vraag, collega. Nou moet ik toegeven dat mijn expertise zich niet op dit vlak bevindt, maar ik denk natuurlijk dat we goed moeten kijken naar de ruimte die we hebben in Nederland en dat er, indien dat nodig is, wel ruimte gemaakt zal moeten worden voor deze datacenters, omdat we het heel belangrijk vinden dat we digitaal autonoom worden. De stappen die daarbij horen, moeten genomen worden in de strekking waarin ze genomen kunnen worden. Voor de rest laat ik het graag over aan de initiatiefnemers om hun visie te geven op de vraag in hoeverre we deze uitbreiding nodig hebben en op welke schaal die zou moeten zijn.

Mevrouw Bruyning (NSC):

Dank u wel voor deze technische vraag, collega. Ik zou graag willen zeggen dat ik daar een antwoord op heb, maar dat is niet het geval. In de politiek moeten we ook eerlijk zijn. Ik geleid deze vraag dus graag door naar de initiatiefnemers van deze nota. Ik zie uit naar de beantwoording daarvan.

Mevrouw Koekkoek (Volt):

Dank, voorzitter. Waar de cloud voorheen vooral een onderwerp was voor technici, wordt er tegenwoordig meer dan ooit over gesproken. Dat stemt mij positief, want de cloud is een essentieel fundament voor onze digitale toekomst. De toegenomen aandacht voor dit thema is mede te danken aan mijn collega's Barbara Kathmann en Jesse Six Dijkstra, die met hun ambitieuze initiatiefnota belangrijke stappen voorstellen om de Nederlandse digitale soevereiniteit te versterken, door de afhankelijkheid van de zogenoemde techreuzen te verminderen. Dat juich ik van harte toe. Mijn complimenten aan mijn collega's.

Maar ik zie nog wel verbeteringen. Ik zou graag nog één stap verdergaan, in het bijzonder op Europees niveau. Voor ons is het cruciaal om digitale onafhankelijkheid niet alleen nationaal, maar vooral ook binnen de EU te borgen en om dit op een verantwoorde en toekomstbestendige manier te doen. Door Europees op te trekken, kunnen we meer bereiken dan met een beperkte, nationale focus. Ik wil daarom op een aantal punten aansluiten bij de indieners van de initiatiefnota, maar ik wil ook aanvullende voorstellen doen over waar het volgens Volt nog beter kan. Ik zie uit naar de reacties van zowel de indieners als de bewindspersonen.

Voorzitter. Ik ben verheugd om te zien dat er zo veel aandacht voor cloudalternatieven is, zowel in de initiatiefnota als in de reactie op bijvoorbeeld mijn motie over versnelde investeringen in Europese cloudalternatieven en digitale infrastructuur. Het is fijn om te zien dat de neuzen dezelfde kant op staan. We moeten onze onafhankelijkheid vergroten. Toch wringt het als ik dan lees dat de initiatiefnemers vasthouden aan het uitgangspunt: Nederlands waar mogelijk, Europees waar noodzakelijk. Want juist in Europees verband hebben we bewezen verder te komen. Niet alleen op het gebied van infrastructuur, maar ook als het gaat om versterking van onze concurrentiepositie. Dat haalt bijvoorbeeld het Draghirapport ook aan. We hebben dat ook gezien in het daaropvolgende debat hier in de Kamer.

Voorzitter. Wat naar mijn mening nog ontbreekt, is daadkracht. Daarbij kijk ik nadrukkelijk naar dit kabinet. Want goede voornemens zijn pas iets waard als ze gepaard gaan met concrete investeringen. Daarom had het een goede toevoeging kunnen zijn aan deze nota als er ook verschuivingen op de begrotingen ingetekend waren. Want wie onafhankelijkheid echt wil vergroten, zal er meer in moeten durven investeren dan nu het geval is. Ik kijk daarbij ook nadrukkelijk naar de minister, zoals ik al zei, want we horen vaker vanuit het kabinet dat de plannen en ambities er wel zijn, maar het geld er niet is. Een van de momenten die mij nog bijstaat, is de reactie van het kabinet op mijn motie. Er werd lof en ambitie uitgesproken voor een Europees cloudinitiatief, maar het geld bleef wel op de plank liggen. Sterker nog, door niet mee te doen aan het Europese project om digitale onafhankelijkheid te stimuleren, lopen Nederlandse bedrijven en organisaties miljarden aan investeringsmiddelen mis. Dat is wat mij betreft een onbegrijpelijke tegenstelling, waar we echt doorheen moeten. Daarom vraag ik zowel aan de initiatiefnemers als aan de bewindspersonen of u het met mij eens bent dat er vergrote investeringen nodig zijn om deze ideeën tot uitvoering te brengen. Hoe ziet u het voor u om deze plannen tot uitvoering te brengen zonder die investeringen? En heel concreet: bent u net als Volt van mening dat Nederland zich net als Duitsland expliciet moet aansluiten bij een initiatief als EuroStack? Dat kwam net al even naar voren in een interruptiedebat met de VVD.

Voorzitter. Een ander argument om te pleiten voor het ontwikkelen van cloudalternatieven op Europees niveau is de gezamenlijke verantwoordelijkheid voor duurzaamheid. Samen hebben we simpelweg meer mogelijkheden om deze plannen klimaatbewust vorm te geven. We weten allemaal dat technologische vooruitgang gepaard gaat met een enorme druk op het elektriciteitsnet en dat Nederland niet altijd over de capaciteit beschikt om die belasting op te vangen. Door over de grens samen te werken, beperken we de klimaatimpact tot het noodzakelijke en voorkomen we dat er onnodig veel energie wordt verbruikt. Mijn vraag is hoe de initiatiefnemers en de bewindspersonen hiertegen aankijken.

Tot slot, voorzitter. Laat er geen misverstand over bestaan: mijn vragen doen niets af aan de inzet en het werk van de initiatiefnemers, integendeel. Ik onderschrijf hun uitgangspunt van harte. Ik ben blij dat digitale soevereiniteit met deze nota opnieuw de politieke aandacht krijgt die ze verdient. Maar juist omdat die urgentie zo groot is, mogen we deze ambities niet laten wegvallen in vrijblijvende woorden. Mooie intenties verdienen stevige daden. Als we echt werk willen maken van onze digitale onafhankelijkheid, dan moeten we nu ook durven kiezen voor grote en concrete stappen. De sleutel daarvoor ligt wat Volt betreft in Europese samenwerking. Anders blijft dit zeer waardevolle initiatief steken in goede bedoelingen en dat zou ontzettend zonde zijn.

Dank.

De heer Valize (PVV):

Heel hartelijk dank, voorzitter. Op 13 maart jongstleden hebben we uitgebreid gedebatteerd over de verhuizing van overheids-ICT naar het buitenland. De initiatiefnota was toen reeds ingediend en een debat hierover was toen ook allang aangevraagd. En ook op andere momenten werd dit onderwerp niet ongemoeid gelaten. Het onderwerp leeft. Dat is mooi, maar het is ook lastig. Lastig omdat met al die debatten, vragenlijsten en noem maar op de ambtelijke organisatie keer op keer wordt opgezadeld met allerhande vragen, waar dan weer op stel en sprong antwoord op moet worden gegeven en waar vervolgens nog een diarree van moties op volgt, waardoor werkzaamheden weer overhoop dienen te worden gegooid en beleid dat nog niet eens aan de Kamer is toegekomen alweer herschreven dient te worden.

Dan komt mijn eerste vraag, voorzitter. Ik ben eigenlijk wel benieuwd hoe de organisatie en het kabinet deze interventies, deze debatten, deze motiediarree en dergelijke hebben ervaren en of dit tot vertraging heeft geleid bij de totstandkoming van het herijkte cloudbeleid en de NDS.

Dat gezegd hebbende, voorzitter, de nota. Deze initiatiefnota gaat voornamelijk over de afhankelijkheid ...

De heer Valize (PVV):

De vraag is eigenlijk tweeledig. Daarom vraag ik het kabinet ook of zij er ervaring mee hebben dat dit daadwerkelijk vertragend werkt. Want iedere motie dient uitgewerkt te worden. In 2011 heeft de VVD zelfs een keer een motie ingediend om te laten onderzoeken wat zo'n motie nou kost. Daar kwam toentertijd nog uit: het kost iets van €7.500 om een aangenomen motie te behandelen en uit te werken. In het afgelopen jaar zijn er iets van 4.000 moties ingediend en daarvan zijn er 2.000 aangenomen, dus dan gaat het om 15 miljoen euro. Lekker ... maar ook de beantwoording en administratieve afhandeling daarvan moeten keurig afgewogen worden. Dat vergt veel capaciteit en dat kan leiden tot vertraging. Dus mijn vraag aan het kabinet is daarom of het ook daadwerkelijk ervaart dat dit soort motiediarree heeft geleid tot vertraging.

De heer Valize (PVV):

Goede moties steunen wij van harte. Dat is ook geen enkel probleem; dat hebben we ook gedaan in het verleden. Maar ik zie wel dat er ook moties worden ingediend die gewoon heel veel kunnen vertragen, omdat die gaan over beleid dat nog in de maak is. Vandaar ook mijn vraag aan het kabinet: ervaren jullie dit als vertraging? Als het niet vertragend is, is dat ook een antwoord. Maar ik heb echt het idee dat dit vertragend werkt. We rijden in de spaken van de wielen van het kabinet, terwijl dat bezig is om met een beleidsdocument te komen. Ik heb dat net al genoemd. Dat is een herijking van het cloudbeleid. Wordt dat hierdoor vertraagd? Of liggen we nog op schema? Dat is eigenlijk de concrete vraag. Daar zit toch wel een punt van zorg. Ik denk dat u die zorg heus wel zou kunnen delen.

De heer Valize (PVV):

Voorzitter. Dat gezegd hebbende ga ik naar de nota. De initiatiefnota gaat voornamelijk over de afhankelijkheid van Nederland van Amerikaanse clouddiensten. Daarbij wordt gepleit voor een herbezinning en voor het ontwikkelen van de Nederlandse en/of Europese cloudinfrastructuur. Er worden een aantal aanbevelingen gedaan, zoals het normeren van het gebruik van Nederlandse en Europese clouddiensten. Maar de boodschap is eigenlijk dat Nederland op digitaal vlak weerbaarder en zelfstandiger moet worden.

Het kabinet deelt in zijn reactie de zorgen over de onafhankelijkheid van voornamelijk Amerikaanse cloudaanbieders. Het stelt een herziening van het rijksbrede cloudbeleid in het vooruitzicht, inclusief striktere kaders voor het gebruik van public cloud en een onderzoek naar een soevereine overheidscloud.

Voorzitter. Dan kom ik bij mijn tweede vraag. We konden dat "medio 2025" verwachten. Tijdens het debat van 13 maart heeft u dat op mijn verzoek gespecificeerd tot net na het zomerreces. Geldt dit nog steeds? Is er dan ook extra aandacht voor de exitstrategie of de risicoafwegingen? Dat zijn namelijk punten die uit het rapport van de Algemene Rekenkamer naar voren zijn gekomen. Overigens komt daar nog een apart debat voor. Dat zit ook weer in de pijplijn.

Voorzitter. Eind deze week, op vrijdag, wordt de Nederlandse Digitaliseringsstrategie gepresenteerd. De cloud maakt daar onderdeel van uit. Niet alleen oplossingen met PaaS en IaaS, dus Platform as a Service en Infrastructure as a Service, zullen dan de revue passeren, maar ook oplossingen met SaaS, Software as a Service. Hier heeft de staatssecretaris reeds tijdens het debat over de digitalisering van de overheid op 23 april jongstleden aan gerefereerd. De staatssecretaris gaf ook regelmatig aan van start te willen gaan met een soevereine cloud. Hij noemde als voorbeeld Luxemburg. Ik citeer: "Ze hebben ook een soevereine cloud, ontkoppeld van het internet, maar met gebruikmaking van Amerikaanse oplossingen."

Voorzitter. Ik ben echt reuzebenieuwd naar die NDS, de Nederlandse Digitaliseringsstrategie, maar we zitten hier weer vooruit te lopen. Dit notaoverleg komt eigenlijk net iets te vroeg. We hebben het eigenlijk ook al in maart gevoerd. Naar aanleiding van de NDS volgt er weer een debat. Dan hebben we ook nog een debat over het Rekenkamerrapport. En zo volgen er meer.

Voorzitter. De markt op het gebied van digitalisering is internationaal. Specialisaties beperken zich niet tot de grenzen van ons eigen land. Maar om dan als één Europa op te trekken, waarbij klaarblijkelijk gesteld wordt dat lidstaten van Europa zich wel degelijk aan de spelregels houden en zich niet schuldig maken aan het hacken van andere lidstaten of aan spionage, is wel heel naïef.

Dat wordt niet weggenomen door het stukje tekst in de initiatiefnota, "Het francoscepsis-argument". Daarbij wordt als uitgangspunt gelijkwaardig partnerschap genoemd. Alles wordt uit de kast gehaald om te schetsen dat de VS de badguys zijn. Dat is misleidend. Nogmaals, de VS zijn niet onze vijand. Sterker nog, zij zijn onze belangrijkste bondgenoot en een belangrijke handelspartner. Toch wordt Amerika 30 keer genoemd.

China wordt wel genoemd, maar alleen als een partij die in staat was om een Amerikaanse server te hacken. Dat terwijl het Chinese Alibaba de grote nummer 4 van de aanbieders is. Wat nu als Europese of Nederlandse dienstverleners werken via Chinese servers, zoals Alibaba? Dat is mijn vraag aan de initiatiefnemers.

Voorzitter. Ik ga afronden. De PVV is geen tegenstander van de soevereine cloud voor zowel semi- als reguliere overheidsinstellingen en -organisaties. Dat geldt ook voor kritieke sectoren die met gevoelige data of gegevens werken. De belangrijke data, de gerubriceerde data, dient gewoon in eigen beheer te zijn en op een losgekoppeld netwerk in een eigen, zelfstandige overheidscloud te staan. Of de hardware of software nu uit de VS komen, is randzaak. Maar bied voor de reguliere toepassingen — ik noem het klantcontact, de informatievoorziening naar de burger en de ontsluiting en het openbaren van data — een ruimere optie. Dit is open data. Wat maakt het uit als het op een Amerikaanse cloud staat en/of in een Worddocument is opgesteld in de cloud?

Voorzitter. Daarmee ben ik aan het einde van mijn betoog.

De heer Valize (PVV):

De heer Buijsse had kennelijk een paar minuutjes waarin hij weggedoezeld was of gewoon geslapen heeft. Dat kan. Hij heeft in ieder geval niet opgelet wat ik heb aangegeven. Ik heb in mijn betoog aangegeven dat wij wel degelijk het nut en de noodzaak zien van een soevereine cloud. Dat was mijn inleiding. Dat zijn die gerubriceerde data. Dat is die gevoelige informatie, bedrijfsgevoelige informatie, handelsinformatie; dat zijn de data die van belang zijn voor onze eigen nationale veiligheid en soevereiniteit. Dat we die op een losgekoppelde cloud hebben, is logisch. Daar zijn we het allemaal wel over eens. Maar als we het hebben over toepassingen voor bijvoorbeeld het open gooien van informatie voor burgers, de open data, dan kan dat gerust op een Amerikaanse cloud. Dat is niks gevoeligs. Dat is gewoon open. Daar zit geen verschil in.

Dan het andere punt dat u aanhaalt, want u stelde eigenlijk drie vragen. Ik haal helemaal geen dingen door elkaar. Ik geef gewoon aan dat er diverse debatten zijn. We hebben nu dit notaoverleg naar aanleiding van een initiatiefnota. Die initiatiefnota wordt meegenomen. Die is al gezien door het kabinet. Het kabinet heeft ook al een appreciatie gegeven. Er worden punten meegenomen in de Nederlandse Digitaliseringsstrategie. Er worden punten meegenomen in het herijkte cloudbeleid. Die punten zou ik graag willen zien. Ik wil niet iedere keer vragen: wat gaat daarin komen; kunt u al een tipje van de sluier oplichten? Dat heb ik in het verleden al weleens gevraagd, maar ik ben geen papegaai.

Het derde punt ben ik even vergeten.

De heer Valize (PVV):

De vraag is me toch weer te binnen geschoten, namelijk of ik vond dat het is doorgeschoten. Ja, het document, de initiatiefnota, is wat doorgeschoten in de anti-Amerika-instelling. Als het iets neutraler genoteerd of neergezet was en er wat breder werd gekeken naar de impact van bijvoorbeeld een Chinese serveraanbieder en dat soort dingen, dus als het wat algemener was geformuleerd, dan had ik waarschijnlijk iets minder moeite gehad met deze initiatiefnota. De essentie is dat we naar een eigen soevereine cloud moeten, met name voor die gerubriceerde informatie, die data. We moeten nog gaan formuleren welke data we erin willen hebben. Daar zijn ook brieven over geweest vanuit het kabinet. Allereerst gaat het dus om de prioritering. Daar heeft u het ook over gehad. Wat betreft mitigerende maatregelen kunnen we per keer bekijken waar die toepasbaar zijn. Je kan niet zeggen: we pakken één standaard en daar werken we naartoe. We hebben soms te maken met maatwerk. Daar hebben we gewoon mee te dealen. Je kunt niet zeggen dat iedereen op dezelfde wijze moet gaan werken op het moment dat er andere partijen bij betrokken zijn of het gewoon niet mogelijk is vanwege de manier waarop het nu is ingericht. Dat moet gewoon per situatie bekeken worden. Anders kan ik de vraag even doorgeleiden naar de minister en de staatssecretaris, maar ook naar de initiatiefnemers van de nota. Delen zij uw visie van het mitigeren delen? Zeggen zij: we moeten alles mitigeren? Het punt van de risicoanalyse en dergelijke is heel belangrijk. Er komt dadelijk ook nog een debat over de Algemene Rekenkamerrapport daarover, over Het Rijk in de cloud. Het is een heel belangrijk punt dat er te weinig risicoanalyses zijn gemaakt. Dat is zeer zorgelijk. Dat moet gewoon per direct ingehaald worden. Daarover zijn toen ook moties ingediend. Die hebben we ook gesteund. Wat dat betreft zitten we wel op één lijn, denk ik.

De heer Valize (PVV):

Dank voor uw vraag. Ik antwoord daarop. In Amerika heb je natuurlijk ook gewoon een democratisch stelsel. De president wordt gekozen. De president kan een decreet uitvaardigen. Zo heb ik dat ook op 13 maart aangegeven. Een decreet kan door het Supreme Court ongedaan worden gemaakt. De president kan gewoon teruggeroepen worden. Dus het werkt niet allemaal zoals u nu schetst. Het is niet zo zwart-wit.

De heer Valize (PVV):

Volmondig ja. Dat klopt. Gerubriceerde informatie is zo gevoelig dat we die in eigen beheer willen hebben, on-premise. Dat heb ik ook op 13 maart al aangegeven en zal ik ook bij de volgende debatten aangeven.

De voorzitter:

Dank voor het excellente voorzitterschap. Alle woordvoerders hebben nu hun eerste termijn gehad. Dan stel ik voor dat wij even gaan schorsen voor de beantwoording van de zijde van het kabinet en de initiatiefnemers. Ik kijk even hoelang we nodig hebben.

Ik stel voor dat wij gaan schorsen voor de voorbereiding van de beantwoording van de zijde van het kabinet en de initiatiefnemers. Ik schors de vergadering tot 12.15 uur.

De voorzitter:

Een hele goede middag. Indien eenieder zijn of haar zetel weer wil innemen, zou ik gaarne de vergadering heropenen en het woord geven aan de initiatiefnemers van dit voorstel voor hun eerste termijn.

De heer Six Dijkstra (NSC):

Dank u wel, voorzitter. Mooi om een keer aan deze kant van de tafel te zitten. Ik wil de commissieleden heel hartelijk bedanken voor hun inbreng, hun vragen en het mooie debat dat zij tot nu toe gevoerd hebben, dat wij mogen continueren vanaf deze kant.

Ik zal beginnen met een inleiding. Zoals al eerder gezegd, hebben mevrouw Kathmann en ik deze initiatiefnota ruim een jaar geleden ingediend. In mei 2024 zag de wereld er nog anders uit dan nu. Als wij kijken naar de geopolitieke ontwikkelingen van het afgelopen jaar en de afgelopen paar maanden, zien we dat er toch best een hele hoop is gebeurd in de wereld. De Amerikaanse koers en het feit dat alles in de wereld een stuk weerbarstiger is geworden, maken dat onze technologische afhankelijkheid, zeker op het gebied van de cloud, maar ook als het gaat om andere digitale technologieën, ons noopt tot nadenken over hoe wij onze digitale infrastructuur inrichten.

Vrij recentelijk zorgden de sancties van de Verenigde Staten tegen het Internationaal Strafhof ervoor dat de hoofdaanklager, de hoofdofficier van justitie bij het desbetreffende Strafhof, niet meer in zijn Microsoftaccount kon. Dat heeft op Nederlands grondgebied, in Den Haag, plaatsgevonden. Met de oplopende handelsconflicten is het niet ondenkbaar dat vergelijkbare dreigingen zich na verloop van tijd ook op de Nederlandse Staat zullen richten. Het is nu nog niet aan de orde, maar in zekere zin is het natuurlijk wel een kwestie van ons weerbaar maken tegen economische pressiemiddelen vanuit het buitenland. Het is noodzakelijk om niet te afhankelijk te zijn van één ander land als het gaat om onze digitale overheid en onze digitale samenleving.

Gezien het feit dat deze nota een jaar geleden is ingediend, is het echter wel goed om te beseffen dat deze niet gelezen dient te worden als een reactionair stuk op het beleid van de regering-Trump. Hoewel we beiden geloven dat de geopolitieke ontwikkelingen van de afgelopen maanden de urgentie van de voorstellen hebben doen toenemen, is de feitelijke noodzaak ervan wat ons betreft onveranderd. Europa, maar zeker ook Nederland, zouden een veel hogere mate van technologische onafhankelijkheid moeten hebben, ongeacht wie er in het Witte Huis zit of wat er uit de afspraken rondom handelstarieven komt.

Ook is deze initiatiefnota geen oproep tot een boycot van de drie grote hyperscalers, Microsoft, Amazon en Google, noch enig ander Amerikaans bedrijf. Deze bedrijven hebben met een reden wereldwijd, ook in Nederland, succesvol grote marktdominantie verworven. Dat komt eenvoudigweg door het feit dat zij betrouwbare dienstverlening leveren, schaalbaar en gebruiksvriendelijk zijn, en over het algemeen adequate bescherming tegen cyberaanvallen bieden. Met de diensten zelf is kwalitatief weinig mis. Wij begrijpen ook waarom Nederlandse overheden er vaak voor kiezen om deze af te nemen. Maar marktdominantie is zelden zonder prijs. Geen enkel privaat bedrijf zou zo machtig moeten zijn dat het als een absurde notie wordt beschouwd om te suggereren dat we ook zonder dat bedrijf zouden moeten kunnen.

De EU heeft de afgelopen jaren sterk ingezet op het reguleren van big tech, maar de lidstaten hebben de ontwikkeling van technologie van eigen bodem relatief weinig gestimuleerd. Daar plukken we nu helaas de zure vruchten van. We zijn te laks en te naïef geweest. Als gevolg daarvan kunnen we weinig Europees tegenwicht bieden in de cloudsector. Dit is voor ons, mevrouw Kathmann en mijzelf, dan ook de reden geweest om deze nota te schrijven. De noodzaak komt voort uit een drietal hoofdzaken. Ten eerste noem ik onze nationale veiligheid en weerbaarheid, waarbij ik eraan hecht te zeggen dat veiligheid 'm zit in de component van de vertrouwelijkheid van onze data, alsmede de continuïteit van de dienstverlening van de overheid. Indien een van beide gecompromitteerd is, kan dat grote gevolgen hebben voor de Nederlandse samenleving en de rechten van burgers.

Het zit 'm ook in het verdwijnen van hoogwaardige kennis uit Nederland. Als wij niet meer in staat zijn om onze eigen clouds te ontwikkelen en te onderhouden, en als wij alle kennis hebben uitbesteed aan andere landen buiten Nederland en Europa, kúnnen wij op een gegeven moment ook niet meer autonoom zijn en brengen we onszelf in een zeer grote afhankelijkheidspositie ten opzichte van die landen.

Ten derde, en zeker niet ten minste, is het ook een aantasting van ons economisch verdienvermogen. Het zorgt ervoor dat kansen verdwijnen voor Nederlandse ondernemers als het gaat om het onderhouden van onze digitale infrastructuur.

De vraag van de VVD wil ik dan ook graag als eerste beantwoorden: vinden de initiatiefnemers dat naast veiligheid, de economie een belangrijke factor is om hiermee aan de slag te gaan? Ons antwoord is volmondig: ja. Wij ontnemen Europese ondernemers en zeker ook Nederlandse ondernemers grote kansen als wij onze data rücksichtslos blijven migreren naar Amerikaanse partijen en nooit het heft in eigen hand nemen.

Concreet stellen wij in onze nota een aantal dingen voor. De bottomline is dat mevrouw Kathmann en ik beogen om cloudautonomie binnen de Nederlandse overheid en in de samenleving aan te jagen. We willen niet dat onder de streep een buitenlandse mogendheid bij onze overheidsdata kan én we willen niet dat onze digitale overheid met één druk op de knop uitgeschakeld kan worden.

Gelukkig is er ook goed nieuws. De punten die wij in onze nota hebben opgenomen, zijn lange tijd beschouwd als een nicheprobleem dat ver afstaat van de belevingswereld van de Nederlandse burger, maar gelukkig is er steeds meer aandacht voor deze kwestie, in media en in het publieke debat. Het NOS-journaal opende hier afgelopen zaterdag mee. Lubach had onlangs een uitzending van 20 minuten over dit thema en zelf mocht ik gisteren in WNL op Zondag aanschuiven om dit toe te lichten.

Voordat ik tot de verdere beantwoording overga, wil ik de regering danken voor de uitgebreide kabinetsreactie op deze nota. Ik waardeer dat ten zeerste, en mevrouw Kathmann met mij. Uit de reactie blijkt ook dat zij dit onderwerp serieus neemt. Dat blijkt ook uit het feit dat zij deze nota vaak in andere debatten noemt en uit het meenemen ervan in de besluitvorming. Wij zien dat als een goede eerste stap. Wij waarderen het dat de regering aan de slag gaat met een soevereine overheidscloud en dat de cloud een prominente plek zal krijgen in de NDS, die aankomende vrijdag wordt gepresenteerd. We zien dan ook uit naar de verdere ontwikkelingen op dit vlak, naar de verdere dialoog en de verdere samenwerking.

Ook zou ik graag de personen willen bedanken die hebben meegeholpen aan het schrijven van deze nota, die kritisch hebben meegelezen en ons van input hebben voorzien. Sommigen van hen zijn hier vandaag fysiek aanwezig. Het zijn de heer Bert Hubert, de heer Ron Roozendaal, de heer Brenno de Winter, dr. Corinne Cath, Maaike Okano-Heijmans, Alexandre Ferreira Gomes, Ludo Baauw, Simon Besteman en Wido den Hollander. Aan allen veel dank voor ons scherp houden en ons altijd voorzien van waardevolle input.

Er waren een paar vragen. Soms zal ik de vragen een beetje clusteren, want de vragen overlappen elkaar weleens, maar ik zal proberen om aan elke vraag en aan elke deelvraag tegemoet te komen.

Als eerste ga ik in op de volgende vragen. De heer Thijssen vroeg: hebben de initiatiefnemers gesproken met cloudondernemers en wat blijkt uit die gesprekken? De VVD vroeg hoe de initiatiefnemers de businesscase voor ondernemers beoordelen en wat het kostenplaatje daarbij is. Mevrouw Bruyning vroeg naar de haalbaarheid. "Er zijn simpelweg minder hoogwaardige Europese alternatieven. Hoe komen de indieners aan het idee dat er wel genoeg alternatieven zijn? Is die autonome cloud wel veilig? Lopen zij niet achter op de Amerikaanse techreuzen?"

Ik begin met de businesscase waar de heer Buijsse naar vroeg. In principe maakt de overheid als grootste IT-afnemer van Nederland een businesscase door zichzelf te committeren aan Nederlandse en Europese clouddiensten. Sinds wij begonnen zijn met het schrijven van deze nota gebeurt dat op basis van veel gesprekken met IT-experts en mensen uit de cloudsector. Dat gebeurt inmiddels dus al sinds het begin van 2024 en die gesprekken hebben zich voortgezet na het indienen van deze nota. Het is eigenlijk een continue dialoog. Daaruit is wel het besef voortgekomen dat wij heel veel meer autonoom kunnen hosten dan vaak ten onrechte wordt geroepen. "U kunt niet om big tech heen", is een behoorlijk succesvol frame van big tech zelf. Maar wij hebben gezien dat veel kan en dat er ook veel gebeurt. Ik zal een aantal voorbeelden met u langslopen.

Een veertigtal Nederlandse gemeenten neemt bijvoorbeeld tezamen op basis van de Haven-standaard een gezamenlijke soevereine cloudomgeving in gebruik waarop gemeentelijke websites zullen draaien. Opensourceplatform Nextcloud wordt gebruikt voor samenwerking en gegevensuitwisseling. Ook SURF en vijf Nederlandse universiteiten hebben de doelstelling om gezamenlijk een autonome cloudomgeving te realiseren, eveneens op basis van Nextcloud.

Verder zien we dat de Duitse overheidsinstantie BSI, die in enige mate, maar niet helemaal vergelijkbaar is met het Nederlandse NCSC, een strategisch partnerschap aangaat met STACKIT — voor de mensen die Lubach hebben gezien: dat is de cloud van de Lidl — van de Schwarz Gruppe. Een sterk staaltje industriepolitiek, als u het mij vraagt. Als we even in Duitsland blijven, zien wij dat ons ministerie van Defensie momenteel onderhandelingen is aangegaan met de Duitse partij SAP, over het realiseren van een veilige en autonome Defensiecloud in eigen beheer. Wij zijn benieuwd wat daaruit komt en of dit eventueel opgeschaald zou kunnen worden naar andere onderdelen van onze overheid. Ook als we kijken naar eigen bodem, onze eigen Nederlandse ondernemers, zien we bijvoorbeeld partijen als Previder, Intermax en Solvinity, die stuk voor stuk hoogwaardige oplossingen kunnen bieden voor cloudvraagstukken, allemaal een hoge beveiligingstandaard bieden, in veel gevallen ook eigen infrastructuur en datacenters in beheer hebben en hun diensten aanbieden voor een vergelijkbare of soms zelfs lagere prijs dan Amerikaanse hyperscalers. Wat ons betreft zouden dit soort initiatieven omarmd en uitgebouwd moeten worden. De basis ligt er. Collega Kathmann zal later nader ingaan op de kosten.

Daarbij wil ik nog wel benadrukken dat het ook belangrijk is om goed te kijken naar de toekomst. Onlangs was ik op werkbezoek bij de Nederlandse politie. Die neemt wat betreft digitalisering een aantal hele specifieke diensten van bepaalde partijen af. Daar nijpt de monopoliepositie vaak wel. We zien dat de kosten van dienstverlening over de jaren soms met wel 50% of meer toenemen, omdat er simpelweg geen andere bedrijven zijn die die diensten kunnen aanbieden. Dat gaat dan nog om heel specialistische tools. Als je het hebt over generieke tools, over cloudinfrastructuur, de basis van onze digitale infrastructuur, kunnen wij het ons niet meer permitteren om afhankelijk te zijn van monopolisten. Daarom is het ook kwestie van kosten op de lange termijn besparen door wél goed en strategisch te investeren in de ondernemers in Nederland en net over de grens.

Mevrouw Bruyning vroeg: "Andere landen hebben al uitzonderingen in het aanbestedingsbeleid voor ICT. Waarom heeft Nederland die niet?" Ze hoort graag van ons hoe wij aankijken tegen de aanbevelingen van de cloudsector, die opgenomen zijn in de ook door haar aangehaalde positionpaper. Veel lof voor de bedrijven daarvoor. De aanbevelingen waren een keurmerk voor Nederlandse of Europese bedrijven die wel voldoen aan de juiste voorwaarden, een loket waar de overheid en ondernemers die aan het keurmerk voldoen elkaar kunnen vinden en een 24 uurscalamiteitenplan om alle data vanaf de cloud weer lokaal te gaan huisvesten, net als Defensie doet. Zij heeft er helemaal gelijk in dat andere landen wel manieren vinden om aanbestedingen dusdanig vorm te geven dat Europese partijen daar goed uitkomen. Kijk bijvoorbeeld naar Duitsland en Frankrijk. Dat is vaak omdat er een link is met de nationale veiligheid. Ik denk dat dat terecht is. We zijn ook blij met de suggesties van de cloudbedrijven om ook te kijken naar de component van de nationale veiligheid. Ik zal daar later nog nader op ingaan. Maar we zien dit als een steun voor onze voorstellen en voor de koers die wij hier hebben voorgesteld als initiatiefnemers. In de volgorde der dingen zouden wij wat betreft het keurmerk nu zeggen dat het kan lonen als de overheid eerst een duidelijke vraag uitzet en dat het aanbod daarop kan inspelen, voordat er vervolgstappen zoals een keurmerk komen. Ik denk dat dat in de toekomst zeker nuttig kan zijn, maar dat we misschien wel moeten kijken wanneer dat tot stand zou moeten komen. Dat is natuurlijk een onderdeel van hoe het cloudbeleid van de regering zich verder zal vormen en welke initiatieven er nog meer uit de grond komen. Na verloop van tijd zal er wel weer een nieuw debat in de Kamer zijn, waarin wij die zaken eventueel weer kunnen bijsturen, al dan niet met een motiediarree of met een ander instrument, zeg ik in de richting van de heer Valize. Wij zullen het instrumentarium van de Kamer optimaal benutten voor dit soort doelstellingen.

De heer Buijsse vroeg hoe wij aankijken tegen de prioritering. Waar gaan wij beginnen, gezien de hoge kosten en de beschikbare capaciteit? Gaan we bijvoorbeeld eerst kijken naar nationale veiligheid en de bescherming van persoonsgegevens? De PVV had een vergelijkbare vraag, namelijk of het ons als indieners enkel gaat om de risico's of dat er ook andere dingen meespelen. Ons uitgangspunt sluit daar eigenlijk relatief goed op aan. Wij denken dat ten eerste gevoelige overheidsdata, waaronder persoonsgegevens, ten tweede de essentiële overheidsdienstverlening en ten derde kritieke fysieke infrastructuur, zoals ook aangegeven in het recente positionpaper, een goed uitgangspunt zijn voor de onderdelen waarvoor toegewerkt zou moeten worden naar een autonome cloud. We moeten dus, zeg ik nogmaals, kijken naar zowel de kwestie van vertrouwelijkheid als de kwestie van continuïteit: ons land moet blijven draaien.

Voor open data, zeg ik ook in de richting van de heer Valize, gelden inderdaad niet dezelfde risico's als het gaat om vertrouwelijkheid. Natuurlijk geldt wel voor alle overheidsdata, als je die aggregeert en bij elkaar doet: als een groot gedeelte daarvan, ook al zijn het open data, uiteindelijk niet langer beschikbaar is omdat het plat komt te liggen omdat we afhankelijk zijn van één of enkele monopolisten, heeft dat wel daadwerkelijk gevolgen voor de continuïteit van onze digitale overheid. Daarmee brengt het een risico met zich mee, waar individuele onderdelen dat an sich misschien niet zo zouden doen. Dat is ook een reden waarom wij als initiatiefnemers wél stellen dat we moeten normeren. We moeten een norm stellen. We begonnen met 30%. We denken dat 30% in 2029 haalbaar is. Een doelstelling is namelijk een commitment. Je moet ook kijken naar het volume van overheidsdata en overheidsdiensten. Als een groot volume eruit komt te liggen door een conflict met een dienstverlener of een ander land, dan hebben wij alsnog die problemen. Tegelijkertijd — en dat heeft de heer Thijssen ook aangegeven in zijn inbreng — kun je natuurlijk ook beter op de markt inspelen wanneer je een grote vraag creëert door te zeggen dat je een bepaald volume wilt bereiken. Ook kun je dan de kosten drukken, omdat je dus een grote afnemer bent.

Die 30% wordt uitgesmeerd over meerdere jaren, zeg ik in de richting van de heer Buijsse. Dat gebeurt dus niet op stel en sprong. Het is niet zo dat we in 2028 0% en in 2029 30% hebben; het is een opbouw. Daarbij denken we dat die 30% haalbaar is. Met essentiële overheidsdiensten, privacygevoelige informatie en andere gevoelige overheidsinformatie zal je al wel vrij snel aan die 30% komen. Dat zal ondernemers juist zekerheid geven over de normering.

We kunnen tegelijkertijd, vinden wij, niet wachten tot alle risico's in kaart zijn gebracht. De Algemene Rekenkamer heeft aangegeven dat 70% van de overheid geen risicoanalyse van de migratie naar de cloud heeft gedaan. Daarbij is nog niet eens gekeken naar de kwalitatieve beoordeling van die risicoanalyses. De vraag was enkel: is die er, ja of nee? Als we bijvoorbeeld kijken naar het tempo waarmee het Algoritmeregister wordt gevuld — dat is een niet al te hoog tempo — duurt het eenvoudigweg heel lang om binnen de hele overheid dingen in kaart te brengen voordat je de volgende stappen kan zetten. Wij zijn wel bang dat wij, als wij nu te veel focussen op eerst de risico's in kaart brengen en daarna vervolgstappen bepalen, dan jaren verder zijn en die risico's over jaren enkel nog zijn toegenomen, omdat er duidelijke usecases zijn. Er zijn duidelijk vertrouwelijke data en er zijn essentiële overheidsdiensten; dat staat buiten kijf. Daarom moeten wij nu inspelen op vraag en aanbod. Later kunnen we dan kijken welke overheidsdiensten het meest passend zijn om daarbij aan te sluiten. Maar voor sommige zijn de risico's evident.

De heer Buijsse stelde nog de vraag of de indieners het met hem eens zijn dat er, net als in Estland, een wet moet komen om naast de kostenaspecten ook de risico's mee te wegen bij ICT-inkoop. Kan dat ook in Nederland? We kijken met interesse naar die wet en zijn het sowieso eens met het model achter die wet. Dat omarmen we. Nogmaals, gevoelige gegevens, zoals persoonsgegevens, en kritieke infrastructuur moeten zwaar meegewogen worden. Er speelt natuurlijk nog een vraag mee: moet het in een wet of in beleid gegoten worden? We hebben gezien dat niet alle beleidsafspraken, zeker als het gaat om digitalisering en de moeite die het kost om zaken te coördineren binnen de digitale overheid, door de overheid zelf worden nagekomen. Dat kan een goed argument zijn om wel tot wetgeving over te gaan en te borgen dat het afdwingbaar is voor de rechter. Voor de volgordelijkheid der dingen stellen wij nu niet per se een wet van dien aard voor, maar we staan er ook zeker niet negatief tegenover. Wij willen graag eerst de voorstellen uit deze nota uitvoeren. Als dat onvoldoende blijkt, staan wij zeker open voor een eventuele wettelijke verankering als vervolg. Laten we daar ook de dialoog over blijven voeren.

Dan waren er nog twee vragen van de heer Valize. Hoe kijken de indieners naar een partij als Alibaba, die ook clouddiensten levert? En breder: hoe kijken wij naar China? De heer Valize concludeert dat de nota is doorgeschoten in anti-VS-retoriek. Zonder dat sausje, zo constateert hij, zou hij minder moeite hebben met de nota. Hij vroeg: delen de indieners de opvatting dat we alle risico's moeten mitigeren? Daarbij telt voor ons wel de feitelijke situatie. We zijn als overheid voor onze cloudinfrastructuur niet zo massaal afhankelijk van China als van de Verenigde Staten. Dat is simpelweg niet aan de orde. Als dat wel zo is, hoor ik het graag, maar mij is niet bekend dat een overheidsdepartement z'n data heeft ondergebracht in de Alibabacloud. Ik denk dat men ook wel doorheeft dat de veiligheidsrisico's in China aanzienlijk zijn. Ik ken de PVV ook als een partij die het beestje graag bij de naam noemt; dat doen wij ook graag in onze nota. Wat de afhankelijkheid betreft liggen de problemen bij Amerika, bij de Verenigde Staten. Ja, het is een bondgenoot, maar er zijn ook risico's. Laten we daar niet voor wegduiken en dat wel benoemen. De kwestie is dezelfde, ongeacht welk sausje we het geven: we moeten digitaal autonomer zijn en onze afhankelijkheid van specifieke andere landen afbouwen. Laten we dat ook doen. We kunnen hier een mooi migratiedebat over voeren, in dit geval over cloudmigratie. Wat ons betreft mag dat allemaal wel wat strenger.

Daarmee draag ik graag het stokje over aan mevrouw Kathmann, die doorgaat met de rest van de beantwoording van de vragen.

Mevrouw Kathmann (GroenLinks-PvdA):

Dank. De heer Six Dijkstra zei het eigenlijk al: in het belang van onze nationale veiligheid en het voorkomen van het verdwijnen van kennis, maar ook van de aantasting van ons toekomstig verdienvermogen en de gemiste kansen voor ondernemers, moeten we keihard aan de bak met de cloud. En gelukkig is de cloud hot. Ik had een jaar geleden, toen we deze nota maakten, echt niet durven dromen dat we dit debat op deze manier hadden kunnen voeren. Er was toen namelijk werkelijk niemand die interesse had, behalve dus de mensen die bedankt zijn, met wie we heel veel gesprekken hebben gevoerd, inclusief de bewindspersonen. Zij hebben ons de mogelijkheden gegeven om ook met ambtenaren in gesprek te gaan, zodat we beter weten hoe die overheidscloud in elkaar zit. Dus heel veel dank daarvoor.

In feite is die cloud niet meer dan het lenen van een computer van iemand anders, waarbij we hun apps gebruiken en op hun harde schijf onze informatie opslaan. Door kortzichtige keuzes in het verleden heeft de overheid eigenlijk ons hele hebben en houden op computers van Amerikaanse techgiganten gezet. Daarmee hebben we ontelbaar veel data van Nederlandse burgers uit handen gegeven, om de simpele reden dat het goedkoop en efficiënt is. De geopolitieke situatie maakt dat dit niet langer kan, los van de problemen die er daarvoor al waren.

Het is misschien niet zo raar dat we hierin terecht zijn gekomen. Aan de andere kant: als we er nu naar kijken, vinden we het heel raar. We zijn heel lang met de cloud, of überhaupt met IT, omgegaan alsof het pen en papier zijn, zo van: welke pennetjes zullen we nu inkopen voor iedereen? Zo kan het niet langer. Daarom is het echt goed dat we dit debat hebben. ICT hoort namelijk thuis in het hart van de politiek. Hierin komen geopolitiek, veiligheid en economie samen. Met de plannen in onze nota staat Nederland straks steviger in zijn schoenen op het wereldtoneel, omdat de druk van buitenaf dan ook gewoon minder sterk wordt. Je bent dan minder een geopolitieke speelbal. Het maakt ons land veiliger, omdat we zelf de baas worden over hoe en waar onze data worden opgeslagen. Ook versterkt het de economie. De technische kennis die we nodig hebben, zit bij de Nederlandse en Europese ondernemers. Als het aan ons ligt, gaan we vraag en aanbod dus ook dichter bij elkaar brengen.

Ik moet toch even terugkomen op die weerbarstige wereldpolitiek. De heer Six Dijkstra stipte het al even aan: deze nota is geschreven voordat Trump aan de macht kwam. Maar we moeten het toch eventjes hebben over dat beeld van de inauguratie van Trump. Daarbij zag je dat het groepje techmiljardairs eigenlijk allemaal op de eerste rij aan de voeten van de macht zat. Het Amerikaanse bedrijfsleven heeft zich eigenlijk ook gewoon verbonden aan — ik zeg het maar even eerlijk — een politieke brokkenpiloot. Zowel de Amerikaanse president als zijn vicepresident zetten Europa onder druk. De Verenigde Staten zijn geen vanzelfsprekende bondgenoot meer voor Europa. Big tech wordt meegesleurd in de strijd die is losgebarsten.

Het staat ook gewoon op papier: techbedrijven uit Amerika moeten voldoen aan de CLOUD Act. Bedrijven zijn verplicht om informatie te leveren als de regering die wil. Recent is ook gebleken dat Microsoft de sancties van de regering-Trump richting het Internationaal Strafhof heeft gehonoreerd. De hoofdaanklager is zijn e-mailaccount gewoon kwijt. Wie kan dan met 100% zekerheid zeggen dat een ander instituut of onze overheid niet eenzelfde soort sanctie te wachten staat? Door meer Nederlands-Europese ICT te gebruiken, weken we onszelf los van die hele discussie. Als we niet meer technologisch afhankelijk zijn van bedrijven als Microsoft, Google en Amazon, dan kan de regering-Trump dreigen wat die wil, maar krijgt die ons gewoonweg niet te pakken. Zo doen potentiële heffingen op digitale diensten minder pijn, kan de Amerikaanse overheid niet meer bij onze data, en trekken we de grote rode knop uit handen waarmee Amerika ons land digitaal plat kan leggen.

Dat maakt ons land veiliger, wat ook een van de redenen is waarom we deze nota hebben geschreven. We doen in Nederland namelijk zo'n beetje alles digitaal, zowel voor als achter de schermen. Je mag van de overheid verwachten dat dit veilig gebeurt, dat de overheid weet waar onze data staan, hoe die zijn beveiligd en wie er allemaal bij kan. Door de afhankelijkheid van big tech is dat gewoon niet het geval, want alle kennis ligt nu bij de leveranciers. Naar onze mening zijn die data dus niet meer veilig bij de Amerikaanse big tech. Door alles uit te besteden aan een bedrijf als Microsoft verliezen we gewoon de kennis over onze eigen IT. Als er een keer iets misgaat, als er een keer iets kapotgaat, als er een storing is, dan weten we dadelijk niet meer hoe we dat zelf moeten repareren. We zijn afhankelijk van de megabedrijven die ons te hulp moeten schieten. Maar we weten gewoonweg niet zeker of hun loyaliteit in de geopolitieke crisis bij ons ligt.

De wetten die in Europa onze data en de privacy beschermen, gelden niet voor Amerikaanse bedrijven. Deze wetten zijn bedoeld om burgers te beschermen tegen surveillance door bedrijven en overheden. Hoewel er allerlei afspraken zijn gemaakt om alsnog met Amerikaanse bedrijven te kunnen samenwerken, is het allemaal erg onzeker. Twee voorgangers van het zogenaamde EU-VS Data Privacy Framework zijn al door de rechter vernietigd. Als dat nog een keer gebeurt, is het maar de vraag of werken in de Amerikaanse cloud nog wel veilig is. Ik denk dat dit ook betekent — mevrouw Koekkoek doelde daar denk ik ook op — dat er echt nog beter samengewerkt moet worden met al die individuele lidstaten om juist op het gebied van de cloud de Europese wet- en regelgeving beter te krijgen. Daarin kan de Europese samenwerking nog wel een stapje verder gaan.

Data opslaan in Europese datacenters is geen oplossing. Dat heeft het kabinet inmiddels ook al erkend en daar heeft u zelf al meerdere keren vragen over gesteld. Dan moeten Amerikaanse cloudbedrijven namelijk nog steeds voldoen aan de CLOUD Act. Dat geldt evengoed voor techdiensten die onder Chinese spionagewetgeving vallen. Dat zeg ik er maar even bij tegen de heer Valize. Eén ding is wel zeker: dat Europese bedrijven zich wel netjes aan de Europese wetten houden, wetten waar Nederland over mee-onderhandelt en die zijn goedgekeurd door onze eigen verkozen Europarlementariërs. Voor een oplossing kijken we daarom ook naar Nederlandse en Europese ondernemers.

Dat brengt me meteen bij de derde reden waarom we de nota hebben geschreven: economische veiligheid en een sterke eigen ICT-sector. Dat betreft dus ook — de heer Six Dijkstra doelde daarop — die op dit moment gemiste kansen voor ondernemers. Nederlandse en Europese ondernemers krijgen nu geen ruimte om te groeien. Grote Amerikaanse bedrijven domineren de markt, en aanbestedingen voor clouddiensten landen telkens bij dezelfde paar partijen. Veelbelovende Europese start-ups worden opgeslokt door diezelfde megabedrijven. Als de overheid zich committeert aan de Europese cloud, dan gaat die bal vanzelf rollen. We zijn namelijk echt tot alles in staat. Nederlandse en Europese bedrijven bouwen geweldige applicaties. Ik denk dat de heer Six Dijkstra daar zojuist genoeg over heeft gezegd.

Dan vroeg mevrouw Koekkoek ons specifiek naar de aansluiting op EuroStack en de balans tussen de Nederlandse en de Europese dimensie. Die financiële gevolgen … Ik zeg het er maar even bij: als je hier zit, moet je die gelijk noemen! De financiële gevolgen van aansluiten bij EuroStack kunnen wij als indieners eigenlijk niet overzien. Het zou te makkelijk zijn om nu te zeggen: ja, goed plan, moeten we doen. Dat zou van mijn kant veel meer een politieke uitspraak zijn dan dat die goed aansluit bij wat we met deze nota proberen te doen. Maar de belangen van EuroStack en van onze nota zitten wel volledig op één lijn. Het is meer dan logisch dat Nederland zich dan ook tegen die ontwikkelingen aan bemoeit. We moeten ook gaan optrekken met coalities van gelijkgestemde landen om in de beweging naar die autonome cloud samen op te trekken en om die autonome cloud mogelijk te maken. Die autonome cloud hoort wat ons betreft, en ook volgens EuroStack, ook bij EuroStack. Nederland moet hier gewoon een grote rol in gaan spelen. Dat lukt echter pas als we ook naar de nationale aspecten kijken.

We moeten gewoon zelf, door de overheid neer te zetten als de lancerende en leidende klant, onze eigen sector groot maken. Dan zijn we ook weer een goeie partner om met gelijkgestemde landen samen op te trekken. Het sluit elkaar dus eigenlijk niet uit. Onze overheid is namelijk gewoon de allergrootste IT-afnemer van Nederland. Dus door slim aan te kopen en door slim aan te besteden, vanuit één gezamenlijk doel, kunnen we gewoon die betere marktmeester zijn, die zo keihard nodig is in de cloudsector.

Dat oplossen vraagt om een ongekende nieuwe vorm van samenwerken. Dat is natuurlijk ook gewoon een hele kluif. Dat betreft samenwerking tussen departementen die er nu eigenlijk niet is en die er wel moet komen, maar ook samenwerking tussen organisaties en tussen Europese bedrijven. De Kamer heeft van links tot rechts verstrekkende voorstellen gesteund om de totale afhankelijkheid van de Amerikaanse cloud te voorkomen. We hebben eigenlijk al met z'n allen gezegd dat we een dergelijke afhankelijkheid niet willen. Het blijft nog steeds een beetje onduidelijk wat de regering er allemaal mee gaat doen. Wel weten we, zo heeft de heer Valize al gezegd, dat er nog een boel aankomt. We wachten met smart, maar het blijft vooralsnog een beetje onduidelijk. De oplossing bestaat nu alleen nog maar op papier. Het is iets voor in de toekomst, voor in de Digitaliseringsstrategie of voor in de beleidsherziening later dit jaar. Tot die tijd voelt het soms toch een beetje alsof we aan het aanmodderen zijn. Zo verandert er niks.

Zeker met het oog op de moties die al zijn aangenomen en die volgens mij de nota die we hebben ingediend alleen maar stutten, kunnen we eigenlijk maar één ding zeggen, namelijk dat we aan de slag moeten, maar wel met een duidelijk doel. Als we geen duidelijk doel hebben, komen we namelijk uiteindelijk nergens; de heer Six Dijkstra heeft er zojuist ook al iets over gezegd. Daarom is het ook zo belangrijk dat we die 30% in 2029 toch echt aanhouden. Met zo'n doel kun je namelijk iets in beweging gaan zetten. We hebben gemerkt dat het moeilijk is om die beweging aan te jagen. Als we in ieder geval één stip op de horizon zetten middels een percentage, geloven wij dat er ook echt iets gaat gebeuren.

Het was volgens mij de heer Buijsse van de VVD die vreesde dat dit van de ene op de andere dag zou gebeuren. Moeten we morgen de hele overheid in de autonome cloud zetten; is dat wat de indieners beogen? Nee. Het gaat hier echt om de ambitie van 30% in 2029 te laten zien. Daarnaast komt er ook geen verbod, zoals de heer Six Dijkstra al zei, op de Amerikaanse cloud. Je kan heel veel dingen nog gewoon bij Microsoft, Google of Amazon doen, maar wel minder dan nu het geval is. Daarom gaat het ook stapsgewijs. We beginnen bij chatdiensten, bij archivering, bij dataopslag. Dat zijn de diensten die breed worden gebruikt en relatief weinig specialistische kennis vereisen. Het meeste haast maken we op plekken waar gevoelige data worden verwerkt. We doen dat samen met de leveranciers van die clouddiensten. Op die manier werken we aan een goed aanbod van generieke opleidingen. Zo worden ook techneuten niet langer opgeleid tot Microsoftgoeroes, maar tot experts met systeemkennis. Dat is namelijk wat we nu aan het doen zijn: iedereen weet alleen nog maar Microsoft en iedereen kan alleen nog maar Microsoft. Dat is het riedeltje waar we uit moeten.

Het is al eerder benoemd: aan de bak met die exitstrategieën. We hebben allang met elkaar afgesproken dat we dat willen en dat we dergelijke strategieën moeten hebben, maar we hebben ook gezien, nog los van het Rekenkamerrapport over de risicoanalyses, dat die exitstrategieën er eigenlijk ook niet zijn. We moeten dus gewoon zo snel mogelijk een plan B bedenken voor Amerikaanse clouddiensten, ook gewoonweg omdat we dat al met elkaar hebben afgesproken, omdat we de problemen ermee al zagen.

Tot slot kan één onderwerp niet ontbreken: we moeten met een open blik kijken naar het bouwen van nieuwe datacentra. VVD en NSC vroegen hier al naar. Veel dingen kunnen we nu al draaien op de serverkasten die er al zijn, maar we hebben wel een sterke digitale infrastructuur nodig wil dit plan echt slagen. Dit moeten we expliciet meenemen in die strijd om ruimte die er nu eenmaal is in Nederland. Daarbij moet je heel scherpe keuzes willen maken. We draaien nu namelijk heel veel troep in Nederland; volgens mij zijn we frontrunner in het hosten van kinderporno. Ik vind het wel een van de no-brainerkeuzes die we maken, zodat we in ieder geval onze eigen overheidsdata veilig kunnen houden.

Ik wil hier misschien nog wel een stap verder in gaan. Ik kijk even m'n mede-indiener aan. Misschien kunnen we wel gewoon de stekker uit die troep trekken. Dat is dan misschien ook gelijk goed nieuws voor de duurzaamheid, waar mevrouw Koekkoek naar vroeg.

Mevrouw Kathmann (GroenLinks-PvdA):

Dat valt wel een beetje buiten de scope van deze initiatiefnota. We kunnen nu een heel gesprek hebben over het grijze gebied dat "troep" heet; u verstaat misschien iets anders onder "troep" dan ik. Waar ik zojuist op doelde, kinderporno, daar hebben we hier al veel debatten over gehad. Je zou wel kunnen zeggen dat we een hele stevige aanpak hebben vanuit Nederland, die nu ook in Europa wordt opgepikt. Daar zijn we heel succesvol in. Maar omdat de twee grootste hosters niet willen meewerken, blijft het percentage van troep die we er eigenlijk af kunnen halen, stagneren. Je zou het voorstel kunnen doen dat we, als je niet meewerkt aan die aanpak voor het bestrijden van online kinderporno, de stekker uit je bedrijf trekken. Die stap zou ik wel durven nemen.

Mevrouw Kathmann (GroenLinks-PvdA):

We komen bij de aanbevelingen, dus ik denk dat ik dan even het woord geef aan mijn mede-indiener, de heer Six Dijkstra.

Mevrouw Kathmann (GroenLinks-PvdA):

U bent natuurlijk een beetje in de war, want u bent gewend dat we van die strakke kopjes hebben, maar wij dachten: laten we die nota nou als leidraad nemen, en dan lopen we ook even door de vragen van de collega's heen. Die vraag kan ik wel gelijk voor u beantwoorden. U had inderdaad gevraagd naar het SLM Rijk, dus het strategisch leveranciersmanagement. Ik wil in de eerste plaats gezegd hebben dat het ook voor Microsoft zelf geen walk in the park is. Ik wil ook niet doen alsof dat het wel is. Het is niet dat Microsoft hier aanklopt met hun productjes en dat ze zomaar alles kunnen uitstrooien. Zij moeten zich ook verantwoorden voor wat ze doen, en daar zit zeker een traject aan, maar het strategisch leveranciersmanagement staat wel symbool voor de grote plek die Microsoft inneemt. We hebben eigenlijk al een soort van "ministerie van Microsoft" ingericht; zo noemen ze het in de wandelgangen, zeker in landen buiten Nederland. Daarmee wordt het "ease of doing business" met zo'n grote partij wel heel erg makkelijk gemaakt.

Het is dus ook niet voor niks dat we niet nog twintig andere strategischleveranciersmanagementbureaus hebben. Ik vind wel dat dat anders moet. Alleen al in de naamgeving zou je moeten gaan kijken hoe je kunt diversifiëren. Ga daar een leveranciersmanagementbureau voor optuigen, bijvoorbeeld.

Mevrouw Kathmann (GroenLinks-PvdA):

Zoals ik net al zei: veel kunnen we al draaien op de servers die we nu hebben. Dat is ook gewoon zo. Zeker als we de eerste stappen gaan zetten, met de eerste stip op de horizon van 30%, moeten we dat gewoon kunnen. Verder vind ik echt dat dit debat thuishoort … Als we er nóg meer bij gaan halen en hier ook een hele datacenterstrategie onder gaan hangen, dan gaan we over tien jaar nog geen stappen zetten met digitale autonomie. Maar ik vind wel dat de heer Buijsse een terecht punt heeft. We moeten hier breed over spreken. Dit hoort thuis in de Nota Ruimte. Dit hoort thuis in een stevige datacentervisie, waarin we met elkaar veel meer tot de kern komen, over wat het grijze gebied is en over wat we wel en niet in Nederland willen. Dit is ook precies wat zo belangrijk is en waar mevrouw Koekkoek het al over had. We moeten dit ook vooral in Europees verband doen, zeker als zo'n klein en dichtbevolkt land als Nederland, waarin de strijd om ruimte nog groter is dan in andere Europese landen.

De heer Six Dijkstra (NSC):

Dank, voorzitter. We hebben de aanbevelingen opgeknipt: ik pak de eerste hoofdaanbeveling en mevrouw Kathmann pakt de tweede en de derde. Ik zal er relatief snel doorheen gaan, want ik heb de vragen hierover al beantwoord. Maar ik zal nog wel even stilstaan bij de individuele punten.

De eerste hoofdaanbeveling is: pak de regie over digitale soevereiniteit. De aanbeveling die wij doen, is grofweg op te knippen in drie stukken. Het eerste is: stel duidelijk een doelstelling en normeer. Zoals ik eerder gezegd heb, hanteren we de doelstelling van 30% voor 2029, waarbij met prioriteit gekeken moet worden naar gevoelige overheidsdata, essentiële diensten en kritieke fysieke infrastructuur.

Het tweede stuk gaat over het verkrijgen van inzichten. Wij als Kamer weten namelijk nog te weinig over de cijfers en de statistieken over wat er nou precies in welke cloud draait en waar dat gebeurt. Direct daaraan gerelateerd is het derde punt: het stukje aansturing, niet alleen binnen het Rijk, maar ook met medeoverheden. We weten natuurlijk dat de staatssecretaris op dat gebied hard aan de weg aan het timmeren is om meer als één digitale overheid te handelen. Dat is zeer positief. Ik denk dat dat een model is waar we over tijd meer naartoe moeten groeien. In het verleden bestond de overheid uit losse eilandjes en nu wordt toegewerkt naar een gedachte van één loket, één overheid waar je als burger naartoe kan. Onder de motorkap zullen er nog verschillen zijn, maar er is wel duidelijke aansturing en regie. Wij verwachten dat als de aanbevelingen daarin worden overgenomen, dat ten faveure zal zijn van een digitaal autonomer opererende overheid.

Dan geef ik het stokje weer terug aan mevrouw Kathmann.

Mevrouw Kathmann (GroenLinks-PvdA):

Dan komen we bij de tweede aanbeveling. Die gaat over een gezonde voedingsbodem en eerlijke concurrentie voor het bedrijfsleven. Daarin stellen we voor dat er veel nauwer contact komt tussen de overheid en de Nederlandse en de Europese cloudsector. De Amerikanen zitten in allerlei overlegjes met de overheid en de eigen markt moet ook een plek aan tafel krijgen. Zo kunnen we vraag en aanbod naar elkaar toe laten groeien. Dan komen we ook weer bij het strategisch leveranciersmanagement, waar de heer Thijssen al naar vroeg. Dat moet gewoon hervormd worden, zodat Europese alternatieven niet buitengesloten worden. Verder moet het hele aanbestedingsbeleid van de overheid grondig aangepakt worden. Twee grote overheidscontracten landen namelijk telkens bij dezelfde grote spelers. We moeten vooraf transparant zijn over wat voor clouddiensten de overheid nodig heeft. Europese bedrijven moeten in staat worden gesteld om die te bouwen en te leveren. We moeten echt naar een nieuw mantra: buy European.

Mevrouw Bruyning vroeg ons naar de financiële implicaties van de nota. Volgens mij vroegen wel meer mensen daarnaar, onder anderen de heer Buijsse en mevrouw Koekkoek. Er is nu in ieder geval geen aanleiding om te denken dat er subsidies nodig zijn. Dat was nog een concrete vraag van mevrouw Koekkoek. Er is meer inzicht nodig in alle acties van de rijksoverheid die de afhankelijk doen groeien. Om de financiële implicaties goed te weten, moet er echt grondig marktonderzoek gedaan worden naar de voorrangspositie van big tech. Daar moeten conclusies uit getrokken worden. Zoals ik net al zei, hebben we eigenlijk gewoon een gigantisch lek van geld en kennis. We kopen alles in bij big tech. Zowel onze centen als onze kennis gaan naar de andere kant van de oceaan. Het bedrag dat we op dit moment uitgeven aan big tech, gaat waarschijnlijk om honderden miljoenen. Maar we weten ook niet zeker om hoeveel honderden miljoenen dat gaat, want het overzicht ontbreekt. Daarbij wil ik wel zelf zeggen: als we maar een kleine fractie van al dat geld in onze eigen markt zouden investeren, dan komen we eigenlijk al gewoon heel veel verder en vloeit er natuurlijk gewoon weer geld en kennis terug. Het is ook een heel groot probleem dat die grote spelers natuurlijk gewoon de baas van het kostenplaatje zijn. Als zij hun kosten opschroeven, kunnen wij als overheid maar één ding, en dat is nog meer belastinggeld naar die grote cloudspelers toe brengen. Dat is ook al een probleem an sich, dat we kunnen oplossen als we gaan diversifiëren en meer gaan kijken naar onze Nederlands-Europese spelers.

Daarnaast — en dat is ook een groot vraagstuk — is het kostenplaatje moeilijk te maken, omdat het hele overzicht ontbreekt. Wij weten ook niet hoeveel we nu precies uitgeven aan die techgiganten. Het gaat om honderden miljoenen. Er zijn voorbeelden dat er op kleinere schaal bij de overheid aanbestedingen zijn vergeleken tussen het naar big tech brengen of het met een kleinere Nederlandse speler doen en dat die Nederlandse speler zelfs goedkoper was. Dat noemde de heer Thijssen volgens mij net ook al. Die voorbeelden zijn er ook. De efficiencyvoordelen van zo'n grote schaal zijn er natuurlijk ook, maar we hebben eerst gewoon heel veel inzicht nodig om te weten wat dit precies kost. Het gaat ons uiteindelijk iets opleveren als we die stip op de horizon hebben gezet en niet meer alleen maar geld en kennis laten weglekken. Maar we hebben niet geprobeerd om in deze nota neer te leggen dat we het hele financiële probleem nou oplossen, want dat kunnen we ook niet.

De cloud valt eigenlijk onder het hele vraagstuk van de digitale infrastructuur van Nederland. Als het aan de indieners ligt, komt daar gewoon een groot investeringsfonds voor. Hoe ziet dat er dan uit? Wat hebben we dan precies nodig? Als we dat hier zouden gaan uitdenken, gaan we, nogmaals, nooit een stapje zetten. Dat is ook echt een ander en groter vraagstuk. We weten alleen dat het in het kader van de nationale veiligheid heel veel gaat opleveren als we dit anders doen. Het gaat heel veel opleveren voor het verdienvermogen van Nederland als we dit anders doen. Er is niet één grote partij die de hele tijd de kosten maar kan opschroeven. Daar zit wat ons betreft de winst. Ik hoop dat mensen met deze beantwoording kunnen leven, want ikzelf … We hebben er al meerdere malen naar gevraagd, net als anderen van u. Volgens mij heeft de heer Buijsse het ook weer heel concreet gevraagd. We zijn heel erg benieuwd naar de heel concrete uitgavenplaatjes van de overheid als het over deze digitale dienstverlening gaat. Dat wilde ik zeggen over de financiële aspecten.

Het is toch best wel een moeilijke baan om gewoon concrete vragenlijstjes af te lopen; dat zei ik al.

Mevrouw Koekkoek vroeg nog naar de financiën: hadden we niet beter verschuivingen op de begroting kunnen voorstellen? Dan had je het gewoon geweten, want politiek is keuzes maken en vooral financiële keuzes maken. Dat is zeker een terecht punt. Dat hadden wij heel graag gedaan, omdat we er al langer op hameren om in ieder geval alle afspraken na te komen die we al hebben gemaakt. Wat kost dat dan? Dat weten we dus niet. Dus ook als het gaat over deze concrete vragen, hadden we het liever niet als kostenpost op die begroting gezien. Ja, dat ook wel, maar we kunnen dat gewoon zelf niet hard maken met cijfers. Dat is dus het antwoord daarop.

Wat ik daar eigenlijk ook nog over wil zeggen, is het volgende. Het is een enorme kluif om dit te doen, maar ook om die bijna totale afhankelijkheid die we nu van big tech hebben tegen te gaan. Gelukkig zien wij als indieners wel individuele bewindspersonen die echt een oprechte poging wagen om te kijken hoe we snel slagen kunnen maken. We hopen eigenlijk met deze nota weer echt concrete stappen verder te zetten. We hebben namelijk het idee dat iedereen op zoek is naar de eerste stap die we gaan zetten. Dat blijkt ook uit alle gesprekken die we hebben gevoerd, zowel met ambtenaren alsook met brancheorganisaties en ondernemers.

Net als de heer Valize hopen wij natuurlijk echt van harte dat er geen motiediarree nodig is om die stappen te gaan zetten, dat we niet nog 600 dure moties hoeven in te dienen en dat we niet nog 100 debatten moeten voeren. Maar ik zeg wel eerlijk dat als dat nodig is, we dat wél moeten doen. Dat is hoe de Kamer werkt. De heer Thijssen zei dat ook al. We hebben eigenlijk 400 miljard aan macht. De heer Valize zet daar 50 miljoen aan tegenmacht tegenover. Ik vind dat eigenlijk helemaal niet zo erg, als ik heel eerlijk ben. Dat is namelijk waarvoor de Tweede Kamer is opgericht. Elke macht heeft een tegenmacht nodig. Als we kijken naar alle concrete afspraken die we al hebben gemaakt op het gebied van digitale autonomie en cloudstrategieën, dan zien we dat het merendeel daarvan niet wordt nagekomen. We hebben dan helaas dus debat na debat na debat, motie na motie na motie na motie nodig om ervoor te zorgen dat dat wél gaat gebeuren.

Er werd ook gevraagd hoe we omgaan met de opvolging van alle plannen die in de nota staan. Daarom hebben we het voorstel gedaan om de CIO Rijk verantwoordelijk te maken voor de cloudmigratie binnen de hele overheid. Door hem dat mandaat te geven, krijgen we het inzicht waar we al heel lang om vragen. Als dat niet gebeurt, dan zal er een motiediarree komen en zal het aantal debataanvragen stijgen. Maar we hopen natuurlijk dat dat niet nodig zal zijn.

Ik denk dat de heer Six Dijkstra nog even terug kan komen op de businesscase en het aanbod.

De heer Six Dijkstra (NSC):

Die heb ik genoemd, meen ik. Ik kijk even in de richting van de commissie of er onbeantwoorde vragen zijn. De heer Buijsse en mevrouw Bruyning hadden vragen over de businesscase. Heb ik alles beantwoord? Volgens mij heb ik alles beantwoord. Ik zie geknik. Volgens mij zijn we dan klaar.

Minister Beljaarts:

Dank, voorzitter. Fijn om vandaag met elkaar in gesprek te gaan over de initiatiefnota Wolken aan de horizon. Dank aan de initiatiefnemers voor het agenderen van dit belangrijke onderwerp. Dank ook voor de empathie van de leden voor deze kant van de tafel. Daar wil ik dan weer graag mijn oprechte complimenten over de nota tegenover stellen. Dat weten de leden, want daar hebben we het meerdere keren over gehad. Oprecht dank voor het initiatief. Met deze nota zetten de Kamerleden Kathmann en Six Dijkstra een relevant en urgent vraagstuk terecht op de agenda. Een jaar geleden deelden zij hun zorgen over de groeiende afhankelijkheid van een beperkt aantal niet-Europese cloudaanbieders. Dit was toen al een prioriteit op mijn departement en de urgentie is sindsdien alleen maar verder toegenomen, zoals ook bleek tijdens ons debat in maart over de IT-migraties.

In januari hebben de staatssecretaris en ik onze reactie op de initiatiefnota met uw Kamer gedeeld. Daarin geven we ook aan dat we de noodzaak onderschrijven om ongewenste afhankelijkheden tegen te gaan. Mijn beleidsinzet is dan ook gericht op een goed functionerende cloudmarkt, met voldoende interoperabiliteit, concurrentie en overstapmogelijkheden. Een dergelijke markt vraagt om versterking van zowel de vraagkant als de aanbodkant. In de kabinetsreactie hebben we uiteengezet welke acties we daarvoor uitvoeren, langs drie beleidslijnen: protect, promote en partnership. Door te werken aan de spelregels voor een eerlijk speelveld, door het Europese aanbod te stimuleren en door nauw in contact te blijven met publieke en private stakeholders werken we toe naar een open ecosysteem van samenwerkende aanbieders in plaats van één dominante partij. We zien tegelijkertijd dat de groei van datacentercapaciteit in Nederland onder druk staat. Hierom gaan we via een gestructureerde dialoog met de Nederlandse sector hun uitdagingen en kansen gedetailleerd in kaart brengen. Ik verwacht in het eerste kwartaal van volgend jaar de resultaten van het onderzoek naar de behoeften aan datacentercapaciteit in Nederland van ons bedrijfsleven voor nu en in de toekomst inzichtelijk te hebben. De heer Buijsse refereerde daar in zijn inbreng ook al aan.

De problemen op de cloudmarkt zijn complex. Die zijn niet van de ene op de andere dag ontstaan of van vandaag op morgen opgelost. Zoals beschreven in de initiatiefnota zijn de oorzaken heel divers: van strategische autonomie en marktwerking tot innovatie, aanbesteding en cyberveiligheid. Met het ingezette beleid pakken we deze oorzaken aan, zodat we de komende jaren kunnen bouwen aan een gezonde en concurrerende Europese cloudmarkt.

Dan ga ik nu over tot de beantwoording van de vragen, te beginnen met de vraag van de heer Thijssen over de risico's voor bedrijfsgeheimen, met een specifiek voorbeeld van een bedrijf dat hij noemde. Dat is een terechte vraag, waarvoor dank aan het lid Thijssen. Zoals de heer Thijssen weet, zijn de zelfstandige organisaties en bedrijven die niet vallen onder het rijksbrede cloudbeleid in beginsel vrij om de clouddienstverlening zelf naar eigen inzicht in te zetten. Het kabinet is terughoudend om verplichtingen of restricties die gelden voor de overheid ook van toepassing te verklaren op interne bedrijfsvoering van private partijen. Waar organisaties maatregelen moeten nemen op het vlak van hun cloudgebruik, is het kabinet er voorstander van dat dit gebeurt op basis van de proportionele case by case risicogebaseerde aanpak en dat dit geen one-size-fits-allaanpak is. In de kabinetsreactie op de initiatiefnota heb ik aangekondigd dat mijn ministerie aan de slag gaat met het opstellen van documentatie om organisaties te ondersteunen bij beslissingen over cloudgebruik. Graag zou ik daaraan willen toevoegen dat gerubriceerde informatie wettelijk ook niet per mail mag worden gedeeld. Dat is eerder ook vastgesteld in het VIRBI, het Voorschrift informatiebeveiliging Rijksdienst Bijzondere informatie. De gerubriceerde informatie is informatie waarvan kennisname door niet-geautoriseerden schade kan toebrengen aan belangen van een of meerdere ministeries en omvat ook staatsgeheime informatie.

Voorzitter. De heer Buijsse vroeg mij of we wel voldoende ruimte ...

Minister Beljaarts:

Nou, de rijksoverheid werkt met een eigen cloudsysteem. In de communicatie met welk bedrijf dan ook wordt er altijd gekeken naar de gevoeligheid van de informatie die verstrekt wordt. In 99% van de gevallen zit daar niets gevoeligs tussen. Als er vertrouwelijke gesprekken nodig zijn met welk bedrijf dan ook, wordt daar altijd goed naar gekeken; dat gebeurt dan vaak fysiek in plaats van dat dat online via een chatdienst, zoals Teams, of op een andere manier gaat.

Minister Beljaarts:

Op het gevaar af dat ik op de portefeuille van de collega-staatssecretaris antwoord ga geven ... Op het rijkscloudbeleid kan de staatssecretaris dadelijk beter terugkomen, denk ik. Voor wat betreft de staatsgeheime informatie: die staat natuurlijk niet online op cloudservers.

Minister Beljaarts:

De heer Buijsse vroeg mij — bij die vraag was ik net gebleven — of er in Nederland voldoende ruimte is voor de groeiende vraag naar datacentercapaciteit, zowel publiek als privaat. Dank voor die vraag. In Nederland is er enige ruimte voor groei van datacenters, maar in toenemende mate ligt die groei echt onder druk. Grote datacenters, zogenaamde "hyperscalers", kunnen sinds begin 2024 nog maar op twee plaatsen in Nederland worden gebouwd. Voor de middelgrote datacenters, de zogenaamde "colocatiedatacenters", kondigen alsmaar meer gemeenten moratoria op de vestigingen af. Dat is een zorgelijke, onwenselijke ontwikkeling, zeg ik tegen de voorzitter, omdat daarmee het hoge niveau van digitale connectiviteit dat we nu in Nederland hebben, onder druk komt te staan. Ik zie dan ook tot mijn vreugde dat mijn zorgen of er voldoende ruimte beschikbaar is, door de heer Buijsse en mevrouw Bruyning worden gedeeld.

Binnenkort start ik met de provincies en de sector een ambtelijke werkgroep datacenters op, om te bezien hoe initiatieven voor een verantwoorde inpassingen van datacenters verder gebracht kunnen worden. Zoals reeds benoemd in mijn inleiding, verwacht ik in het begin van het eerste kwartaal de resultaten van het onderzoek naar de behoefte aan datacentercapaciteit in Nederland van ons bedrijfsleven. Ik zal die uitkomsten dan ook gebruiken als onderdeel van mijn inbreng in de gesprekken met VRO in het kader van de nog tot stand te komen Nota Ruimte. Maar dat dit een belangrijk en actueel onderwerp is en dat bewegingen eerder de verkeerde dan de goede kant op lijken te gaan, is zeker. Dat kan dus niet genoeg onderstreept worden. Vandaar ook dat het onderzoek heel belangrijk is. Dan weten we wat we nodig hebben. Zo kunnen we daarop anticiperen.

Minister Beljaarts:

Ik denk dat we die vraag het beste kunnen opknippen. Het onderzoek dat ik ga doen, richt zich erg op de behoefte vanuit het bedrijfsleven. Ik denk dat de staatssecretaris meer inzicht heeft in het overheidsgedeelte. Misschien kan hij daar in zijn termijn op terugkomen.

Minister Beljaarts:

De heer Buijsse vroeg mij ook of ik een beoordeling van de risico's qua aanbesteden kan geven en hoe ik daartegen aankijk. Het kabinet vindt dat de strategische autonomie bij aanbesteden op Europees niveau moet worden verbeterd. Het kabinet kijkt ook met belangstelling naar het door de Europese Commissie aangekondigde Europese voorkeursprincipe. Wij vinden het daarnaast ook belangrijk dat bij het aanbesteden gekeken wordt naar de risico's voor de nationale veiligheid. Hier wordt momenteel al veel op ingezet. Dat doet het kabinet onder andere met de Toolbox veilig inkopen, die de quickscan, de risicoanalyse en de quickguide al bevatte.

Daarnaast ontwikkelt het kabinet voor de rijksoverheid de Algemene Beveiligingseisen Rijksoverheid Opdrachten, de zogenaamde "ABRO". Daaraan moeten bedrijven die gevoelige overheidsopdrachten vervullen, voldoen. De ABRO moeten ook bijdragen aan het voorkomen van digitale spionage, ongewenste overnames en het weglekken van kennis. Zowel strategische autonomie als nationale veiligheid zijn ook belangrijke aandachtspunten voor Nederland tijdens de herziening van die aanbestedingsrichtlijnen. Binnenkort volgt dan ook een BNC-fiche met de waardering van de Europese plannen.

Mevrouw Koekkoek vroeg mij over de grote investeringen die nodig zijn voor het ten uitvoer brengen van de plannen. Ze vroeg hoe dat zou kunnen zonder extra investeringen. De staatssecretaris zal daar deels ook op terugkomen. Voor mijn deel gaat het over die concurrerende Europese cloudmarkt. Daarvoor is het van belang dat er een sterke, winstgevende en innovatieve bedrijvenpool tot stand komt. Hoewel publieke investeringen hieraan kunnen bijdragen, is het natuurlijk ook belangrijk dat de markt zelf investeert. Enkele mooie voorbeelden van die alternatieve Europese clouddiensten zijn al ontstaan vanuit private investeringen, bijvoorbeeld de Nederlandse bedrijven Leaseweb, Asperitas, de veelgenoemde Lidl-cloud — de heer Six Dijkstra sprak daar al over — en STACKIT. De voorbeelden zijn er dus. Als overheid moeten we er ook voor zorgen dat wij de randvoorwaarden op orde hebben. Dat kunnen we doen door wetgeving voor digitale markten, zoals de Dataverordening en de Digitalemarktenverordening.

Subsidies vanuit de EU, Rijk en regio's kunnen bijdragen aan het verbinden van marktpartijen in innovatie. Het kan dan om specifieke middelen gaan, bijvoorbeeld om die IPCEI-projecten of AI-fabrieken. Ook is er generiek instrumentarium om innovatie te bevorderen, zoals de bekende Wbso, de Innovatiebox en het Innovatiekrediet. Ook is er een regeling gericht op de samenwerking in het Horizon Europeprogramma. De Europese Commissie heeft recent aangekondigd om nieuwe investeringsfondsen op te richten voor start-up- en scale-upbedrijven. Over de kosten van het Rijk verwijs ik naar de heer Szabó, die daar dadelijk verder op ingaat.

Minister Beljaarts:

Deels wel, als het gaat om bepaalde infrastructuur. Ik denk dat mevrouw Koekkoek ook aan een stuk weerbaarheid refereert, waar misschien wat legacytechnologie gebruikt wordt in het dataverkeer. Dat is wel essentieel. Dat is oude technologie — laten we het zo maar zeggen — die niet per se op subsidies kan rekenen, maar die wel essentieel is voor de weerbaarheid en om ons land connected en veilig te houden. Ik denk dat daar een beetje de zorg van mevrouw Koekkoek zit. Daar heeft mevrouw Koekkoek deels gelijk in. Het is niet helemaal zo, want zelfs in de saaie technologie, zoals mevrouw Koekkoek het noemde, zit innovatie. We hebben glasvezel. Dergelijke dingen verbeteren continu. Daar vindt dus ook innovatie plaats. Maar ten dele heeft het lid Koekoek daar wel gelijk in.

Dan blijf ik bij mevrouw Koekkoek. Zij vroeg mij ook hoe het kabinet kijkt naar het EuroStackinitiatief. Het kabinet heeft met interesse kennis genomen van het EuroStackinitiatief dat door verschillende Europese partijen tot stand is gebracht. Dit initiatief beoogt een impuls te geven aan het creëren van een alternatief Europees cloudecosysteem, waarbij aandacht is voor zowel de hardware- als de softwarekant van die zogeheten stack. Op ambtelijk niveau is er inmiddels contact geweest met de verschillende betrokkenen van dit initiatief. Wij onderzoeken nu nog verder hoe we de voorstellen van dit initiatief kunnen betrekken bij onze eigen beleidsontwikkeling.

Mevrouw Koekkoek vroeg mij ook naar de grens aan samenwerking, het beperken van de klimaatimpact en het beperken van onnodig energieverbruik van datacenters en de cloud. Zij vroeg ook of we in Nederland voldoende capaciteit hebben om dat zelf op te vangen. Duurzame datacenters zijn een belangrijke hoeksteen van de Nederlandse digitale infrastructuur en bieden ook kansen voor innovatie. De groeiende capaciteitsvraag, die wordt veroorzaakt door bijvoorbeeld nieuwe AI-modellen, stimuleert de sector tot verdere energie-efficiëntie en verduurzaming. Dat gebeurt dan ook in grote mate. Het biedt ook nieuwe kansen voor Nederlandse bedrijven die met AI de efficiëntie, winstgevendheid en duurzaamheid van datacenters kunnen verhogen. Een belangrijke ontwikkeling hierin is de aansluiting van de Dutch Data Center Association bij het Climate Neutral Data Center Pact van de Europese Commissie, waarbij wordt gestreefd om Europese datacenters tegen 2030 klimaatneutraal te maken. Dat is een mooi en ambitieus streven. Dit kan door middel van energie-efficiency, het gebruik van 100%-hernieuwbare energie, en innovatieve oplossingen als restwarmtegebruik en waterbeheer. Tot slot dragen datacenters ook bij aan de verduurzaming in allerlei sectoren, zoals beschreven in het Actieplan Duurzame Digitalisering, waarover ik op 20 maart een update naar uw Kamer heb gestuurd. Ook werk ik hieraan in het kader van het Actieplan Duurzame Digitalisering. Ik onderzoek dan ook in samenwerking met de Nationale Coalitie Duurzame Digitalisering en onderzoeksbureau TNO wat de kansen en knelpunten van aanbieders van zogenaamde energiemanagementsystemen zijn. Deze partijen hebben de potentie om een significante bijdrage te leveren aan het beter benutten van het stroomnet. Natuurlijk zijn er ook andere bedrijven mee bezig, zoals bedrijven die werken aan de ontwikkeling van veel energiezuinigere chips. Je ziet dus heel veel initiatieven hier samenkomen.

Voorzitter, als u mij toestaat, want ik was aan het einde gekomen van de beantwoording van de vragen. Mevrouw Koekkoek refereerde nog aan het mislopen van de miljarden aan subsidies. Het was niet echt een vraag, maar meer een reflectie. Ik wil het beeld van het mogelijk mislopen van die miljarden aan subsidies graag nuanceren. Door de berichtgeving in de media is het beeld ontstaan dat we als Nederland miljarden aan Europese IPCEI-subsidies mislopen en Nederlandse bedrijven op achterstand gezet zouden zijn. Dat beeld is niet juist. Dank voor de gelegenheid om dat recht te zetten.

Twee zaken worden hier vaak door elkaar gehaald in de media. Allereerst gaat het bij de IPCEI's niet om Europese subsidies, maar om nationale staatssteun voor samenwerking. Dus als er door lidstaten gezamenlijk een nieuw IPCEI wordt opgezet, dan moet iedere lidstaat daar zelf nationaal geld voor beschikbaar stellen. Zo niet, dan kun je als lidstaat simpelweg niet meedoen. Dus in Europees verband worden IPCEI-projecten voor de digitale edge-cloudinfrastructuur en AI opgezet. In Nederland is er dus helaas geen financiering beschikbaar om in dit verband subsidies te verlenen aan partijen. Maar daarnaast wordt in dit verband ook de IPCEI CIS regelmatig genoemd. Die is al eind 2023 gestart. De middelen daarvan zijn reeds toegekend aan Nederlandse bedrijven en kennisinstellingen. Het kabinet heeft ruim 71 miljoen geïnvesteerd in een drietal Nederlandse cloudprojecten. Het is toch goed om dat in dit debat te benoemen. Dat is dus een onderdeel van in totaal 4 miljard aan publiek-private investeringen. Eind dit jaar worden de eerste concrete resultaten van deze IPCEI CIS verwacht.

Ik ben aan het einde gekomen van de beantwoording, voorzitter.

Minister Beljaarts:

Ik ook. Dat is ook de reden waarom ik dat onderzoek heb afgekondigd en waarom het zo belangrijk is om dat eindelijk in kaart te brengen. Ik denk dat we de zorgen delen. Ik gaf eerder aan dat naar verwachting in het eerste kwartaal van 2026 de resultaten bekend zullen zijn, uiteraard gevolgd door een actieplan vanuit mijn ministerie over hoe daarmee om te gaan. Hier komt alles samen. Het heeft inderdaad, zoals het lid Koekkoek terecht zegt, te maken met energieconsumptie en energiebenodigdheden, maar ook met ruimte. De minister van VRO is met de Nota Ruimte bezig, waar wij ook weer input voor geven. We zien gemeenten tegenovergestelde bewegingen maken, wat haaks staat op de grotere behoefte aan data. Dus dat deel ik volledig. Dat is ook de reden waarom ik daar zo actief op inzet. Dus in het eerste kwartaal van 2026 komen de bevindingen. Dan hebben we even de tijd nodig om daarmee dat actieplan van EZ te schrijven. Daarvan ga ik de Kamer uiteraard op de hoogte houden. Misschien nog even terugkomend op de IPCEI-projecten: dat is dus echt nationaal geld. Dat wil ik rechtzetten. Dat is geen cofinanciering. Die modellen zijn er ook, maar dat is dit niet. Het is misschien goed om dat nog even te benoemen.

Minister Beljaarts:

Dat klopt. Dat is inderdaad een vraag die de staatssecretaris zal beantwoorden.

Staatssecretaris Szabó:

Dank u wel, voorzitter. Ik heb voor dit notaoverleg een korte inleiding. Vervolgens heb ik twee blokjes genoteerd als het gaat om de vragen die ik heb gekregen. Eentje gaat over digitale autonomie en het andere over cloudbeleid. Daar komen onder andere de antwoorden op de vragen over het SLM en andere vragen die zijn gesteld in terug, met uw welnemen.

Leden van de Kamer, dank voor uw inbreng tot zover. Vandaag spreken we over de initiatiefnota Wolken aan de horizon. Ik kan zeggen dat deze nota de tijdgeest goed heeft aangevoeld. Sinds de presentatie op 24 juni vorig jaar door NSC en GroenLinks-PvdA heeft dit stuk een belangrijk debat op gang gebracht over digitale soevereiniteit, autonomie en de noodzaak om op het gebied van het dossier cloud te opereren als één overheid.

In juli vorig jaar ben ik begonnen als staatssecretaris Digitalisering en Koninkrijksrelaties. Ik was geïnspireerd door de urgentie om digitalisering in Nederland niet alleen efficiënter, maar vooral ook meer in samenhang aan te pakken. De oproep die ik sinds dag één hoorde vanuit de Kamer, de medeoverheden en de samenleving was duidelijk: neem de regie, kom tot een visie en werk samen als één overheid. Direct na mijn aantreden ben ik gestart met het inzetten op een samenhangende strategie. Die is nu geland in de Nederlandse Digitaliseringsstrategie, waarin cloud als een van de zes prioriteiten centraal staat. Nadat de ministerraad aanstaande vrijdag akkoord geeft, kan de NDS worden gepresenteerd. De NDS is randvoorwaardelijk voor het waarmaken van gezamenlijke ambities. Alleen zo kunnen we onze weerbaarheid, dienstverlening, innovatiekracht en digitale soevereiniteit versterken. IJs en weder dienende wordt die aanstaande vrijdag 's middags na de ministerraad gepresenteerd in Nieuwspoort.

Zoals al eerder aangegeven, is cloud een van de prioriteiten. Het document wordt tien pagina's lang. Dat betekent niet dat we ons de afgelopen negen maanden, want dit was een bevalling van negen maanden, alleen maar met het volschrijven van tien pagina's hebben beziggehouden. Ambtenaren hebben keihard gewerkt, ook in samenwerking met de Kamer, de wetenschap en het bedrijfsleven. Ik herinner me nog heel goed de benen-op-tafelsessie die we op 4 november hebben gehouden, ook samen met Kamerleden. Ik had wel graag gezien dat ergens begin februari die tien kantjes zouden zijn geaccordeerd door de medeoverheden, althans ik had gewild dat ze goed zouden zijn bevonden. Alleen, dat soort processen duren wat langer. Ik heb iets te lang in het bedrijfsleven gezeten nadat ik Kamerlid was twintig jaar geleden, dus ik was al vergeten dat processen hier gewoon iets langer duren. Maar nu ligt de NDS er.

Ik denk dat het zonder de Nederlandse Digitaliseringsstrategie heel moeilijk zou zijn om dat wat we hier vandaag bespreken, ook goed geïmplementeerd te krijgen de komende jaren. Cloud stopt namelijk niet bij de rijksoverheid, bij de departementen. Het stopt niet bij een waterschap. Het stopt niet bij een zbo. Het stopt niet bij een provincie. Het stopt ook niet bij een gemeente. Zoiets moet je samen oppakken, in samenhang, ook als je bijvoorbeeld kijkt naar het inkoopbeleid.

Ik ga niet citeren uit de Nederlandse Digitaliseringsstrategie, maar ik kan u wel al melden dat we heel goed hebben gekeken naar Wolken aan de horizon. Als het gaat om versnellen en het verhogen van onze digitale autonomie en weerbaarheid, zult u er in ieder geval zaken in terugzien als het zorgen voor centraal inzicht in de behoefte aan cloud door de verschillende vragen te bundelen. Dat is een heel belangrijke, denk ik. Het selecteren van standaarden voor projecten is vandaag ook al naar voren gekomen. Ik noem Haven. Maar we kunnen ook kijken naar SURFcumulus en vergelijkbare initiatieven, ook in Europa. Ik denk dat daar ook belangrijke initiatieven worden ontplooid. U kunt ook denken aan een overheidsbrede samenwerking, waardoor mogelijkheden ontstaan om soevereine overheids-ICT-diensten overheidsbreed te gebruiken. En we helpen elkaar bij de implementatie. We gaan dus ook vanuit het e-vakmanschap kijken hoe we elkaar kunnen helpen bij implementaties. Onder andere deze dingen staan daar dus in. Er staat meer in, maar wat dat betreft vraag ik om uw geduld.

En wat gaat er dan gebeuren na die presentatie? Nou, er gebeurt nu al een hoop. We hebben een bestuurlijk overleg digitalisering. Tot mijn verbazing bestond dat niet, maar dat hebben we nu wel. Inmiddels zijn ministeries en medeoverheden een aantal malen samengekomen. We gaan een NDS-raad instellen en we zullen thought leaders vragen om met een breinaald door de overheidsorganisaties heen te lopen en op het gebied van AI, cloud, e-vakmanschap of het delen van data hun verhaal te houden of te horen hoe het allemaal beter kan. Dus ook op dat hoge niveau zijn wij daarmee bezig. En wij zijn bezig met het opzetten van een NDS-uitvoeringsorganisatie. Nogmaals, er zit een hoop achter die tien kantjes. Er komt veel bij kijken en het moet ook goed worden geïmplementeerd. Daar willen we onze beste mensen voor inzetten. Dat is dus waar we in dat kader mee bezig zijn.

In maart hebben wij het debat gehad over de migratie van overheids-ICT naar het buitenland. In het algemeen gaat het daarbij om afhankelijkheden van de rijksoverheid van publieke clouddiensten uit het buitenland, en dan met name van de hyperscalers. Daar hebben we het vandaag ook over gehad.

De VS is en blijft in veel dossiers een belangrijke bondgenoot, niet op de laatste plaats op het gebied van onze welvaart en veiligheid. Dat is vandaag ook al aan de orde gekomen. Tegelijkertijd moeten we wel meer zelf verantwoordelijkheid nemen, moet de Europese Unie eensgezind optrekken en moet Nederland zelf initiatieven nemen. De afgelopen maanden heb ik meerdere keren bezoeken in Europa afgelegd. Ik heb ook gekeken naar het industriebeleid dat is gevoerd op het gebied van cloud, onder andere naar de initiatieven rond GAIA-X. Daar had veel meer uitgehaald kunnen worden. We hebben ook lessen geleerd. Verschillende landen staan hierbij tegenover elkaar en trekken niet met elkaar op. Ik denk dat het goed is om te kijken wat er uit Europa komt, maar dat het minimaal net zo belangrijk is om na te gaan hoe we het Nederlandse bedrijfsleven kunnen stimuleren. Ik zie dat de minister van Economische Zaken het daarmee eens is. Ik denk dus dat dat de goede lijn is.

Het waarborgen van de digitale autonomie is daarbij van groot belang, zowel voor de Nederlandse burger als voor het functioneren van de overheid. Via de aangenomen moties heeft uw Kamer de duidelijke wens uitgesproken om de digitale autonomie van de overheid te versterken en ongewenste afhankelijkheden te verminderen. Uw zorgen en ambities begrijp ik goed en worden ook geadresseerd in de verschillende beleidsstukken zoals de NDS. Dat gebeurt niet alleen in de NDS, maar ook in de IT-sourcingstrategie Rijk die eraan komt, en bij de herziening van het rijksbrede cloudbeleid. Daarnaast verwacht ik deze zomer de visie op digitale soevereiniteit en autonomie van de overheid te delen met de Tweede Kamer. En ik ga stappen zetten om het rijksbrede cloudbeleid uit te breiden naar een overheidsbreed beleid. Wat mij betreft spreken we dus bij alle dossiers waar we het vandaag over hebben, niet alleen over het Rijk, maar meer over de overheid als één geheel.

Verder heb ik uw Kamer toegezegd om nog deze kabinetsperiode in te zetten op het ontwikkelen van een soevereine overheidscloud. De initiatiefnota Wolken aan de horizon onderstreept het belang daarvan. De afhankelijkheid van big tech is groot, de markt is krap en het is voor Europese aanbieders lastig om binnen te komen. Het kabinet steunt het feit dat er zeker gewerkt dient te worden aan het verminderen van een te grote afhankelijkheid van big tech of überhaupt van één leverancier. In de komende maanden gaan we verder verkennen wat er nodig is om een soevereine cloud te realiseren waar álle overheden op kunnen vertrouwen en zich op kunnen aansluiten. De inbreng van uw Kamer in eerdere debatten en in dit notaoverleg neem ik daarbij vanzelfsprekend serieus mee. Ik blijf mij inzetten voor het versterken van de digitale autonomie van de overheid, het verantwoord gebruiken van cloudtechnologie en het beperken van ongewenste afhankelijkheden.

Deze week markeert een belangrijke omslag in onze aanpak. Het is al aangegeven. Die wordt gekenmerkt door de Nederlandse Digitaliseringsstrategie, die vrijdag in de ministerraad voorligt. Samen met medeoverheden, de Kamer, het bedrijfsleven en de wetenschap zetten we stappen in de inrichting van een nieuw digitaal ecosysteem, een systeem waarin publieke waarden, veiligheid en de autonomie vooropstaan. Dat kost tijd, maar dat is ook logisch, want het is complex. Regie opbouwen, vertrouwen creëren en gezamenlijke afspraken maken gaan niet van de ene op de andere dag. Toch zijn we, mijns inziens, in relatief korte tijd ver gekomen met de medeoverheden. Gezien het belang van een publieke cloud, binnen en buiten de overheid, is het van belang om weloverwogen keuzes te maken, waarbij we noch de kansen, noch de risico's uit het oog verliezen. Het opstellen van goede spelregels is hierbij echter wel van belang. Daarom wil ik na het zomerreces in overleg treden met de Kamer over de herziening van het rijksbrede cloudbeleid en de visie op digitale autonomie van de overheid.

Voorzitter, dat betreffende mijn inleidende inleiding.

Staatssecretaris Szabó:

In de stukken zal niet terugkomen dat ik ga voor 30% in 2029. Toen dat werd opgeschreven, was dat een uitdaging. Maar dat is een jaar geleden al opgeschreven, en nu is het een nog grotere uitdaging om dat in een jaar minder te doen. Die neem ik dus even niet op me. Ik neem wel op me dat we inzetten op cloudtechnologie, waarbij we meer dan voorheen kijken naar oplossingen binnen Europa. Ik zeg "binnen Europa" en niet "binnen de Europese Unie", want ook in Engeland, dat niet meer tot de Europese Unie behoort, zijn er bedrijven die met goede oplossingen komen. We gaan ook kijken naar zaken als gezamenlijke inkoop, maar daar kom ik mogelijk later nog op terug. We denken aan een marktplaatscloud, waarbij je overheidsbreed kunt zien welke oplossingen er in de markt te koop zijn. Ik denk dat er op dit moment in het algemeen — ik noem even geen specifieke overheden — te weinig inzicht is in wat er op de markt te koop is. We hebben vandaag een aantal bedrijven langs horen komen, maar er is natuurlijk veel meer; niet alleen in Nederland, maar ook in andere landen. Met name in Frankrijk en Duitsland, mede ondersteund door overheden, zijn er gewoon belangrijke initiatieven. Voorbeelden waar we mogelijk gebruik van kunnen maken zijn het Duitse Nextcloud en Bleu in Frankrijk. Ik zeg niet dát we daarvan gebruik kunnen maken, maar er ligt wel een stapeltje met oplossingen, zowel op PaaS-, SaaS- als IaaS-niveau. Dat betekent: Platform as a Service, Software as a Service en Infrastructure as a Service. Excuus, voorzitter, maar er werd door de heer Thijssen naar mij gekeken van: leg dat even uit. Ik denk dat dat ook goed is, want er wordt niet alleen vanaf de tribune meegekeken en -geluisterd, maar ook thuis. Ik ben ook niet van die termen als PaaS, SaaS en IaaS. Er zijn op die niveaus oplossingen, waarbij ik denk dat in eerste instantie met name Platform as a Service en Infrastructure as a Service het meest mature zijn hier in Europa. Als het gaat om Software as a Service, heeft de industrie nog wel een aantal slagen te maken. Hiervoor geldt echter ook: als we overgaan op producenten uit Europa, kun je niet — dat hebben we ook bij Luxemburg gezien — in één keer de slag maken dat je niet meer afhankelijk bent van bedrijven buiten Europa. Ik denk dat je ook combinaties krijgt.

Zoals ik al aangaf, gebruiken ze in Luxemburg Google. Echter, op het moment dat de functionaliteiten bij bedrijven in Europa wat steviger worden, kun je op middellange en langere termijn kijken of je kunt migreren. Waarom stel ik dit zo? Je kunt niet nu alle langeretermijncontracten van derden opzeggen. Dat geldt niet alleen voor bedrijven van buiten Europa maar ook voor bedrijven binnen Europa; we hebben best wel wat grote spelers. Daar gaan ook jaren overheen. Maar ik deel de ambitie om meer voor Europese, het liefst Nederlandse, waar te gaan. Dat is wat mij betreft ook een signaal richting het bedrijfsleven: we acteren nu vanuit één overheid en we gaan de komende tijd meer duidelijkheid geven over waar we naar zoeken. Binnen de Nederlandse Digitaliseringsstrategie gaan we daar ook mee aan de slag. Dat is dus alleen maar winst.

Wat doen we dan nog meer? We zetten dus in op die cloudtechnologie. We gaan kijken naar het meer delen en benutten van data op een verantwoordelijke manier en over de overheidslagen heen. We benutten op een verantwoordelijke manier de kansen van AI. We zetten erop in om burgers en ondernemers centraal te stellen. Ik heb daar ook uitgebreid binnen het ministerie over gesproken. Dat betekent voor mij dus ook dat we de ambtenaren beter equiperen met betere spullen. De ambtenaar staat dus wat mij betreft vanaf vandaag ook gewoon centraal, naast burgers en bedrijven. We versterken de digitale weerbaarheid en autonomie van de overheid. We versterken het digitale vakmanschap van ambtenaren en hebben een moderne werkomgeving. Over het digitale vakmanschap hebben sommige mensen gezegd: wat moet je daar nou mee? Nou, daar moet je dus heel veel mee. Dat kunnen we absoluut niet onderschatten.

Ik kom, als het mag, nog één keer terug op het voorbeeld van Luxemburg. Daar zijn ze in 2017 gestart met een visie op digitalisering. Dat was nog in de tijd dat wij hier niet met visies op digitalisering mochten starten; nu mag dat gelukkig wel. Ze zijn nu acht jaar, bijna tien jaar, verder. Ze hebben daar een soevereine cloud staan. Ze hebben een AI-fabriek. Ze hebben een supercomputer. Ze hebben van alles en nog wat en ook hele goede ambtenaren. Ik stelde daar de vraag: als ik nou met u terugkijk naar 2018 en kijk naar de kennis en kunde van de mensen die nu binnen zijn, zijn die dan van hetzelfde type als toen? Is het hetzelfde type ICT'ers of mensen die verstand hebben van digitalisering of van aanbestedingen? Het antwoord was nee. Ze hebben een compleet nieuwe werkploeg. Dat is voor mij ook wel een reden om het op te nemen in de Digitaliseringsstrategie, om nu al na te denken over hoe je hier mensen moet omscholen, over hoe je misschien ook andere mensen moet binnenhalen en over welke expertise je nodig hebt om de slag van het werken in harkjes naar het werken in datagedreven organisaties te maken, met herinrichting van de uitvoeringsprocessen. Als we die missen, als we onvoldoende kijken naar e-vakmanschap, dan gaat dit ook allemaal niet werken.

Staatssecretaris Szabó:

Voorzitter, ik vergeet de microfoon iedere keer uit te zetten. Dat doe ik al een jaar zo. Excuus daarvoor.

Mijn doelstelling is om onze weerbaarheid en autonomie te vergroten. Ik heb net al aangegeven hoe ik dat wil doen, als het gaat om de inzet van het bedrijfsleven hier in Europa. Wij moeten meer duidelijkheid geven over waar wij heen willen. Op alle onderwerpen die ik net heb genoemd, ga ik een aantal maanden de tijd nemen — dat heb ik in eerdere debatten al aangeven — om dit, samen met de medeoverheden, verder uit te diepen. Ik heb de medeoverheden nu namelijk zover dat we een zestal prioriteiten samen gaan oppakken. Vervolgens is de vraag: wat gaan we dan precies doen en hoe moet uiteindelijk de investeringsagenda er in dat kader uitzien? Als je al die dingen samen goed doet, denk ik dat we de doelstellingen die eerder vandaag op tafel zijn gekomen, met percentages, … Nou, ik wil niet zeggen dat we die dan bereiken, maar ik denk wel dat we daar een grote stap in kunnen zetten. Weet u, ik hoop dat we in 2029 — ik zit even te denken of ik hier dan nog net wel of net niet meer zit — die 30% te pakken hebben; 30%-plus. Maar ik kan daar niet mijn hand voor in het vuur steken, want u weet zelf ook dat … Dat is een heel ander onderwerp, maar wanneer bedrijven hier succesvol zijn in de ICT, zien we vaak dat, als ze willen doorschakelen, willen upscalen, het meeste geld wel uit het land komt waar we het vandaag al vaker over gehad hebben. Dan heb je soms te maken met een bedrijf dat hiervandaan daarnaartoe verhuist, terwijl je het graag hier zou willen houden.

Staatssecretaris Szabó:

Ik denk dat we elkaar in ieder geval kunnen vinden op … Ik heb eerder aangegeven dat ik streef naar een soevereine overheidscloud in mijn termijn. Daarvoor ben ik nu een verkenning gestart: wat komt daarbij kijken? Dat zal alleen maar helpen om in ieder geval in de buurt van uw ambities te komen of die zelfs te overtreffen.

Staatssecretaris Szabó:

Is de vraag of ik die 30% daarin wil meenemen? Ik heb al eerder aangegeven dat ik me daar niet op vast kan pinnen.

Staatssecretaris Szabó:

Ja.

Staatssecretaris Szabó:

Natuurlijk is het antwoord ja, want anders moet je geen doel stellen.

Staatssecretaris Szabó:

Dan de vragen over de digitale autonomie, in eerste instantie. De heer Thijssen vroeg: hoe komt het eigenlijk dat alle overheidsdiensten op deze clouddiensten terecht zijn gekomen? Het is zeker niet zo dat alle overheidsdiensten in de publieke cloud staan. Als ik me goed herinner, vroeg uw Kamer het kabinet om een cloud-firststrategie in de motie-Van der Burg van de VVD op 20 mei 2010. Daarover is, zoals u weet, in 2011 een brief gekomen van de heer Donner. Het doel hiervan was om in navolging van diverse andere landen een strategie voor cloudcomputing voor de hele Nederlandse overheid te ontwikkelen. Daar zijn we nu dus samen mee bezig. Van 2011 tot 2022 was het beleid dat overheden geen publieke clouddienst zouden gebruiken, vanwege zorgen over beveiliging en privacy. Het gebruik van de publieke cloud is met de publicatie van het rijksbrede overheidscloudbeleid in 2022 al aan banden gelegd, omdat beveiliging en privacy inmiddels beter zijn geborgd in een meer volwassen markt. Met de komende herziening van het beleid wordt deze beweging verder doorgezet.

Ik kom even terug op de vraag over hoe we zo ver zijn gekomen. Volgens mij is een van de redenen dat er hier en daar toch onvoldoende sturing was op wat we samen als overheid gaan doen. Ik heb het weer over "de overheid" en niet over "de rijksoverheid". Veel beleid is nu namelijk alleen maar gepositioneerd richting de rijksoverheid, zoals ook het rijkscloudbeleid. Dat is nog steeds rijkscloudbeleid, maar we gaan dat met inzet van de NDS-gedachte nu ook verwerken tot overheidscloudbeleid. Iedereen kon dus zijn eigen ding doen.

Dan denk ik even aan de heer Thorbecke. Dat was ook een liberaal. Dat doe ik inderdaad in de Thorbeckezaal waar we nu zijn. Ik denk: laat ik er maar over beginnen. In de Troelstrazaal was ik overigens niet over Troelstra begonnen. Ik denk dat Thorbecke, als hij nu had geleefd, digitalisering anders had opgepakt dan de rest van de staatsinrichting. Hij had, denk ik, gezegd dat we op het gebied van digitalisering in één huis moeten wonen. U bent nog nooit in mijn kamer geweest, maar op dag één heb ik een tekening gemaakt. Ik kan niet zo goed tekenen. Het lijkt op de tekening van een kleuter, maar de tekening klopt wel, omdat iedereen het begrijpt. Ik heb een huis gemaakt met daarbinnen het Rijk, de gemeenten, de provincies, de waterschappen en de zbo's. Daarin heb ik lijntjes getrokken waar data worden gedeeld en beleid samen wordt ontwikkeld. Dat is eigenlijk nooit eerder zo gebeurd. Daarboven heb ik nog een plaatje waarop staat dat we moeten regisseren en standaardiseren. Ik had het over zes prioriteiten, maar zonder die twee additionele zaken gaat het je niet lukken. Dat is dus volgens mij wat Thorbecke ook wil. Dat mag ik wel zeggen als iemand die van oorsprong ook uit een liberaal huis komt.

Dan nog een vraag van de heer Thijssen: "We gaan nu vaak voor de goedkoopste optie en maken het niet zelf, waardoor alles bij big tech ligt. Kan de staatssecretaris daarop reageren?" Dat heeft natuurlijk te maken met de wijze waarop we tot nu toe hebben ingekocht, ook bij aanbestedingen. Er wordt natuurlijk wel gekeken naar kwaliteit, betrouwbaarheid en het voldoen aan de Europese waarden en regelgeving, zoals privacy. Maar we hebben te vaak gekeken naar met name prijs — dat is een heel belangrijk element geweest — en gemak, en minder naar de zaken die nu spelen, zoals weerbaarheid en veiligheid. Daarin maken we met z'n allen nu een omslag.

Dan nog een vraag van de heer Thijssen …

Staatssecretaris Szabó:

Toch ga ik nog een vraag van u beantwoorden, meneer Thijssen. Hoe komt het volgens de bewindspersonen dat zo veel cloudaanbestedingen uiteindelijk bij Amerikaanse techgiganten terechtkomen? Welke problemen zien de bewindspersonen met hoe ICT nu wordt aanbesteed? Hoe zorgen we ervoor dat EU-alternatieven ook kunnen worden meegenomen in de aanbesteding? Dat sluit deels aan bij uw vorige vraag. Aanbestedende diensten, dus departementen en de medeoverheden, hebben autonomie om eigen criteria vast te stellen voor de aanbesteding. Deze criteria moeten neutraal gesteld worden en niet naar specifieke leveranciers worden toegeschreven. We begrijpen dat het kunnen meedoen in aanbestedingstrajecten van belang is voor de Nederlandse en Europese cloudsector. We blijven op Europees niveau betrokken bij het adresseren van de problematiek rondom cloud in sectorspecifieke regelgeving.

Dan nog een vraag van de heer Thijssen, maar ook van de heer Buijsse van de VVD. Hoeveel belastinggeld geven we nu per jaar uit aan bigtechbedrijven? Hoeveel geld besteden we aan Europese alternatieven? Hoe zorgen we ervoor dat die verdeling straks eerlijker wordt? Kunnen de staatssecretaris en de minister van Economische Zaken aangeven hoeveel er door de gezamenlijke overheden wordt uitgegeven aan hyperscalers voor clouddiensten? Ik denk dat dit met name een vraag aan mij is. Het antwoord is dan: we hebben geen actueel inzicht in hoeveel geld er naar big tech of Europese alternatieven gaat. Aanbestedende diensten hebben autonomie om eigen criteria vast te stellen voor de aanbestedingen. Volgens het aanbestedingsrecht moeten deze criteria neutraal gesteld worden en niet naar specifieke leveranciers worden toegeschreven. Het aanbestedingsrecht is in die zin al eerlijk, aangezien partijen uit de GPA-landen en landen waarmee bilaterale handelsovereenkomsten zijn gesloten niet minder gunstig behandeld mogen worden dan de Nederlandse en Europese ondernemers.

Wat het geld betreft: er is een parlementair onderzoek geweest, zoals u weet. De heer Elias heeft er toen al naar gekeken. Ik kan me het begin van de sessies nog heel goed herinneren. Het eerste nieuws dat de heer Elias naar buiten bracht, als ik het goed heb, was dat er 5 miljard wordt verspild aan ICT, terwijl daarna in debatten naar voren kwam dat er maar 3 à 4 miljard werd uitgegeven. Ik denk wel dat het goed is, ook nu we meer als één overheid met elkaar gaan werken, om grip te krijgen op de totale kosten. Het gaat om een hoop geld en we moeten kunnen verantwoorden hoe we het uitgeven en waaraan, als we kijken naar PaaS, SaaS, IaaS en cloudbeleid.

Dan nog een vraag van de heer Thijssen. Hoe gaan de bewindspersonen de Kamer op de hoogte houden van alles wat ze doen op het gebied van digitale autonomie, zodat de Kamer inzicht heeft in hoe de afhankelijkheden van big tech worden ingeperkt? We blijven u graag informeren over de diverse initiatieven die momenteel lopen. Als voorbeeld wil ik hier graag noemen de herziening van het rijksbrede cloudbeleid, evenals de visie voor digitale soevereiniteit en autonomie. Daarnaast wil ik na de zomer graag in gesprek met uw Kamer over deze onderwerpen. U wordt trouwens ook middels de verzamelbrief digitalisering geïnformeerd over de lopende initiatieven.

Dan in dit blokje een vraag van de heer Buijsse. Hoeveel geld gaat er om in strategisch leveranciersmanagement? Is het nog aannemelijk dat er nog een fractie van dit bedrag te verwachten is dat uit Europa verdwijnt voor clouddiensten? SLM heeft geen budget voor het aangaan van clouddiensten. Er zijn meerdere SLM's binnen de rijksoverheid en naast de SLM Microsoft, Google, Cloud en AWS, waar we het vandaag met name over hebben gehad, hebben we natuurlijk ook de SLM voor Oracle, IBM, SAP en het Nederlandse KPN. Hier zitten dus meerdere Europese leveranciers bij. Leverancierscontracten worden altijd zelf aangegaan vanuit de departementen. Een deel van deze bedragen gaat derhalve al naar Europese diensten.

Staatssecretaris Szabó:

Nee, het antwoord blijft hetzelfde als wat ik heb aangegeven. Ik heb dat overzicht niet. Maar zoals ik al heb aangegeven moeten we inderdaad gewoon meer inzicht krijgen in wat digitalisering kost. Dat begint eigenlijk bij de vraag waar we het qua definitie eigenlijk over hebben. Neem je een organisatieadviseur mee en een procesmedewerker? Waar eindigt het in het proces van programmeren, implementeren en beheren?

Staatssecretaris Szabó:

Ik kan vanzelfsprekend aan de SLM's vragen om dit voor ons na te vragen.

Staatssecretaris Szabó:

Dank u wel. Dan een vraag van de heer Buijsse. Hanteert de staatssecretaris in de prioriteitsstelling van de nationale cloud dezelfde volgorde als de VVD? Dat is dus nationale veiligheid en bescherming persoonsgegevens eerst. Ik snap uw prioriteitsstelling. Bestaand beleid, zoals algemene beveiligingseisen voor Defensie-opdrachten en het Rijksbreed cloudbeleid 2022, stelt echter al voorwaarden aan de mogelijke inzet van publieke of private clouddiensten voor Defensie, nationale veiligheid en de verwerking van persoonsgegevens. Deze beleidskaders worden waar nodig doorontwikkeld, mede in het licht van de veranderende geopolitieke situatie. Deze kaders zijn bedoeld voor het borgen van de continuïteit van de dienstverlening en zullen ook randvoorwaardelijk zijn voor de ontwikkeling en de inzet van het beleid voor een soevereine cloud. Zoals al eerder in mijn inleiding al aangegeven worden deze prioriteiten natuurlijk ook meegenomen in de uitwerking van de Nederlandse Digitaliseringsstrategie als het gaat om nationale veiligheid, weerbaarheid en dat soort zaken. Ik kan u het volgende vertellen en ik denk dat het wel belangrijk is wat ik nu zeg. Toen Wolken aan de horizon werd gepubliceerd op 24 juni, had weerbaarheid toch een iets andere klank dan nu; weerbaarheid wordt steeds urgenter. Ook dat punt kun je alleen vanuit één overheidsgedachte tackelen.

Dan een vraag van mevrouw Bruyning. Dat is de laatste vraag over digitale autonomie. Hoe kijkt de regering naar de positionpaper van Dutch Cloud Community en Stichting Digitale infrastructuur Nederland? De paper heeft betrekking op gevoelige overheidsdata, essentiële overheidsdiensten en kritieke fysieke infrastructuur. In het Rijksbreed cloudbeleid 2022 worden al voorwaarden gesteld aan het gebruik van publieke cloud voor dergelijke applicaties. In de verdere ontwikkeling van het cloudbeleid en het EU-beleid op digitale autonomie van overheden nemen we deze punten natuurlijk mee. Ik kan u vertellen dat dit niet het eerste rapport is van de Dutch Cloud Community. In februari, als ik met goed kan herinneren, heb ik al een lijvig rapport van hen rond cloud computing overhandigd mogen krijgen. We zijn ook intensief in gesprek over wat ze kunnen leveren, ook voor de Nederlandse overheid.

Voorzitter. Dan ga ik door naar het tweede pakketje. Dat is het pakketje cloudbeleid, dat ook een aantal vragen bevat. Er is een vraag van de heer Thijssen. Hoe gaan de bewindspersonen de aanbevelingen uit de nota over de rol van de CIO Rijk en de gecoördineerde bewindspersoon invullen? Er wordt momenteel gewerkt aan een herziening van het besluit CIO-stelsel. Onderdeel van de herziening is het versterken van de coördinerende rol van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de positie van de CIO Rijk. De aanbeveling zal worden meegenomen in deze herziening. Hierbij zal worden bepaald welke bevoegdheden passend zijn om de CIO Rijk een stevigere rol te geven met betrekking tot het sturen op het nakomen van beleid, kaders en richtlijnen. Daarnaast wordt conform de motie van het lid Six Dijkstra het coördinatiebesluit herzien, om daarin digitale autonomie op te nemen. De Kamer wordt nog dit jaar geïnformeerd over de voortgang.

Dan een vraag van de heer Thijssen. Kan de staatssecretaris ingaan op de rol van de CPO, de Chief Procurement Officer, aangaande clouddiensten met betrekking tot Wolken aan de horizon? De CPO is de kadersteller en de ambtelijke vertegenwoordiger voor het Rijksinkoopstelsel. Als de clouddiensten generiek gebruikt worden, moet de inkoop daarvan voldoen aan de rijksbrede afgesproken eisen, zoals de CPO die hanteert. Als de clouddiensten dienstspecifiek ingekocht worden, worden er tussen de departementen separate afspraken gemaakt. De rol van de CPO is daar beperkter. Het Rijksinkoopstelsel wordt op dit moment herzien, zoals heel veel andere zaken worden herzien, begrijp ik vandaag. De positionering van het categoriemanagement en de relatie met strategisch-leveranciersmanagers zullen wijzigen, om onder andere richting cloudleveranciers beter geëquipeerd te zijn. De CPO en de CEO stellen momenteel gezamenlijk een vernieuwde IT-sourcingstrategie op, waarmee onder andere verwerving van bijvoorbeeld cloud bijgesteld wordt. U moet dan onder andere denken aan terugvalopties wanneer er een leverancier uitvalt.

Nog een vraag van de heer Thijssen, namelijk welke rol ik als staatssecretaris pak om erop toe te zien dat aangenomen Kamermoties op alle departementen goed worden uitgevoerd. Wij nemen de aangenomen moties op in nieuw beleid, om te borgen dat deze formeel belegd zijn. Departementen zijn vervolgens zelf verantwoordelijk voor de implementatie ervan, inclusief het alloceren van de middelen.

Dan nog een vraag van de heer Thijssen. Hoe kijken de initiatiefnemers naar het construct van strategisch leveranciersmanagement in relatie tot big tech? We hebben het hier zojuist ook al over gehad, maar ik ga het antwoord toch oplezen, want het gaat om een belangrijk onderwerp. In de loop van de tijd zijn door SLM Microsoft, Google Cloud en Amazon Web Services veel resultaten bereikt, zoals de totstandkoming van essentiële contractuele privacy-amendementen. Dit heeft de contractuele positie van de Rijksoverheid substantieel verbeterd ten opzichte van standaardvoorwaarden van de hyperscalers, de toenmalige standaardvoorwaarden. SLM Microsoft, Google Cloud en Amazon Web Services kan zich tevens richten op Nederlandse EU-leveranciers als zij daartoe de formele opdracht krijgt. Ik ga daartoe in gesprek, zodat zij een SLM cloud kunnen worden die zowel de marktdominantie van VS-leveranciers als van EU-leveranciers en NL-leveranciers onder zijn aandachtsgebied heeft.

Dan een vraag van mevrouw Bruying. In de positioneringspaper van DCC en SIDN wordt een aantal aanbevelingen gedaan waaronder een 24 uurscalamiteitenplan om alle data vanaf de cloud naar lokaal en weer terug te migreren, naar de aanpak van Defensie. Hoe kijkt de regering hiernaar? Vanuit het Rijksbreed cloudbeleid 2022 is een exitplan nu al een verplichting bij gebruik van clouddiensten. Afhankelijk van de applicatie zal een migratie korter of langer duren dan 24 uur. De complexiteit en omvang van de applicatie en de bijbehorende data zijn hier de belangrijkste knelpunten.

De laatste twee vragen komen van de heer Valize. Hoe hebben de organisaties en het kabinet deze interventies, debatten, moties en dergelijke ervaren? Deze zin staat niet goed op mijn blaadje. Is het ervaren als vertraging? Heeft het geleid tot vertraging bij de totstandkoming van het herijkte cloudbeleid en de NDS? Dat was de vraag. Het kabinet evenals de organisaties waarderen de aandacht vanuit de Kamer voor de onderwerpen zeer. De democratische controle op hetgeen wij als kabinet uitvoeren valt of staat bij het contact dat wij met de Kamer hebben. Ik kijk dan met name naar mevrouw Kathmann en de heer Six Dijkstra, maar ook naar de heer Valize zelf. U weet, ik ben een bewindspersoon die actief Kamerleden wil benaderen op het dossier digitalisering. Waarom doe ik dat? Het is geen kinderspel. Wij komen met onze Nederlandse Digitaliseringstrategie en die moet passen op wat u doet, op het digitaal fundament, op Wolken aan de horizon. We kunnen het op bepaalde punten oneens zijn, maar we moeten wel grote gemene delers met elkaar kunnen delen en daarvoor gaan. Daarom zie ik wat bij ons binnenkomt niet als obstructie, maar als aanmoediging om samen verder op te trekken op dit dossier.

Dan de laatste vraag. Komt de herziening van het rijksbrede cloudbeleid inclusief striktere kaders voor het gebruik van de publieke cloud en onderzoek naar een soevereine overheidscloud nog altijd na het reces? De herziening van het rijksbrede cloudbeleid is nog altijd voorzien voor na de zomer. Daarin zal ook extra aandacht komen voor exitplannen en risico-afwegingen. Het onderzoek naar de soevereine overheidscloud is echter geen deel van deze herzieningen. In het kader van de NDS zal u hier nader over worden geïnformeerd. Dan kijk ik even rechts van mij, met uw welnemen, voorzitter, om te vragen wat wij ermee bedoelen dat het document over het rijksbrede cloudbeleid na het zomerreces komt. Dat is al in september, wordt mij gezegd.

Voorzitter. Dat waren de antwoorden op de vragen die aan mij gesteld zijn. Ik dank de Tweede Kamer voor de vragen.

De heer Thijssen (GroenLinks-PvdA):

Dank, voorzitter. Dank aan iedereen aan de andere kant van de tafel voor de beantwoording. Vooral ook dank aan de excellente teams van de Kamerleden. Ik weet dat die er heel hard mee bezig zijn geweest. Ik had graag nog wat langer willen debatteren over de concrete doelstelling, maar mijn interrupties waren op. Maar mijn moties waren niet op, dus hier komt er één. Hopelijk kunnen we tot een motie komen die oordeel Kamer kan krijgen.

De heer Thijssen (GroenLinks-PvdA):

Tot slot.

De heer Thijssen (GroenLinks-PvdA):

Dank u wel.

De heer Buijsse (VVD):

Dank je wel, voorzitter. Ik heb drie moties. De motie onderzoek cloudcapaciteit.

De heer Buijsse (VVD):

De tweede motie over het bevorderen van de businesscase Nederlandse cloudsector.

De heer Buijsse (VVD):

De derde motie, aanbestedingsbeleid.

De heer Buijsse (VVD):

Voorzitter. Als het mag, wil ik nog het volgende zeggen. Als het kan, zou ik graag zien dat de toezegging die ik zojuist van de staatssecretaris gekregen heb over SLM voor 1 september uitgevoerd is, want dan kunnen we dit meenemen in de begrotingsbehandeling.

De heer Buijsse (VVD):

Als ik mag, voorzitter.

De heer Buijsse (VVD):

Ik had de toezegging gekregen om de financiële gegevens over de contractwaarde bij SLM voor het nieuwe jaar te krijgen. Maar met het oog op de begrotingsbehandeling van DiZa zou ik die graag voor 1 september willen, zodat we die bij de begrotingsbehandeling kunnen betrekken.

Mevrouw Bruyning (NSC):

Dank, voorzitter. Ik heb drie moties.

Mevrouw Koekkoek (Volt):

Dank, voorzitter. Ook van mijn kant nogmaals veel dank aan de initiatiefnemers, en vooral de ondersteuning, voor de beantwoording, en uiteraard ook aan de bewindspersonen. Ik heb twee moties. De eerste motie gaat over waar de minister en ik het eerder over hadden: de investeringen in wat ons weerbaar maakt en dat dat nu nog niet altijd gezien wordt als innovatie.

Mevrouw Koekkoek (Volt):

En een tweede motie, voorzitter.

De heer Valize (PVV):

Dank voor het woord, voorzitter. Hartelijk dank ook aan de initiatiefnemers en het kabinet voor de reactie op de vragen die we gesteld hebben en het pittige debat dat we af en toe gevoerd hebben. Er zijn heldere punten besproken. Het belang van een soevereine cloud voor de gerubriceerde data is uitermate helder.

Ik heb zelf geen moties, maar ik heb wel nog even een vraagje. De heer Thijssen had tijdens een van de interrupties op minister Beljaarts een vraag over interne memo's met betrekking tot gevoelige data op US-clouds. Ik vraag me af of die onderlinge communicatie niet afgedekt is door middel van een besloten systeem. Ik kan me herinneren dat de overheid vaak communiceert in een besloten systeem, in een besloten setting, en dat het dan alleen naar buiten zou komen op het moment dat de lezer, de ontvanger, het bestand zou downloaden. Maar volgens mij is dat niet altijd toegestaan. Kan daar nog een verdere toelichting op worden gegeven? Want dat vond ik wel een interessante vraag.

Dat was mijn bijdrage. Dank.

De voorzitter:

Heel hartelijk dank voor het excellente voorzitterschap zojuist. Ik kijk heel even naar mijn rechterzijde om te zien of er een schorsing nodig is voor het appreciëren van de moties of dat we direct door kunnen gaan.

Ik schors de vergadering voor vijftien minuten. We keren terug om 14.35 uur.

De voorzitter:

Een hele goede middag allemaal. Welkom terug bij dit mooie debat. Inmiddels zijn de leden van het kabinet weer aangeschoven en kunnen wij door naar de appreciatie van de moties. Als eerste is het woord aan de minister, de heer Beljaarts.

Minister Beljaarts:

Dank u wel, voorzitter. Dank voor de moties van de Kamerleden. Ik begin met de motie op stuk nr. 8 van de heer Buijsse: oordeel Kamer. Ik merk daarbij op dat de Nota Ruimte nog in voorbereiding is. De motie lijkt te suggereren dat de Nota Ruimte al een feit is, maar die is nog in behandeling. De motie krijgt dus oordeel Kamer.

De motie op stuk nr. 9 van de heer Buijsse is overbodig. Net als de opsteller van de motie streven we naar meer strategische autonomie en meer samenwerking met de Nederlandse partijen. Zoals gezegd, vanuit de partnershipaanpak lopen er al gesprekken met de Nederlandse cloudsector, zowel structureel als op de verschillende dossiers. Dat heb ik ook al toegezegd in de kabinetsreactie op de initiatiefnota. Omdat onze huidige beleidsinzet reeds conform de motie is, is mijn oordeel: overbodig.

Minister Beljaarts:

Wat ik eerder aangaf: met die gesprekken en dialogen inventariseren we die behoefte al. Maar het is geen enkel probleem om toe te zeggen dat we daar uiterlijk in het najaar bij uw Kamer op terugkomen. Dat is geen probleem.

Minister Beljaarts:

De motie op stuk nr. 10 van de heer Buijsse krijgt oordeel Kamer.

De motie op stuk nr. 11 van mevrouw Bruyning en de heer Thijssen krijgt oordeel Kamer.

Minister Beljaarts:

De motie op stuk nr. 14 van mevrouw Koekkoek krijgt oordeel Kamer.

Minister Beljaarts:

De motie op stuk nr. 15 van mevrouw Koekkoek krijgt ook oordeel Kamer.

Staatssecretaris Szabó:

Dank u wel, voorzitter. Ik heb een aantal moties. Ik ga ook nog antwoord geven op twee vragen. De motie op stuk nr. 5 van de heer Thijssen en mevrouw Bruyning ontraden we. Door het bundelen van de vraag naar IT-oplossingen, dat onderdeel uitmaakt van de Nederlandse Digitaliseringsstrategie, wil de overheid meehelpen om het Nederlandse en Europese cloudaanbod te vergroten. Indien er meer aanbod is, is het ook te verwachten dat er meer gebruikgemaakt wordt van de Nederlandse en Europese clouddiensten. Het uitgangspunt is om per geval, dus case by case, te beoordelen welke dienst, applicatie of leverancier het meest geschikt en passend is om de ondersteuning te bieden voor de gestelde bedrijfsvraag. Hierbij wordt gestreefd naar een evenwichtige aanpak, die openheid combineert met bescherming van publieke belangen.

Staatssecretaris Szabó:

Mijn doelstelling is dat we de soevereine cloud zo snel mogelijk implementeren. We zijn nu bezig met een verkennend onderzoek. Op die percentages kan ik me moeilijk laten vastpinnen. Een industrie bouwen is niet zo makkelijk. Stel dat we verwachten dat we vanuit Europa het percentage van geleverde diensten voor overheidsdienstverlening richting 30% kunnen krijgen. Stel dat de industrie daar dan niet aan voldoet. Misschien heeft ze andere prioriteiten of investeert ze in allerlei andere dingen waar ze nog meer geld mee kan verdienen. Ik kan me hier dan moeilijk op vastpinnen. Ik hoop dat u dat begrijpt. Maar stel dat u zegt: "Meneer Szabó, u gaat voor de soevereine cloud. U doet nu een verkenning naar wat dat allemaal met zich gaat meebrengen." Dan vinden wij elkaar, denk ik. Maar ik denk niet dat dat uw ambitieniveau is.

Staatssecretaris Szabó:

Voorzitter, via u zeg ik tegen de heer Thijssen: ik weet niet wat er in de definitieve wijziging komt te staan, maar dank dat we elkaar proberen te vinden op dit dossier. Het is namelijk een heel belangrijk dossier.

Dan de motie op stuk nr. 6, ook van de heer Thijssen en medeondertekend door mevrouw Bruyning, met betrekking tot de aanstelling van een cloudcommissaris. Die motie ontraden we ook. Momenteel wordt er gewerkt aan de uitvoering van een motie van het lid Six Dijkstra. Die motie verzoekt de regering om het Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst uit te breiden, zodat de minister van Binnenlandse Zaken en Koninkrijksrelaties kaders kan vaststellen ter bevordering van de digitale autonomie. Het is de vraag of het doeltreffend is om nog een aparte functionaris aan te stellen. Indien de Kamer een rapport wil ontvangen over de stand van zaken rond de digitale autonomie van de rijksoverheid, ben ik bereid om een dergelijke opdracht uit te laten zetten bij bijvoorbeeld een gerenommeerd onderzoeksbureau. Indien ik de motie echter zo mag interpreteren dat we het bevorderen van de digitale autonomie van de rijksoverheid bij de CIO Rijk beleggen, en het naleven van onder andere Kamermoties bij inkoop- en aanbestedingstrajecten in die lijn, dan kan ik de motie oordeel Kamer geven.

Staatssecretaris Szabó:

De motie op stuk nr. 7 is ook van de heer Thijssen. Die geef ik oordeel Kamer.

Staatssecretaris Szabó:

De motie op stuk nr. 12 van mevrouw Bruyning en de heer Thijssen over de Bijenkorf Megascaler Cloud beoordeel ik als ontijdig. Als onderdeel van de NDS en conform de motie-Kathmann om een aanbesteding voor een soevereine overheidscloud uit te schrijven, werken we aan een verkenning naar een overheidsbrede soevereine clouddienst. Als daar inderdaad uitkomt dat het Bijenkorf Megascaler Cloudmodel van Clingendael het meest doeltreffend is, dan zullen wij dat zeker doen, maar we willen ons niet van tevoren vastleggen op één model als er mogelijk betere modellen zijn.

Staatssecretaris Szabó:

De motie op stuk nr. 13 van mevrouw Bruyning kan ik oordeel Kamer geven indien we de motie als volgt mogen interpreteren: opslag en verwerking van gevoelige overheidsdata mogen alleen binnen de EER plaatsvinden en moeten we derhalve neutraal tegenover de buitenwereld formuleren. Dit gaat daarnaast wel over de kritieke infrastructuur die van de overheid specifiek is. Ik geef de motie het oordeel "ontijdig" indien deze interpretatie niet akkoord is. Er wordt momenteel gewerkt aan het beleidskader voor digitale autonomie. We willen na het zomerreces in gesprek met de Tweede Kamer over het rijksbrede cloudbeleid.

Staatssecretaris Szabó:

Voorzitter. Dan heb ik nog twee vragen over, een van de heer Buijsse en een van de heer Valize.

De eerste vraag was of de SLM-toezegging per 1 september aan de Kamer kan worden toegezonden. Nee, 1 september is niet haalbaar. Ik streef ernaar dit voor de begrotingsbehandeling zo goed mogelijk in kaart te hebben gebracht.

Staatssecretaris Szabó:

Dan de laatste vraag, namelijk die van de heer Valize, over interne communicatie die niet is afgeschermd met gesloten systemen. Er is wet- en regelgeving om te bepalen wat voor type gegevens op wat voor systemen verwerkt moet worden. Hoog gerubriceerde informatie mag bijvoorbeeld überhaupt niet via de reguliere e-mail verstuurd worden. Dit gaat op basis van een expliciete risicoanalyse. In principe worden alle mogelijke maatregelen genomen om ongeautoriseerde inzage te voorkomen.