| Ingediend | 23 mei 2025 |
|---|---|
| Beantwoord | 19 september 2025 (na 119 dagen) |
| Indieners | Barbara Kathmann (PvdA), Jesse Six Dijkstra (NSC) |
| Beantwoord door | Zsolt Szabó (Volkspartij voor Vrijheid en Democratie), Fleur Agema (PVV) |
| Onderwerpen | economie ict overige economische sectoren |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z10402.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-54.html |
Ja.
Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het Rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
De NZa heeft een terugkeer naar de situatie voor de overstap naar Amerikaanse clouddiensten niet in overweging. De NZa is nu in de afrondende fase van een cloudmigratieproject. Er is voorafgaand en tijdens de overstap aandachtig gekeken naar de risico's, op gebied van informatiebeveiliging en privacy. Aanvullend is er advies gevraagd aan de CISO Rijk. Uit de risico-inventarisaties is gebleken dat er geen hoge restrisico's aanwezig waren. Wijzigingen in een vernieuwd Rijksbreed cloudbeleid zal de NZa uiteraard verwerken in hun strategie.
Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
De concernorganisaties van het Ministerie van VWS zijn verdeeld tussen organisaties die afhankelijk zijn van (interne) shared service centers, zoals SSC-ICT, en organisaties die afhankelijk zijn van public cloud leveranciers. Wanneer een shared service center wordt gebruikt voor werkplekdiensten, kantoorautomatiseringssoftware en communicatiediensten, dan zijn zij niet direct afhankelijk van Amerikaanse dienstverleners. Deze diensten berusten namelijk niet op public cloud. De andere groep organisaties is hier wel afhankelijk van en zij gebruiken diverse public cloud diensten. Zij nemen deze diensten af onder voorwaarden van Strategisch Leveranciersmanagement Rijk (SLM-Rijk) en de data opslag en verwerking vindt plaats binnen de Europese Economische Ruimte (EER).
Vanuit het CIBG en DUS-I kan ik melden dat er geen processen, registers en/of knooppunten zijn ondergebracht in de public cloud doordat zij zowel SSC-ICT gebruiken als ook Nederlandse service providers. Diverse processen worden ondersteund door applicaties met een directe afhankelijkheid van public cloud leveranciers. Dit betreft onder andere processen die klantcontact ondersteunen, publicatie van informatie, bedrijfsvoering, geldstromen en de uitvoering van diverse regelingen. Reeds gerealiseerde cloudmigraties zijn hierdoor in lijn met het huidige geldende Rijksbrede cloudbeleid.
Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
De VWS organisaties zijn te verdelen in organisaties die geen voorgenomen migratie naar public cloud diensten hebben gepland en organisaties die al enige migraties hebben uitgevoerd. De migraties naar public cloud ondersteunen het primaire proces met diverse tooling. Tevens zijn er migraties in heroverweging door recente ontwikkelingen op dit thema. Alle heroverwegingen worden gedaan in afstemming met de VWS CIO Office Concern.
De NZa is de cloudmigratie aan het afronden. Er is daarnaast een voorgenomen migratie van het klantbeheersysteem via een aanbestedingsprocedure. De NZa zal hierbij het geldende Rijkscloudbeleid volgen.
De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Indien de toegang tot Amerikaanse digitale dienstverlening wordt ontzegd, zal dit leiden tot een brede variatie aan verstoringen. Systemen die niet afhankelijk zijn van de public cloud zullen ongehinderd door draaien. Organisaties die voor hun werkplekken afhankelijk zijn van public cloud zullen directe impact ervaren op toegang tot hun werkplekken, e-mail en overige communicatiediensten. Ook deze risico's zijn beschouwd: om de continuïteit van de organisatie te kunnen waarborgen zijn er al plannen ontwikkeld om over te kunnen gaan op alternatieve middelen.
De Inspectie Gezondheidszorg en Jeugd (IGJ) ontvangt (verplichte) meldingen, Europese meldingen en overige meldingen. Wanneer de meldingen niet meer worden ontvangen of hier geen toegang meer toe is, kan dit consequenties hebben voor de kwaliteit van het toezicht.
Organisaties die afhankelijk zijn van public cloud diensten zullen in alle gevallen een directe impact ervaren in dat deel van een proces. Afhankelijk van de rol in dit proces zal dit in meer of mindere mate significante gevolgen hebben voor de interne organisatie en wellicht merkbaar zijn voor burgers en maatschappij. Hier is dus geen eenduidig antwoord op te geven. Binnen het Ministerie van VWS wordt er continu onderzoek gedaan naar de impact op de continuïteit van onze dienstverlening.
Voorafgaand aan de transitie naar de cloud zijn alle waarborgen en mitigerende maatregelen op basis van de toen geldende risico's, doorgevoerd. Daarmee is de NZa voorbereid op veel denkbare scenario's.
Het ontzeggen van de toegang tot Amerikaanse digitale dienstverlening zou het meest extreme scenario zijn. Dan liggen op de korte termijn vrijwel alle toezichten reguleringswerkzaamheden van de NZa stil.
De werkomgeving zit volledig in de cloud, dus mailen, overleggen of gezamenlijk werken in bestanden is dan niet mogelijk. De NZa kan dan kortom niet aan wet- en regelgeving voldoen en zal een hernieuwde I-strategie uitzetten op basis van het vernieuwde Rijksbrede cloudbeleid.
Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het cloudbeleid wordt ook hier aandacht aan besteed.
Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Er zijn bij de meeste organisaties geen nieuwe migraties gestart, noch stopgezet. Bij nieuwe contracten wordt vanaf heden ook naar de geopolitieke situatie gekeken, zodat bij toekomstige aanbestedingen de afhankelijkheid van technologie leveranciers een grotere rol kan spelen in de beoordelingscriteria conform het Rijkscloudbeleid.
Zie vraag 5.
Zie vraag 5
Digitale autonomie en soevereiniteit zijn belangrijke thema’s voor VWS door onze rol in de maatschappij via mijn meldpunten, registers en diensten. De geopolitieke veranderingen hebben er voor gezorgd dat de risico’s op gebied van beschikbaarheid en continuïteit goed in beeld worden gehouden en we ondersteunen de ontwikkeling van het nieuwe Rijksbrede cloudbeleid.
Het Rijksbrede cloudbeleid is voor de NZa het uitgangspunt. Daarnaast maakt de NZa proactief en zorgvuldig afwegingen over de veiligheid van data en functionaliteit van hun IT-oplossingen.
rden van de NZa zijn verwerkt bij de relevante vragen.
De verzending heeft zo spoedig mogelijk plaatsgevonden.
Hierbij deel ik u mede dat de aan mij, de Minister van Binnenlandse Zaken en Koninkrijksrelaties, de Minister en de Staatssecretaris van Financiën, de Minister en de Staatssecretaris van Justitie en Veiligheid, de Minister van Asiel en Migratie, de Minister van Sociale Zaken en Werkgelegenheid, de Minister van Economische Zaken, de Minister van Infrastructuur en Waterstaat, de Minister van Onderwijs, Cultuur en Wetenschap, de Minister van Volksgezondheid, Welzijn en Sport en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, gestelde vragen van de leden Kathmann (GroenLinks-PvdA) en Six Dijkstra (Nieuw Sociaal Contract) over de groeiende afhankelijkheid van Amerikaanse techgiganten (ingezonden op 23 mei 2025), met kenmerken 2025Z10395, 2025Z10396, 2025Z10397, 2025Z10398, 2025Z10399, 2025Z10400, 2025Z10401 en 2025Z10402 niet binnen de termijn van drie weken kunnen worden beantwoord. Voor de beantwoording van de vragen is meer tijd nodig, in verband met de vereiste interdepartementale afstemming. Uw Kamer ontvangt de antwoorden zo spoedig mogelijk.