| Ingediend | 23 mei 2025 |
|---|---|
| Beantwoord | 19 september 2025 (na 119 dagen) |
| Indieners | Jesse Six Dijkstra (NSC), Barbara Kathmann (PvdA) |
| Beantwoord door | Zsolt Szabó (Volkspartij voor Vrijheid en Democratie), Dirk Beljaarts (PvdV) |
| Onderwerpen | economie ict overige economische sectoren |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z10399.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-65.html |
Ja.
Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Genoemde partijen volgen het rijkscloudbeleid. Periodieke heroverweging is hier geen onderdeel van. Op het moment dat situaties daar aanleiding toe geven wordt er naar gekeken. Maar ook dan zijn er beleidsmatige beperkingen (aanbestedingsregelgeving, lopende contracten etc.). In het eerdere debat inzake migraties van overheids-ICT naar het buitenland dd. 13 maart jl. over dit onderwerp heeft de Staatssecretaris Koninkrijksrelaties en Digitalisering aangegeven «niet alle cloudmigraties terug te willen draaien en wel een (her)overweging toe te willen passen bij nieuwe cloudmigraties.»
Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Binnen het Departement en de daaronder ressorterende organisatieonderdelen wordt conform de mogelijkheden van het rijkscloudbeleid gebruik gemaakt van clouddienstverleners. Onder de afspraken van SLM rijk betreft dit diensten van Amerikaanse dienstverleners Microsoft en Amazon Web Services.
Voor de werkplek maakt het departement van EZ gebruik van MS365 in de public cloud van Microsoft.
Ten behoeve van de Kamerbrief van 22 november 20242is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Eerder voorgenomen migraties worden nader beschouwd, rekening houdend met de herziening, mede o.b.v. de aangenomen Kamermoties, van het Rijksbreed cloudbeleid. In de recent departementaal besloten cloudstrategie zijn hiervoor aanvullende en aangescherpte criteria vastgesteld.
Er wordt gewerkt aan een generiek MS Azure platform voor data verwerking. Het gebruik wordt heroverwogen.
De voorgenomen migratie van de Oracle ERP-oplossing naar Oracle Fusion, is heroverwogen met als voorlopig resultaat dat dit binnen de EER gehost gaat worden met extra risicogaranties en -afspraken.
De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het niet meer kunnen gebruiken van dienstverlening door Amerikaanse leveranciers zou op dit moment tot onoverkomelijke verstoring kunnen leiden van de dienstverlening. Daarom wordt door het departement actief meegewerkt aan de pilot voor het inzetten van «Mijn Bureau« als een van de mogelijke alternatieven. Bovendien worden er in Europees verband (Eurocloud) mogelijkheden onderzocht.
Voor het opvangen van piekmomenten in de dienstverlening blijft het belangrijk om snel te kunnen op- en afschalen. NL/EU alternatieven worden onderzocht.
Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.3
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Ja, de voorgenomen migratie van de Oracle ERP-oplossing naar Oracle Fusion, is heroverwogen met als voorlopig resultaat dat dit binnen de EER gehost gaat worden met extra risicogaranties en -afspraken.
Zie vraag 5.
Departementaal is er een aangescherpte cloudstrategie vastgesteld, binnen de kaders van het huidige Rijksbreed cloudbeleid, met daarin aanvullende criteria die ondersteunen in het bevorderen van de strategische autonomie en waar dat mogelijk is zich richten op het beperken van de afhankelijkheid van enkele aanbieders.
Ja, ik ben bereid dat te doen en heb dat inmiddels aan de ACM gevraagd. De ACM geeft aan dit zo snel mogelijk te beantwoorden.
De verzending heeft zo spoedig mogelijk plaatsgevonden.
Hierbij deel ik u mede dat de aan mij, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister en de Staatssecretaris van Financiën, de Minister en de Staatssecretaris van Justitie en Veiligheid, de Minister van Asiel en Migratie, de Minister van Sociale Zaken en Werkgelegenheid, de Minister van Economische Zaken, de Minister van Infrastructuur en Waterstaat, de Minister van Onderwijs, Cultuur en Wetenschap, de Minister van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, gestelde vragen van de leden Kathmann (GroenLinks-PvdA) en Six Dijkstra (Nieuw Sociaal Contract) over de groeiende afhankelijkheid van Amerikaanse techgiganten (ingezonden op 23 mei 2025), met kenmerken 2025Z10395, 2025Z10396, 2025Z10397, 2025Z10398, 2025Z10399, 2025Z10400, 2025Z10401 en 2025Z10402 niet binnen de termijn van drie weken kunnen worden beantwoord. Voor de beantwoording van de vragen is meer tijd nodig, in verband met de vereiste interdepartementale afstemming. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.