• Vraag 1

  Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?
  
  

  Ja.
  

• Vraag 2

  Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?
  
  

  Het kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
  De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
  DNB valt als zbo niet onder het rijksbrede of departementale cloudbeleid. DNB geeft aan dat de risico's verbonden met de clouddiensten in een continu proces worden gemonitord en dat op basis van een integrale risicoafweging passende maatregelen worden genomen. Op basis van de huidige risicoafweging en businesscase ziet DNB voor de korte tot middellange termijn geen noodzaak tot heroverweging. Wel onderzoekt DNB voor hoog-kritische systemen exit/fallbackscenario's en back-up van data.
  

• Vraag 3

  Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?
  
  

  Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
  Het Ministerie van Financiën maakt in lijn met het huidige rijksbrede cloudbeleid beperkt gebruik van clouddiensten, waarbij er sprake kan zijn van Amerikaanse aanbieders. Dit ter ondersteuning van de bedrijfsvoeringsprocessen, en in beperkte gevallen als onderdeel van het primaire proces van de uitvoering. Zo maakt de Douane gebruik van Microsoft Azure ter ondersteuning van het keuzeproces binnen het toezicht op grensoverschrijdend goederenverkeer, wat onderdeel is van het primaire proces. Voor alle toepassingen geldt dat risico’s rond afhankelijkheden en gegevensbescherming zorgvuldig worden meegewogen.
  

• Vraag 4

  Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties onder uw gezag betreft?
  
  

  Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
  Voor dit overzicht verwijst het kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
  In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen4, is aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.
  De Domeinen Roerende Zaken maakt per medio 2024 gebruik van Microsoft365. Deze stap is gezet, nadat de benodigde compliantie op het gebied van informatiebeveiliging en privacy was geborgd.
  Na zorgvuldige heroverweging van risico’s, kosten en benefits gaat DNB door met de reeds voorgenomen migraties naar clouddiensten. DNB voorziet op dit moment geen grootschalige nieuwe migraties.
  AFM heeft reeds een migratie gepland van Sharepoint naar Sharepoint online. Daarnaast zijn er geen nieuwe migraties gepland.
  

• Vraag 5

  Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?
  
  

  De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
  Dit nemen wij momenteel mee in de herziening van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
  Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
  Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
  Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
  Het Ministerie van Financiën neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Bij voorgenomen cloudmigraties wordt daarom een exit-strategie opgesteld en een zorgvuldig besluitvormingstraject doorlopen. Elke ICT-oplossing (of deze nu wordt ingekocht of intern ontwikkeld) brengt een zekere mate van afhankelijkheid van leveranciers met zich mee. Ook bij on-premise oplossingen geldt dat bij het wegvallen van bijvoorbeeld Microsoft- of Apple-ondersteuning, cruciale functionaliteit kan uitvallen. Dit onderstreept dat het hier niet alleen een cloudvraagstuk betreft, maar in de kern een licentie- en leveranciersafhankelijkheidsvraagstuk is.
  Belastingdienst, Douane en Toeslagen onderzoeken verder hoe samenwerking met de markt kan bijdragen aan een toekomstbestendige IT-inrichting. De domeinarchitectuur fungeert hierbij als richtinggevend kader. Uitgangspunt is het benutten van marktstandaarden, borging van kerncompetenties en heldere verantwoordelijkheidsverdeling. Dit draagt bij aan een wendbare, betrouwbare en toekomstvaste informatievoorziening, passend binnen de eisen en kaders van publieke dienstverlening.
  DNB volgt, net als veel andere publieke en financiële instellingen in Europa, de ontwikkelingen over dataopslag in de cloud op de voet en zal beleid indien nodig aanscherpen. DNB onderzoekt binnen het Eurosysteem de mogelijkheden om de afhankelijkheid van Amerikaanse IT-leveranciers te verkleinen en implementeert waar nodig oplossingen om de risico’s te mitigeren.
  Ook AFM geeft aan de ontwikkelingen uit de markt en vanuit de Rijksoverheid nauwgezet te volgen. AFM geeft daarnaast aan dat haar cloudprovider eraan werkt om Europa juridisch los te koppelen van Amerikaanse regelgeving. Indien nodig zal AFM haar beleid op basis hiervan aanpassen.
  

• Vraag 6

  Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?
  
  

  Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
  Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
  

• Vraag 7

  Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643-1315] die hiertoe oproept?
  
  

  Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
  Zie verder vraag 2.
  Het Ministerie van Financiën handelt conform rijksbrede kaders en EU-wetgeving. Leveranciers kunnen uitsluitend worden uitgesloten wanneer zij niet voldoen aan het bestek of als er een juridische grondslag is. Banden met de Amerikaanse overheid vormen op zichzelf geen uitsluitingsgrond onder de EU-aanbestedingsregels. Tegelijkertijd is de IT-afhankelijkheid van Amerikaanse bedrijven groot. Onafhankelijkheid op korte termijn is dan ook niet realistisch.
  Risico’s kunnen worden beheerst via contractuele afspraken en een goed uitgewerkte exit-strategie. Het onderhouden van werkbare relaties met Amerikaanse leveranciers blijft daarbij essentieel.
  Zie verder vraag 2.
  

• Vraag 8

  Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?
  
  

  Het Ministerie van Financiën onderschrijft het belang van continuïteit en weerbaarheid in de digitale dienstverlening. Er wordt daarom, op basis van risicoafwegingen, rekening gehouden met het effect op de continuïteit door eventuele strategische afhankelijkheid van leveranciers ongeacht het land waar de leverancier is gevestigd. Zoals geschetst in de Kamerbrief over uitvoering ontraden aangenomen moties debat migraties overheids-ICT naar het buitenland van 7 april jl., vereist digitale soevereiniteit een evenwichtige benadering waarbij samenwerking met strategische partners wordt gecombineerd met het versterken van de Europese en nationale regie over digitale infrastructuur. Het Ministerie van Financiën erkent daarnaast het belang van de ontwikkeling van een soevereine overheidscloud als onderdeel van een breder pakket aan maatregelen binnen het huidige rijkscloudbeleid en de IT-sourcingstrategie Rijk.
  DNB en AFM hebben cloudbeleid opgesteld met eisen waar de systemen die worden gebruikt aan moeten voldoen, onder meer op het gebied van privacy en informatiebeveiliging, certificering en geldende Europese en Nederlandse wet- en regelgeving. Zo is er isolatie van gegevens en gegevensverwerking, en moeten de gegevens binnen de EER gehost zijn.
  

• Vraag 9

  Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?
  
  

  Zie vraag 5.
  

• Vraag 10

  Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?
  
  

  Ik, de Minister van Financiën, heb de AFM geraadpleegd voor de beantwoording van de aan haar gerichte vragen. Hetzelfde geldt voor de vragen gericht aan DNB.
  

• Vraag 11

  Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?
  
  

  De verzending heeft zo spoedig mogelijk plaatsgevonden.
  

• Mededeling - 27 juni 2025

  Hierbij deel ik u mede dat de aan mij, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister en de Staatssecretaris van Financiën, de Minister en de Staatssecretaris van Justitie en Veiligheid, de Minister van Asiel en Migratie, de Minister van Sociale Zaken en Werkgelegenheid, de Minister van Economische Zaken, de Minister van Infrastructuur en Waterstaat, de Minister van Onderwijs, Cultuur en Wetenschap, de Minister van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, gestelde vragen van de leden Kathmann (GroenLinks-PvdA) en Six Dijkstra (Nieuw Sociaal Contract) over de groeiende afhankelijkheid van Amerikaanse techgiganten (ingezonden op 23 mei 2025), met kenmerken 2025Z10395, 2025Z10396, 2025Z10397, 2025Z10398, 2025Z10399, 2025Z10400, 2025Z10401 en 2025Z10402 niet binnen de termijn van drie weken kunnen worden beantwoord. Voor de beantwoording van de vragen is meer tijd nodig, in verband met de vereiste interdepartementale afstemming. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.

Kamervraag document nummer: kv-tk-2025Z10396

Volledige titel: De groeiende afhankelijkheid van Amerikaanse techgiganten

Kamerantwoord document nummer: ah-tk-20252026-64

Volledige titel: Antwoord op vragen van de leden Kathmann en Six Dijkstra over ‘de groeiende afhankelijkheid van Amerikaanse techgiganten’