• Vraag 1

  Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?
  
  

  Ja.
  

• Vraag 2

  Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst (IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?
  
  

  Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
  De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
  

• Vraag 3

  Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?
  
  

  Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
  Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse dienstverleners.
  Het Ministerie van Justitie en Veiligheid maakt voor de digitale werkplek gebruik van Microsoft 365-diensten. Deze worden niet in de online (cloud) variant afgenomen, maar als lokaal geïnstalleerde applicaties op de desktop (bij managed laptops) of als centrale applicaties via het OverheidsDataCenter (ODC) bij Citrix-werkplekken. Bestanden die in deze applicaties worden gemaakt, worden opgeslagen op de lokale schijf en/of op het ODC. Deze diensten worden conform de rijksbrede kaders ingezet, met een inrichting die specifiek is afgestemd op de beveiligings- en privacy vereisten van het Ministerie van JenV. Microsoft Teams wordt enkel gebruikt voor videoconferencing en chat.
  Alle gebruikte digitale voorzieningen worden voortdurend gemonitord en waar nodig aangepast op basis van actuele dreigingen en technologische ontwikkelingen.
  

• Vraag 4

  Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag betreft?
  
  

  Ten behoeve van de Kamerbrief van 22 november 20242 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.3 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
  Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
  Momenteel loopt de vernieuwing van de oude werkplekvoorzieningen van o.a. DJI, IND en CJIB naar een toekomstige moderne werkplek voorziening. Hierin wordt het gebruik van MS365 inclusief de online producten als Teams-online onderzocht en worden de opties tussen on-premise en cloudvoorzieningen vergeleken.
  Het Ministerie van JenV participeert tevens in het interdepartementale programma Beter Samenwerken (BSW) waarin het beoogde gebruik van MS Teams in de werkomgeving wordt heroverwogen.
  De herziening van het rijksbreed cloudbeleid geeft aanleiding tot het te zijner tijd, conform Rijksbeleid, aanscherpen en aanpassen van het departementale cloudbeleid. In de tussentijd heeft het Ministerie van JenV een aanvullende tijdelijke Bestuurlijke Beleidslijn Cloud voor het Ministerie van Justitie en Veiligheid en Ministerie van Asiel en Migratie vastgesteld, waarin voorgenomen migraties moeten worden heroverwogen. Deze tijdelijke beleidslijn is van kracht zolang het nieuwe Rijks cloudbeleid nog niet is vastgesteld.
  

• Vraag 5

  Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?
  
  

  De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
  Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
  Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
  Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
  Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
  De genoemde risico’s kunnen gemitigeerd worden door verschillende acties te ondernemen. Zo kan via Strategisch Leveranciersmanagement Rijk (SLM Rijk) de contractuele afspraken met de Amerikaanse leveranciers worden aangescherpt. Daarnaast is SLM Rijk voornemens een contractueel framework voor Europese alternatieven te realiseren; momenteel loopt er een Data Protection Impact Assessment (DPIA) op de clouddiensten van Stackit, een Duitse cloudprovider.
  Een te grote afhankelijkheid van één of een enkele marktpartij is ongewenst. In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
  

• Vraag 6

  Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?
  
  

  Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
  Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
  SLM Rijk voert met regelmatig DPIA’s uit op de diensten van Microsoft, Google Cloud en AWS en heeft daarbij ook specifiek gekeken naar internationale doorgifte van persoonsgegevens (er is een zogeheten Data Transfer Impact Assessment (DTIA) uitgevoerd). Hierbij is rekening gehouden met de mogelijkheid dat gegevens toegankelijk zijn voor de Amerikaanse overheid op basis van met de AVG conflicterende Amerikaanse wetgeving.
  

• Vraag 7

  Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?
  
  

  Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
  Zie verder vraag 2 en 4.
  

• Vraag 8

  Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?
  
  

  Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Momenteel worden mogelijkheden verkent die als alternatief kunnen worden ingezet om de continuïteit niet enkel afhankelijk te laten zijn van partijen uit de VS.
  

• Vraag 9

  Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?
  
  

  Het Ministerie van JenV en AenM zijn op dit moment bezig met een heroverweging, zie antwoorden op vraag 2, 4 en 8.
  Het bevorderen van de strategische autonomie van Nederland en / of Europa staat vol op het netvlies. Het is in deze fase echter niet haalbaar en mogelijk om op korte termijn te realiseren. Ook zal het gepaard gaan met aanzienlijke kosten en realisatie inspanningen.
  Om die reden zal afhankelijkheid van Amerikaanse Techgiganten vooralsnog blijven bestaan.
  

• Vraag 10

  Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?
  
  

  Ik heb uw verzoek doorgeleid naar de Autoriteit Persoonsgegevens.
  

• Vraag 11

  Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?
  
  

  De verzending heeft zo spoedig mogelijk plaatsgevonden.
  

• Mededeling - 27 juni 2025

  Hierbij deel ik u mede dat de aan mij, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister en de Staatssecretaris van Financiën, de Minister en de Staatssecretaris van Justitie en Veiligheid, de Minister van Asiel en Migratie, de Minister van Sociale Zaken en Werkgelegenheid, de Minister van Economische Zaken, de Minister van Infrastructuur en Waterstaat, de Minister van Onderwijs, Cultuur en Wetenschap, de Minister van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, gestelde vragen van de leden Kathmann (GroenLinks-PvdA) en Six Dijkstra (Nieuw Sociaal Contract) over de groeiende afhankelijkheid van Amerikaanse techgiganten (ingezonden op 23 mei 2025), met kenmerken 2025Z10395, 2025Z10396, 2025Z10397, 2025Z10398, 2025Z10399, 2025Z10400, 2025Z10401 en 2025Z10402 niet binnen de termijn van drie weken kunnen worden beantwoord. Voor de beantwoording van de vragen is meer tijd nodig, in verband met de vereiste interdepartementale afstemming. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.

Kamervraag document nummer: kv-tk-2025Z10397

Volledige titel: De groeiende afhankelijkheid van Amerikaanse techgiganten

Kamerantwoord document nummer: ah-tk-20252026-61

Volledige titel: Antwoord op vragen van de leden Kathmann en Six Dijkstra over ‘de groeiende afhankelijkheid van Amerikaanse techgiganten’