| Ingediend | 13 juni 2025 |
|---|---|
| Beantwoord | 22 september 2025 (na 101 dagen) |
| Indieners | Barbara Kathmann (PvdA), Jesse Six Dijkstra (NSC) |
| Beantwoord door | Judith Uitermark (minister binnenlandse zaken en koninkrijksrelaties) (NSC), David van Weel (minister justitie en veiligheid, minister asiel en migratie) |
| Onderwerpen | criminaliteit economie ict openbare orde en veiligheid |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z12117.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-85.html |
Ja.
In het notaoverleg «Wolken aan de horizon» d.d. 2 juni jl. is reeds toegezegd aan de Tweede Kamer een overzicht te bieden van de gecontracteerde hoeveelheid aanbestedingen die uiteindelijk door de ministeries via SLM Rijk goedgekeurd zijn. Dit onderzoek loopt.
Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
Hoewel de technische ondersteuning van bepaalde versies van Exchange stopt op 14 oktober 2025, heeft de leverancier al een nieuwere on-premise versie gelanceerd die wel ondersteund wordt.3
Feitelijk is de situatie dat alleen voor Microsoft Exchange 2016 en Microsoft Exchange 2019 vanaf 14 oktober 2025 geen support of beveiligingsupdates meer geleverd worden.
Ook zonder de door de leverancier aanbevolen upgrade door te voeren, zal de maildienst niet per 14 oktober ophouden met functioneren en gaat de maildienst ook niet automatisch uit eigen beheer. Voor blijvend betrouwbaar functioneren van de maildienst is een upgrade door Microsoft beschikbaar gesteld. Deze is bekend bij de dienstverleners van de Rijksoverheid.
Lopend beleid mag ten tijde van een demissionair kabinet worden uitgevoerd. Er zijn op dit moment bovendien geen zaken op digitaal terrein controversieel verklaard.
Ten behoeve van de beantwoording van deze vraag is een uitvraag bij de grootste ICT-dienstverleners van de Rijksoverheid gedaan. Voor alle departementen geldt dat beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaatsvindt, behoudens de Ministeries van Economische Zaken (EZ), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Klimaat en Groene Groei (KGG), waar -ook na 14 oktober- sprake is van een hybride situatie.
Ook bij een groot aantal uitvoeringsorganisaties als DUO, Rijkswaterstaat en Dienst Justitiële Inrichtingen vindt beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaats. Dit geldt ook voor de Belastingdienst, Toeslagen en de Douane. Wel heeft de Belastingdienst in het Jaarplan 2025, dat uw Kamer op 11 december 2024 heeft ontvangen, aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.
Het kabinet is zich ervan bewust dat afhankelijkheid van een klein aantal techaanbieders voor digitale diensten zorgt voor risico's op het vlak van o.a. concurrentiepositie, digitale open strategische autonomie en continuïteit van dienstverlening. Om deze risico’s te mitigeren wordt in het kader van onder meer de vernieuwing van het cloudbeleid voor de (rijks)overheid gekeken naar mogelijkheden om cloudtechnologie op verantwoorde wijze in te zetten.
Ook binnen de Justitiële keten bestaat aandacht voor deze risico’s en maken organisaties in overleg met hun ICT-leverancier passende keuzes om deze te mitigeren. Zo wordt bij de Hoge Raad de email verzonden, ontvangen en opgeslagen op servers die in eigen beheer zijn en verbiedt het cloudbeleid van de rechtspraak het gebruik van de cloud voor primaire processystemen. Voor de bedrijfsvoering maakt de Rechtspraak gebruik van Microsoft Exchange Online.
De Amerikaanse sancties tegen het Internationaal Strafhof zijn een specifieke maatregel voor een specifieke situatie en hebben geen inhoudelijke koppeling met onze nationale ICT-infrastructuur.
Zie antwoord vraag 6.
U bent per Kamerbrief reeds geïnformeerd over de geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland, waaronder de migratie van de werkplekken van SSC-ICT.5
Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd moeten we als EU zelf meer verantwoordelijkheid nemen en ook eensgezind optrekken waar het onze kernbelangen betreft. Ik ben het wel met u eens dat een te grote afhankelijkheid van één of een enkele marktpartij(en) ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet ik mij deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten. Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldige afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit Overheid.
Zie de beantwoording van vraag 10. Voor het overgrote deel van de departementen en organisaties geldt dat zij dit al in eigen beheer hebben. De afweging om dit wel of niet zo te houden, is een departementale verantwoordelijkheid. De departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. CIO Rijk faciliteert het uitvoeren van goede risicoanalyses met beleid en handreikingen.
De Kamervragen zijn zo spoedig mogelijk beantwoord.