Vraag 1

Zijn uw uitspraken in de uitzending van Goedenavond Nederland op maandag 14 juli jl.,1 over de afhankelijkheid van Amerikaanse techgiganten, representatief voor het kabinetsstandpunt?

Hoewel gechargeerd, is het zo dat de Europese cloudmarkt niet goed functioneert. Zie verder het antwoord op vraag 2.

Vraag 2

Wat bedoelde u precies met de uitspraak: «We hebben geen Europese cloudbedrijven»? In welke zin zit Nederland in een «hele ongemakkelijke positie tegenover de grote techbedrijven»?

Vier grote niet-Europese bedrijven domineren op dit moment wereldwijd de markt voor openbare cloudinfrastructuur2: Amazon, Microsoft, Google Cloud Platform en het Chinese Alibaba (vooral actief op de Chinese markt). De Nederlandse markt lijkt in grote lijnen op de Europese markt, met dominante posities voor met name de Amerikaanse aanbieders Amazon en Microsoft. Daarnaast zijn er nog een aantal andere Europese partijen actief, die relatief jong en klein zijn op de markt voor clouddiensten. De ACM verwacht dat de consolidatie in de markt voor clouddiensten verder doorzet als gevolg van onder meer schaalvoordelen en netwerkeffecten.3 Het is voor kleinere spelers moeilijk om effectief met grote geïntegreerde aanbieders te concurreren. Nederlandse bedrijven en consumenten zijn als afnemers van clouddiensten grotendeels afhankelijk van grote technologiebedrijven uit de VS. De toenemende consolidatie in combinatie met overstapdrempels (er is sprake van vendor lock-in) en gebrekkige dataportabiliteit en cloudinteroperabiliteit vergroten deze afhankelijkheid.

Vraag 3

Noopt de hele ongemakkelijke positie van Nederland tegenover de grote techbedrijven niet tot het nemen van maatregelen om op zo kort mogelijke termijn de afhankelijkheid af te bouwen?

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de in het vierde kwartaal verwachte Visie digitale autonomie en soevereiniteit overheid.
Het afbouwen van afhankelijkheden nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten voor de (rijks)overheid, conform de motie Kathmann.4
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Vraag 4

Kunt u bondig het kabinetsstandpunt over digitale autonomie toelichten? Op welke manier is het Ministerie van Justitie en Veiligheid verantwoordelijk voor het vergroten van de digitale autonomie?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Voor een overzicht van de verdere Nederlandse inzet op Europees niveau omtrent cloudsoevereiniteit verwijzen wij u graag door naar het recent gepubliceerde non-paper «Versterken van cloudsoevereiniteit van overheden».5
JenV is, net als andere departementen, medeverantwoordelijk voor de digitale autonomie en specifiek voor de digitale autonomie binnen het eigen verantwoordelijkheidsdomein.

Vraag 5

Wat is het kabinetsstandpunt over een Europese digitale taks voor Amerikaanse techbedrijven? Hoort dit wat u betreft tot de mogelijkheden voor een Europese reactie op de aangekondigde Amerikaanse importheffingen? Acht u dit in het belang van Nederland?

Op 21 augustus jl. hebben de EU en de VS een gemeenschappelijke verklaring met handelsafspraken gepubliceerd.6 In navolging daarvan heeft de EU de inwerkingtreding van de op 24 juli jl. vastgestelde rebalancerende maatregelen jegens de VS tot februari 2026 opgeschort.7 Voorlopig is van een Europese tegenmaatregel naar aanleiding van de verhoogde Amerikaanse importheffingen dus geen sprake. Tegelijkertijd valt het niet uit te sluiten dat de Europese rebalancerende maatregelen jegens de VS in de toekomst alsnog in werking treden of dat toekomstige ontwikkelingen aanleiding geven tot voorstellen voor nieuwe vormen van rebalancerende maatregelen. Het kabinet zal voorstellen daartoe te zijner tijd op hun eigen merites beoordelen.

Vraag 6

Kunt u toezeggen dat ook het Ministerie van Justitie en Veiligheid zich zal inspannen voor het vergroten van de digitale autonomie van Nederland, onder andere door zelf meer Europese alternatieve digitale diensten af te nemen, in lijn met alle aangenomen Kamermoties?2

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Zie verder het antwoord op vraag 3.

Vraag 7

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Er heeft departementale afstemming plaatsgevonden en zowel het Ministerie van Justitie en Veiligheid als het Ministerie van Binnenlandse zaken is akkoord met de beantwoording van deze vragen.

Vraag 1

Heeft u kennis genomen van de Wet Open Overheid (WOO)-verzoeken waaruit blijkt dat Nederland al in 2011 software van Palantir heeft aangeschaft?1

Ja

Vraag 2

Kunt u aangeven a) welke (semi)overheidsorganisaties (in de breedste zin van het woord, dus inclusief bijvoorbeeld de politie, Defensie-onderdelen, de NCTV, de diensten, zorgorganisaties of onderwijsorganisaties) gebruik maken van Palantir en b) om welke softwarepakketten en functionaliteiten van Palantir het precies gaat?

In de beantwoording op de onlangs gestelde Kamervragen door het lid Van Houwelingen heb ik aangegeven dat geen organisatieonderdelen van het Ministerie van Justitie en Veiligheid en/of aan Justitie en Veiligheid gelieerde samenwerkingsverbanden gebruik maken van Palantir software, met uitzondering van de politie en in het verleden de zes veiligheidsregio’s.2 Voor het gebruik bij organisaties buiten het Ministerie van Justitie en Veiligheid verwijs ik naar de beantwoording van andere ministeries op de Kamervragen van het lid Van Houwelingen.

Vraag 3

Kunt u per gebruiker, die hierover wordt beschreven, aangeven:

Voor het gebruik van de producten door de politie in de analyseomgeving «de Raffinaderij» verwijs ik naar de beantwoording op de vragen van het lid Van Houwelingen over het gebruik van Palantir software.3 Ik hecht eraan om te benadrukken dat «de Raffinaderij» geen registratiesysteem is, maar enkel een analyseomgeving waarbinnen alleen politiegegevens worden geanalyseerd.
Het gaat om gegevens die door de politie rechtmatig verkregen zijn.
Over het (kortstondige) gebruik van Palantir software door de zes zuidelijke Veiligheidsregio’s ten behoeve van informatiegestuurde veiligheid is uw Kamer op 21 juni 2021 geïnformeerd.4 Dit gebruik is reeds in 2021 beëindigd en was op geen enkele wijze gelieerd aan de analyseomgeving «de Raffinaderij». Alleen openbare en publiek toegankelijke data zijn door zes Veiligheidsregio’s gebruikt, er zijn hierbij geen persoonsgegevens geanalyseerd.
De politie analyseert alleen politiegegevens. Voor de grondslag voor het gebruik door de politie verwijs ik naar de beantwoording op vraag 10. Betrokkenen kunnen met een beroep op artikel 25 van de Wet Politiegegevens (Wpg) inzage krijgen of er persoonsgegevens over hem/haar/hen worden verwerkt. Dit gaat volgens een standaard proces dat is vermeld op de privacyverklaring die te vinden is op de website van de politie. Een inzageverzoek gaat via de regionale Privacydesk. De Privacydesk geeft echter geen inzage op systeemniveau.

Vraag 4

Indien de voor het beantwoorden van vraag 3 benodigde informatie niet bij u bekend is, kunt u (de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties) de verantwoordelijk bewindspersoon conform artikel 6 Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, verzoeken deze informatie aan de Kamer te verstrekken?

Met de beantwoording van vraag 3 is deze informatie verstrekt.

Vraag 5

Heeft voor ieder gebruik een directe aanbesteding plaatsgevonden? Zo nee, voor welke onderdelen niet en waarom niet? Kunt u garanderen dat bij ieder gebruik een juiste aanbestedingsprocedure is gevolgd? En kunt u aangeven hoeveel geld gemoeid is met de Palantir contracten?

Voor een toelichting op de overeenkomst tussen de zes zuidelijke Veiligheidsregio’s en Palantir voor een pilot binnen het samenwerkingsproject Fieldlab Zuid6 verwijs ik naar de beantwoording die in 2021 hierover aan uw Kamer is gestuurd.5
De verwerving van Palantir software door de politie heeft in 2018 heimelijk plaatsgevonden met een beroep op art. 2.23, lid 1 sub e van de AW 2012. Voor een nadere toelichting op de aanbestedingsprocedure verwijs ik naar de beantwoording op de Kamervragen van het lid Van Houwelingen. De financiële details met betrekking tot het betrokken contract zijn vertrouwelijk en kunnen niet openbaar worden gemaakt.

Vraag 6

Is het juist dat veel gebruik van Palentir in Nederland indirect plaatsvindt, via Europese samenwerkingen of internationale netwerken zoals Europol, Frontex of NAVO? Hoe beoordeelt u de risico’s daarvan? Hoe zit het met de (parlementaire) controle hierop?

Nee. Europol en Interpol maken op dit moment geen gebruik van Palantir software. De software van Palantir wordt binnen de Nederlandse politie enkel gebruikt in de analyseomgeving «de Raffinaderij». Er is dan ook geen sprake van indirect gebruik via Europese samenwerking of internationale netwerken. Informatieproducten afkomstig uit «de Raffinaderij» worden niet gedeeld met partijen buiten de Nederlandse politie. Wel kan het zijn als op basis van een signaal afkomstig uit een informatieproduct vanuit de analyseomgeving «de Raffinaderij» sprake blijkt van hetzij een concrete verdenking van zware en georganiseerde criminaliteit dan wel een hoge kans op aanslagen, dat de politie op basis van dit signaal op casuïstiek niveau contact legt met haar ketenpartners. Het informatieproduct zelf wordt niet gedeeld.
Zoals door de Minister van Defensie gemeld6 wordt binnen de Nederlandse krijgsmacht gebruik gemaakt van de Palantir software in het kader van interoperabiliteit tussen NAVO-partners tijdens militaire inzet.

Vraag 7

Kunt u een lijst geven van indirect gebruik via internationale organisaties waarbij data van Nederlandse burgers geanalyseerd wordt?

Zie de beantwoording op vraag 6.

Vraag 8

Is onderzocht of het risico bestaat dat gegevens van Nederlandse inwoners op een of andere manier lekken naar de ontwikkelaar in de Verenigde Staten, dan wel elders? Indien wel, hoe schat u dit risico in? Indien niet, bent u het met ons eens dat de regering de zorgplicht heeft dit te onderzoeken en op welke wijze gaat u daarin voorzien?

Bij het kortstondige gebruik van Palantir software door de zes Veiligheidsregio’s is geen gebruik gemaakt van persoonsgegevens.
De data binnen «de Raffinaderij» blijft strikt binnen het domein van de politie en wordt op geen enkele manier met de leverancier gedeeld. Politiedata heeft nooit in een publieke cloud van Palantir gestaan, maar altijd bij de politie zelf. De analysesoftware wordt volledig door een eigen team van de politie beheerd en gehost in eigen rekencentra in een private cloud. Indien noodzakelijk is er incidentele ondersteuning mogelijk van gescreende medewerkers van Palantir die enkel onder toezicht en ter plaatse werkzaamheden verrichten. Deze medewerkers hebben geen toegang tot de politiedata.

Vraag 9

Hoe hebben de lessen van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) invloed gehad op het gebruik van Palantir en de waarborgen daaromtrent?

Naar aanleiding van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) heeft de politie deelgenomen aan het JenV-brede verbetertraject Informatiehuishouding op orde, waarbij verbeteringen op het gebied van datavoorziening zijn en worden doorgevoerd. In dit traject zijn geen bevindingen naar voren gekomen wat betreft het gebruik van Palantir software. De waarborgen dat de data alleen toegankelijk is en blijft voor politiefunctionarissen en op eigen dataservers van de politie wordt opgeslagen was reeds in de periode voor POK het geval.

Vraag 10

Is u bekend dat het Duitse Bundesverfassingsgericht al in 2023 heeft bepaald dat het gebruik van Palantir in strijd is met de Duitse Grondwet? Zo ja, hoe is hier te lande daarop dan geacteerd?2

Het grondwettelijk hof in Duitsland heeft in 2023 de wetten van Hessen en Hamburg die de inzet van deze software mogelijk maakte ongrondwettig verklaard. Het betreft een uitspraak over de wetten die over de inzet van de software gaan en niet zozeer over dat het gebruik van de software zelf ook (altijd) ongrondwettelijk zou zijn. De wetten hadden volgens het grondwettelijk hof niet voldoende waarborgen en waren niet voldoende specifiek over in welke gevallen de software ingezet mocht worden. Uit de uitspraak volgt dat dergelijke software op zich niet verboden is, maar dat de wetten op basis waarvan dit mag dan wel voldoende specifiek moeten zijn over in welke gevallen en onder welke voorwaarden dit mag als het gaat om een inbreuk op de privacy / gegevensbeschermingsrechten van burgers.
Dat wetgeving op basis waarvan inbreuk op de privacy van burgers voldoende specifiek, voorzienbaar en proportioneel moet zijn -bijvoorbeeld met waarborgen omkleed- volgt ook uit rechtspraak van bijvoorbeeld het EHRM en het HvJEU. Deze uitgangspunten gelden daarom ook voor Nederland.
De Nederlandse politie heeft op grond van de Wet Politiegegevens (Wpg) deze verwerkingen gedaan. «De Raffinaderij» verwerkt politiegegevens op grond van Wpg artikel 11 lid 1 en 2 door politiegegevens geautomatiseerd te vergelijken ter ondersteuning van de opsporing. De politiegegevens die in aanmerking komen om onder deze grondslag verwerkt te worden zijn uitsluitend politiegegevens als bedoeld in artikel 8, 9 en 10 Wpg. Deze politiegegevens zijn eerder in een andere context rechtmatig verkregen. Gebruikers van «de Raffinaderij» mogen daarbij ten behoeve van dat onderzoek op basis van het Besluit Politiegegevens (Bpg) artikel 2:11 in «de Raffinaderij» door Wpg artikel 8, 9 en 10-registraties in de verwerkingstermijn zoeken. Dit is beperkt tot het autorisatieniveau waarvoor gebruikers zijn geautoriseerd. Daarnaast voorziet artikel 2:11 Bpg ook in het achterwege laten van bepaalde politiegegevens voor gegevensvergelijking indien deze zijn gecodeerd als een vertrouwelijke verwerking. Deze politiegegevens worden dan ook niet verwerkt binnen de Raffinaderij.

Vraag 11

Bent u, in het licht van de controverse die bestaat omtrent dit bedrijf en haar software, bereid de Autoriteit Persoonsgegevens te vragen onderzoek te doen naar het gebruik van Palantir en wilt u de AP daartoe inzage geven in al het gebruik?

De Autoriteit Persoonsgegevens gaat zelf over welke zaken zij in onderzoek nemen. Het staat de Autoriteit Persoonsgegevens vrij om – indien zij dat aangewezen acht – een onderzoek te doen naar het gebruik van Palantir software bij de politie. De Autoriteit Persoonsgegevens heeft de bevoegdheid om daartoe gegevens op te vragen.

Vraag 12

Kunt u deze vragen een voor een en binnen 3 weken beantwoorden?

De vragen zijn zo snel mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht «Demissionair de cloud in denderen: doe het niet»?1

Ja.

Vraag 2

Wat geeft de rijksoverheid in totaal uit aan Microsoft-producten?2

In het notaoverleg «Wolken aan de horizon» d.d. 2 juni jl. is reeds toegezegd aan de Tweede Kamer een overzicht te bieden van de gecontracteerde hoeveelheid aanbestedingen die uiteindelijk door de ministeries via SLM Rijk goedgekeurd zijn. Dit onderzoek loopt.

Vraag 3

Wanneer moeten alle departementen en overheidsorganisaties uiterlijk besluiten of zij wel of niet hun mailverkeer en gegevens in eigen beheer gaan nemen als de ondersteuning van Microsoft Exchange afloopt op 14 oktober 2025?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
Hoewel de technische ondersteuning van bepaalde versies van Exchange stopt op 14 oktober 2025, heeft de leverancier al een nieuwere on-premise versie gelanceerd die wel ondersteund wordt.3
Feitelijk is de situatie dat alleen voor Microsoft Exchange 2016 en Microsoft Exchange 2019 vanaf 14 oktober 2025 geen support of beveiligingsupdates meer geleverd worden.
Ook zonder de door de leverancier aanbevolen upgrade door te voeren, zal de maildienst niet per 14 oktober ophouden met functioneren en gaat de maildienst ook niet automatisch uit eigen beheer. Voor blijvend betrouwbaar functioneren van de maildienst is een upgrade door Microsoft beschikbaar gesteld. Deze is bekend bij de dienstverleners van de Rijksoverheid.

Vraag 4

Heeft de demissionaire status van het kabinet gevolgen voor besluitvorming van departementen over het wel of niet in beheer nemen van mailverkeer en gegevens?

Lopend beleid mag ten tijde van een demissionair kabinet worden uitgevoerd. Er zijn op dit moment bovendien geen zaken op digitaal terrein controversieel verklaard.

Vraag 5

Welke departementen en organisaties zijn nu van plan om mailverkeer en gegevens in eigen beheer te nemen, welke hebben besloten dit niet te doen en welke moeten het besluit nog nemen?

Ten behoeve van de beantwoording van deze vraag is een uitvraag bij de grootste ICT-dienstverleners van de Rijksoverheid gedaan. Voor alle departementen geldt dat beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaatsvindt, behoudens de Ministeries van Economische Zaken (EZ), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Klimaat en Groene Groei (KGG), waar -ook na 14 oktober- sprake is van een hybride situatie.
Ook bij een groot aantal uitvoeringsorganisaties als DUO, Rijkswaterstaat en Dienst Justitiële Inrichtingen vindt beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaats. Dit geldt ook voor de Belastingdienst, Toeslagen en de Douane. Wel heeft de Belastingdienst in het Jaarplan 2025, dat uw Kamer op 11 december 2024 heeft ontvangen, aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.

Vraag 6

Kunt u, in het licht van de recente sancties richting het Internationaal Strafhof, aangeven of mailverkeer en gegevens binnen de justitiële keten in Nederland vanaf 14 oktober 2025 in eigen beheer blijven?3

Het kabinet is zich ervan bewust dat afhankelijkheid van een klein aantal techaanbieders voor digitale diensten zorgt voor risico's op het vlak van o.a. concurrentiepositie, digitale open strategische autonomie en continuïteit van dienstverlening. Om deze risico’s te mitigeren wordt in het kader van onder meer de vernieuwing van het cloudbeleid voor de (rijks)overheid gekeken naar mogelijkheden om cloudtechnologie op verantwoorde wijze in te zetten.
Ook binnen de Justitiële keten bestaat aandacht voor deze risico’s en maken organisaties in overleg met hun ICT-leverancier passende keuzes om deze te mitigeren. Zo wordt bij de Hoge Raad de email verzonden, ontvangen en opgeslagen op servers die in eigen beheer zijn en verbiedt het cloudbeleid van de rechtspraak het gebruik van de cloud voor primaire processystemen. Voor de bedrijfsvoering maakt de Rechtspraak gebruik van Microsoft Exchange Online.
De Amerikaanse sancties tegen het Internationaal Strafhof zijn een specifieke maatregel voor een specifieke situatie en hebben geen inhoudelijke koppeling met onze nationale ICT-infrastructuur.

Vraag 7

Wat zijn de politie, het Openbaar Ministerie, de Raad voor de Rechtspraak en de Hoge Raad van plan te doen vanaf 14 oktober 2025? Worden deze organisaties eveneens kwetsbaar voor Amerikaanse sancties?

Zie antwoord vraag 6.

Vraag 8

Kunt u bevestigen dat het Shared Service Center ICT (SSC-ICT) de migratie van 57.000 werkplekken van ambtenaren naar de Microsoft-cloud definitief niet doorzet en mailverkeer en gegevens zelf blijft beheren?

U bent per Kamerbrief reeds geïnformeerd over de geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland, waaronder de migratie van de werkplekken van SSC-ICT.5

Vraag 9

Bent u bereid om, in lijn met de vele aangenomen Kamermoties die de digitale soevereiniteit van de overheid aanjagen, ervoor te zorgen dat alle departementen en overheidsorganisaties het goede voorbeeld van SSC-ICT volgen en gegevens in eigen beheer houden?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.

Vraag 10

Kunt u toezeggen dat u en uw collega’s geen onomkeerbare stappen zullen zetten die de digitale afhankelijkheid van de Verenigde Staten (VS) doen toenemen, tenzij de Kamer anders besluit?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd moeten we als EU zelf meer verantwoordelijkheid nemen en ook eensgezind optrekken waar het onze kernbelangen betreft. Ik ben het wel met u eens dat een te grote afhankelijkheid van één of een enkele marktpartij(en) ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet ik mij deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten. Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldige afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit Overheid.

Vraag 11

Bent u bereid om departementen en organisaties te helpen om mailverkeer en gegevens in eigen beheer te houden vanaf 14 oktober 2025, zodat de strategische afhankelijkheid van de VS niet groeit?

Zie de beantwoording van vraag 10. Voor het overgrote deel van de departementen en organisaties geldt dat zij dit al in eigen beheer hebben. De afweging om dit wel of niet zo te houden, is een departementale verantwoordelijkheid. De departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. CIO Rijk faciliteert het uitvoeren van goede risicoanalyses met beleid en handreikingen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en minstens één week voor het zomerreces beantwoorden?

De Kamervragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Heeft u een voorlopig beeld van in welke mate de kwetsbaarheden in de on-premise versie van Microsoft Sharepoint Server een effect hebben gehad op de Nederlandse overheid en samenleving?1 Kunt u in algemene zin een indicatie geven van de hoeveelheid (potentiële) slachtoffers in Nederland?

Het voorlopige beeld op dit moment is dat de kwetsbaarheden in Sharepoint slechts beperkt effect hebben gehad op de Nederlandse overheid en samenleving.
De samenwerkingsruimten bij rijksorganisaties, die zijn gebaseerd op Sharepoint, zijn destijds tijdelijk uit voorzorg door SSC-ICT geblokkeerd. Sinds vrijdag 24 juli zijn de samenwerkingsruimten weer beschikbaar voor medewerkers en externen.
Voor de medeoverheden geldt dat ze in het algemeen niet in de on-premise versie van Microsoft SharePoint Server werken omdat zij voornamelijk de cloud-variant gebruiken, waarop de kwetsbaarheid niet van toepassing is. Impact voor de medeoverheden lijkt om die reden beperkt.
Daarnaast verstrekt het Nationaal Cyber Security Centrum (NCSC) bij dergelijke kwetsbaarheden duidingsinformatie, handelingsperspectieven en beveiligingsadviezen.

Vraag 2

Kunt u dit ook aangeven ten aanzien van de recente kwetsbaarheden in Citrix Netscaler?2

Op de impact op de strafrechtketen naar aanleiding van de offline gang van het Openbaar Ministerie (OM) heb ik uw Kamer reeds geïnformeerd.3
Daarnaast heeft het NCSC heeft ook ten aanzien van de kwetsbaarheid in Citrix Netscaler verschillende adviezen uitgebracht. Deze adviezen zijn gedeeld met de desbetreffende doelgroepen en betroffen aanbevelingen voor het uitvoeren van patches en het draaien van scripts.
Bij enkele rijksorganisaties zijn sporen van compromittatie aangetroffen. Mitigerende maatregelen zijn getroffen en nader onderzoek wordt verricht. Tot dusver zijn er geen aanwijzingen dat andere overheidsorganisaties zijn gecompromitteerd.

Vraag 3

Kunt u reflecteren op Microsofts attributie van de initiële cyberaanvallen waarbij gebruik is gemaakt van Sharepoint-kwetsbaarheden aan de Chinese cyber threat actors Linen Typhoon, Violet Typhoon en Storm-2603, in relatie tot de gekende Chinese digitale spionagedreiging zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA) 2025 (Kamerstuk 30 821, nr. 305)?3

De digitale spionagedreiging zoals beschreven in DBSA 2025 heeft de constante aandacht van het kabinet. Cybersecurity bedrijven zoals Microsoft onderzoeken met regelmaat de toedracht en oorsprong van cyberaanvallen. Die informatie bestudeert het kabinet met aandacht. Evenwel moet een attributie door het kabinet altijd rusten op eigenstandige informatie.

Vraag 4

In welke mate weten het Nationaal Cyber Security Center (NCSC) en de relevante doelgroepen elkaar te vinden als het gaat om het opvolgen van beveiligingsadviezen, het delen van indicators of compromise (IoC’s) en het melden van compromittaties, in casussen als Sharepoint en Netscaler? Op welk vlak zijn de grootste verbeteringen nog mogelijk?

Het NCSC verzamelt en analyseert, in het kader van de uitoefening van de taken in de Wet beveiliging netwerk- en informatiesystemen (Wbni), continu informatie over dreigingen en incidenten en deelt deze informatie in datzelfde kader zo veel als mogelijk met publieke en private organisaties waarvoor die informatie relevant is, of met hun schakelorganisaties. Zo worden deze organisaties in staat gesteld zelf aanvullend onderzoek te verrichten. Via nieuws- en doelgroepberichten biedt het NCSC technische hulpmiddelen, zoals scripts en Indicators of Compromise (IoC’s), die helpen bij het detecteren, herkennen en onderzoeken van incidenten. Ook verstrekt het NCSC onder meer duidingsinformatie, handelingsperspectieven en beveiligingsadviezen via een uitgebreid netwerk en (openbare) kanalen aan publieke en private partijen. Daarnaast onderhoudt het NCSC contact met verschillende incident response-partijen voor informatie-uitwisseling en het verstrekken van passende adviezen. Informatie-uitwisseling over cyberdreigingen- en incidenten vindt plaats via bestaande samenwerkingen en informatiekanalen. Daarnaast zijn initiatieven zoals het Cyberweerbaarheidsnetwerk en Cyclotron in ontwikkeling om deze uitwisseling verder te versterken.

Vraag 5

Zal de inwerkingtreding van de Cyberbeveiligingswet naar uw verwachting deze informatieuitwisseling versterken? Kunt u dit toelichten?

Na inwerkingtreding van de Cyberbeveiligingswet (Cbw) zal de uitwisseling van informatie vanuit het NCSC in ruimere zin mogelijk worden, in elk geval omdat een Computer Security Incident Response Team (CSIRT) op grond daarvan uitdrukkelijk tot taak krijgt om informatie over dreigingen, kwetsbaarheden en incidenten niet alleen aan essentiële en belangrijke entiteiten, maar ook aan alle andere relevante partijen te verstrekken. Daarbij is de tussenkomst van schakelorganisaties niet meer vereist.

Vraag 6

Wanneer verwacht u de Kamer te kunnen informeren over de omstandigheden, de schade en de consequenties van de compromittatie van systemen van het Openbaar Ministerie (OM) middels kwetsbaarheden in Netscaler, welke volgens de media waarschijnlijk door een Russische cyber threat actor uitgevoerd is?4

Uw Kamer is hier reeds op verschillende momenten over geïnformeerd.6, 7, 8 Wat de exacte consequenties van de compromittatie zijn, is onderwerp van lopend onderzoek.

Vraag 7

Bent u voornemens om die betreffende cyberaanval op het OM, indien dit met voldoende betrouwbaarheid mogelijk is, publiekelijk te attribueren aan een cyber threat actor en/of een land, net zoals het kabinet reeds gedaan heeft met de attributie van de politiehack uit 2024 aan de Russische cyber threat actor LAUNDRY BEAR?

Zoals aangegeven in antwoord op vraag 3 heeft de digitale spionagedreiging de continue aandacht van dit kabinet. In lijn met de motie Erkens (36 410 X, nr. 46) is het de inzet van het kabinet om waar mogelijk cyberaanvallen en bijbehorende technische werkwijzen openbaar te maken. De wenselijkheid van het publiek attribueren aan een statelijke actor hangt af van een groot aantal factoren. De beoogde doelen en effecten van de publieke attributie, de technische afwegingen, diplomatieke gevolgen, eventuele gevolgen voor lopend onderzoek en het effect op de nationale veiligheid worden alle meegewogen bij besluitvorming over attributie. Ook worden gelijkgestemde partners, in het bijzonder EU-lidstaten en NAVO-bondgenoten, vooraf op de hoogte gesteld van een attributie.
Bovendien is het van belang het beoogde doel scherp te formuleren. Publieke attributie kan wat het kabinet betreft de volgende doelen dienen: het door middel van openbaarmaking van informatie verstoren van cyberoperaties, het beïnvloeden van het gedrag van kwaadwillende actoren, het informeren van internationale partners en bondgenoten en het informeren van overige derde landen die met een soortgelijke dreiging te maken hebben.
Bij deze besluitvorming zijn de Ministeries van Defensie, Justitie en Veiligheid (NCTV en NCSC), Buitenlandse Zaken, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), de Politie en het Openbaar Ministerie (OM) betrokken. Het uiteindelijke besluit over een attributie wordt door het kabinet, via de Raad Veiligheid en Inlichtingen, genomen.

Vraag 8

Heeft de Nederlandse overheid een algemeen publiekelijk attributiebeleid voor cyberaanvalscampagnes?

Zie antwoord vraag 7.

Vraag 9

Welk afwegingskader(s) hanteert de overheid voor het al dan niet publiekelijk attribueren van cyberaanvallen? Welk(e) bewindspersoon/-personen of welk(e) departement(en) is/zijn doorslaggevend in het besluit of dit publiekelijk gebeurt?

Zie antwoord vraag 7.

Vraag 10

Zal het feit dat, zoals in het DBSA 2025 wordt gesteld, «er steeds meer landen [lijken] te zijn die in Nederland willen spioneren, met name digitaal via offensieve cyberprogramma’s» van invloed zijn op het attributiebeleid of de uitvoeringspraktijk? Acht u het waarschijnlijk dat het kabinet in de komende jaren meer cyberaanvalscampagnes aan meer landen zal attribueren?

Zie antwoord vraag 7.

Vraag 11

Hoe en in welke mate wegen diplomatieke afbreukrisico’s mee in het al dan niet publiekelijk attribueren van een cyber threat actor aan een land?

Zie antwoord vraag 7.

Vraag 12

Heeft u een beeld van hoe de Cybersecurity Advisory over LAUNDRY BEAR inclusief mapping naar het MITRE ATT&CK framework over het algemeen ontvangen is bij de relevante partijen (Kamerstuk 29 628, nr. 1256)? Wordt een rapport als deze in de sector als behulpzaam beschouwd?

De Cybersecurity Advisory bevat handelingsperspectief voor publieke en private organisaties in Nederland, en wereldwijd, om hun weerbaarheid te verhogen en onderzoek mogelijk te maken naar deze cyberactor.
De relevante partijen hebben de Cybersecurity Advisory goed ontvangen. Zij zien dit rapport als behulpzaam en worden door de CSA in staat gesteld zelf onderzoek te doen.

Vraag 13

Voorziet u dat het kabinet in de toekomst vaker adviesrapporten van deze aard en omvang met classificatie TLP:CLEAR zal verstrekken? Wat zijn hierin de afwegingen?

Vraag 1

Deelt u de kwalificatie van de rechercheur dat het tegengaan van hypotheekfraude momenteel «dweilen met de kraan open» is?

Vraag 2

Wat is uw actuele beeld van hoe hypotheekfraude zich heeft ontwikkeld over tijd, zowel qua omvang als impact?

Vraag 3

Heeft u in kaart welke behoeftes er momenteel zijn vanuit de politie, Openbaar Ministerie, Belastingdienst, banken, notarissen en hypotheekverstrekkers wat betreft het kunnen tegengaan van hypotheekfraude?

Vraag 4

Wat gaat u doen om de samenwerking tussen deze partijen te versterken teneinde criminele netwerken die zich schuldig maken aan hypotheekfraude «in de kiem» te smoren, en welke concrete bewaakte ketens (informatie-uitwisseling, real-time checks) zullen daarbij worden opgezet?

Vraag 5

Hoe gaat u er zorg voor dragen dat de uitkomsten van het onderzoek naar aanleiding van de aangenomen motie-Mutluer/Six Dijkstra (Kamerstuk 29 911, nr. 446) zo snel mogelijk in beleid en wetgeving worden omgezet? Wanneer verwacht u redelijkerwijs dat deze grootschalige vormen van hypotheekfraude effectief kunnen worden teruggedrongen en wat is hier voor nodig?

Vraag 6

Kunt u, in het licht van deze motie, in afwachting van het lopende onderzoek nu al aangeven welke criteria u overweegt om te beoordelen of een regeling voor inkomensverificatie via de Belastingdienst of andere instanties juridisch houdbaar, kenbaar én praktisch uitvoerbaar is, en welke rol de Autoriteit Persoonsgegevens (of een andere privacytoezichthouder) zal spelen?

Vraag 7

Welke maatregelen gaat u voorbereiden om het afpakken van crimineel vermogen in de vorm van onroerend goed, luxegoederen, voertuigen en contanten sneller en effectiever te maken in hypotheekfraude-zaken, en hoe garandeert u dat die opbrengsten niet kunnen «wegvloeien» naar nieuwe criminaliteit?

Vraag 8

Zijn er, in afwachting van de uitvoering van de motie-Mutluer/Six Dijkstra (Kamerstuk 36 463, nr. 17), momenteel al toereikende mogelijkheden om afgepakte goederen in casussen als deze maatschappelijk te herbestemmen? Heeft u een beeld van in welke mate dit effectief lukt?

Vraag 9

Heeft u zicht op of er behoefte is aan een centraal meldpunt of signaleringssysteem voor (vermoedens van) hypotheekfraude, waarmee gemeenten, banken, notarissen, makelaars, hypotheekadviseurs en burgers meldingen kunnen doen en waarbij de gegevens tijdig naar opsporingsdiensten worden doorgeleid?

Vraag 10

Welke extra waarborgen of monitoringsmechanismen kunt u, gezien de kwetsbaarheid van starters, kleine huishoudens en de pechgeneratie in het verkrijgen van hypotheken, inbouwen in nieuw beleid, zodat onterechte weigering van hypotheekaanvragen (op basis van onjuiste of vervalste gegevens) kan worden voorkomen, en slachtoffers sneller herstel kunnen krijgen?

Vraag 11

Wat is de planning van de implementatie van de nieuwe Europese antiwitwasregels waarin het voor notarissen mogelijk wordt gemaakt om onder voorwaarden voor dit specifieke doel de geheimhoudingsplicht te doorbreken? Aan welke voorwaarden moeten we dan denken?

Vraag 12

Kunt u deze vragen apart en binnen drie weken beantwoorden?

Vraag 1

Bent u bekend met het bericht «Belastingdienst verplaatst mail naar Microsoft, ondanks zorgen over meekijken VS»?1

Vraag 2

Maakt de overstap van de Belastingdienst naar Microsoft 365 onze overheid meer of minder afhankelijk van de Verenigde Staten?

Vraag 3

Is er, conform de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315), een onafhankelijke onderbouwing opgesteld voor de noodzaak van de overstap naar Microsoft? Zo ja, kunt u deze delen?

Vraag 4

Waarom houdt u het mailverkeer niet in eigen beheer, zoals verzocht in de motie-Kathmann/Six Dijkstra (Kamerstuk 36 740, nr. 20)? Hoe bent u van plan om deze motie alsnog uit te voeren?

Vraag 5

Acht u de keuze voor de Belastingdienst om de eigen ICT te verhuizen naar Microsoft in het belang van de strategische autonomie, waarover de demissionaire premier op 30 september 2025 nog uitsprak dat bestuurders dit prioriteit moeten geven?2

Vraag 6

Acht u het onafhankelijk en onomstotelijk bewezen dat er geen Europese oplossing voor de Belastingdienst beschikbaar is? Uit welke onafhankelijke onderbouwing blijkt dit?

Vraag 7

Hoeveel en welke Europese alternatieven heeft u precies onderzocht en waarom waren deze ontoereikend? Kunt u de documentatie delen waaruit blijkt dat deze alternatieven niet voldoen aan de gestelde eisen?

Vraag 8

Welke eisen voor functionaliteit, veiligheid en continuïteit hanteert de Belastingdienst? Zijn deze zodanig geformuleerd dat ze niet voorsorteren op een overstap naar Microsoft 365?

Vraag 9

Kunt u alle documentatie over de risico-afweging die is gemaakt om de keuze voor Microsoft 365 te onderbouwen met de Kamer delen, waaronder de aanvullende afspraken die zijn gemaakt met de leverancier?

Vraag 10

Kunt u de gekozen exitstrategie met de Kamer delen? Is negen maanden om over te stappen van de Microsoft 365-omgeving snel genoeg in het geval van een acute stopzetting van de dienstverlening door de leverancier?

Vraag 11

Bent u zich ervan bewust dat Amerikaanse bedrijven die gegevens op Europees grondgebied stallen, alsnog moeten voldoen aan surveillanceverplichtingen die volgen vanuit nationale wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act?

Vraag 12

Is, met inachtneming van vraag 9, het stallen van gegevens op Microsoft-datacentra binnen de Europese Economische Ruimte een legitiem middel om risico’s voor de autonomie en nationale veiligheid weg te nemen?

Vraag 13

Kunt u alle documentatie over de afweging die is gemaakt voor de andere drie scenario’s in volledigheid met de Kamer delen?3

Vraag 14

Op basis van het onderzoek dat is verricht naar Europese alternatieven, op welke termijn wordt een migratie naar Europese alternatieven mogelijk? Zet u zich actief in om dit te bewerkstelligen?

Vraag 15

Waarom bent u slechts voornemens om te migreren naar Europese alternatieven als zij op een vergelijkbaar niveau zitten als Microsoft, als u het belang van digitale autonomie en nationale veiligheid onderschrijft?

Vraag 16

In hoeverre bent u bereid om digitale autonomie, kennisbehoud en data- en nationale veiligheid in te leveren ten behoeve van functionaliteit en productiviteit?

Vraag 17

Welke delen van het werkproces komen in de Amerikaanse cloud te staan? Komen ook «rulings» van de Belastingdienst, die gevoelige informatie over belastingheffing bevatten, en bedrijfsgevoelige informatie in de Microsoft-omgeving te staan?

Vraag 18

Is het migreren van maildiensten naar Microsoft een reden om bepaalde informatie niet binnen de werkomgeving van de Belastingdienst te bespreken, communiceren, of op te slaan?4

Vraag 19

Is het risico op weglekken van data naar derden onderzocht? Kan u bewijzen dat er géén risico’s zijn dat gevoelige informatie onbeveiligd wordt uitgewisseld in de nieuwe situatie?

Vraag 20

Kunt u toelichten welke primaire processen nog wel in het Nederlandse datacentrum blijven draaien en welke afweging daarbij is gemaakt? Welke beheer- en beveiligingsapplicaties worden verplaatst naar de publieke cloud en waarom vallen deze niet onder primaire processen?

Vraag 21

Kunt u deze vragen afzonderlijk beantwoorden en toezeggen dat de Belastingdienst geen onomkeerbare stappen zet totdat deze vragen zijn beantwoord?

Vraag 1

Hoe bestaat het dat het anno 2025, in tijden dat we maximaal weerbaar moeten zijn, mogelijk is om bij een zorgpartij van een half miljoen Nederlanders uiterst gevoelige medische gegevens en persoonsgegevens te stelen?

Bevolkingsonderzoek Nederland (BVO NL) heeft een onafhankelijk onderzoek ingesteld naar de exacte omvang en de oorzaak van deze hack. Ook de Autoriteit Persoonsgegevens (AP) en de Inspectie Gezondheidszorg en Jeugd (IGJ) zijn een onderzoek gestart. Los daarvan markeer ik hierbij het grote belang van adequate technische en organisatorische maatregelen ter beveiliging van persoonsgegevens, in het bijzonder als het gaat om gezondheidsgegevens. Zorgaanbieders zijn daartoe wettelijk verplicht, onder andere op grond van de Algemene verordening gegevensbescherming (AVG). Ik betreur het dan ook ten zeerste dat gezondheidsgegevens zijn bemachtigd bij een hack bij Clinical Diagnostics.

Vraag 2

Wanneer werd het datalek bekend bij de Stichting Bevolkingsonderzoek Nederland en bij het Ministerie van Volksgezondheid, Welzijn en Sport? Kunt u een tijdlijn maken met de belangrijkste gebeurtenissen en wanneer zij ontdekt zijn? Kunt u daarop zeggen wanneer de diefstal plaatsvond, wanneer mensen en de Autoriteit Persoonsgegevens geïnformeerd zijn, wanneer het ministerie/de bewindspersonen geïnformeerd zijn en alle andere relevante gebeurtenissen?

BVO NL is op woensdag 6 augustus door het laboratorium Clinical Diagnostics geïnformeerd over de hack, nadat het laboratorium de hack op 6 juli heeft ontdekt. BVO NL heeft op 6 augustus een melding gemaakt bij de AP en heeft op dezelfde dag het RIVM, de opdrachtgever van BVO NL, geïnformeerd. Het Ministerie van VWS is op donderdag 7 augustus geïnformeerd door het RIVM. BVO NL heeft op zaterdag 9 augustus een melding gedaan bij de IGJ.
Op maandag 11 augustus heeft BVO NL een nieuwsbericht uitgebracht over de hack en is uw Kamer geïnformeerd. Op maandag 11 augustus heeft ook Z-Cert, het expertisecentrum voor cybersecurity in de zorg, bij het Ministerie van VWS melding gemaakt over de hack.
In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
Nadien heeft het laboratorium desgevraagd aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Zoals ik vrijdag 29 augustus en vandaag in aparte brieven aan uw Kamer heb laten weten, blijkt uit dit onderzoek dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack. BVO NL heeft hier op 29 augustus ook een nieuwsbericht over gepubliceerd. Deze deelnemers ontvangen van BVO NL een brief.

Vraag 3

Waarom wordt het lekken van persoonlijke en medische gegevens van een half miljoen Nederlanders pas meer dan vier weken later openbaar gemaakt? Klopt het dat er al eerder een lek bij dit laboratorium was gesignaleerd maar daar niet naar werd gehandeld, er geen consequenties waren?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de AP en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Bent u het ermee eens dat dit het vertrouwen van Nederlanders in het bevolkingsonderzoek, waar al steeds minder in wordt deelgenomen, ernstig ondermijnt?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over de hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ikwil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 5

Hoe kan het dat er met één hack zoveel gegevens van zoveel mensen in één keer buit kunnen worden gemaakt? Waarom worden medische uitslagen in combinatie met burgerservicenummers en adresgegevens opgeslagen? Wordt er in deze laboratoria gewerkt met het gespreid en versleuteld opslaan van een minimaal benodigde hoeveelheid gegevens? Welke concrete inspanningen worden er geleverd om te voldoen aan het beginsel van dataminimalisatie conform artikel 5 AVG?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In algemene zin markeer ik het grote belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens aan de wettelijke vereisten wordt voldaan, waaronder in ieder geval de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest).

Vraag 6

Valt dit lab, één van de grootste van Nederland, onder toezicht van de Inspectie Gezondheidszorg en Jeugd (IGJ)? Zo ja, wanneer heeft de Inspectie voor het laatst dit laboratorium bezocht en wat waren toen de bevindingen?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ is inmiddels een onderzoek gestart bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria.

Vraag 7

Wat zijn de minimumvereisten voor dataveiligheid van Stichting bevolkingsonderzoek? Aan welke standaarden moeten laboratoria voldoen om grootschalig labonderzoek te mogen verrichten?

Wat betreft de eerste vraag geldt dat voor zover BVO NL persoonsgegevens verwerkt ten aanzien waarvan BVO NL geldt als verwerkingsverantwoordelijke, BVO NL zich in ieder geval moet houden aan de AVG. Op grond van de AVG dient BVO NL in dat geval organisatorische en technische maatregelen te treffen ter beveiliging van persoonsgegevens. De AP houdt hierop toezicht. Daarbij betrekt het informatiebeveiligingsnormen als de NEN7510. Die normen gelden als gezaghebbende uitwerking van de algemene beveiligingsnorm uit de AVG. Die sectorspecifieke informatiebeveiligingsnormen zijn voor zorgaanbieders overigens verplicht gesteld in het Besluit elektronische gegevensverwerking door zorgaanbieders.
Wat betreft de tweede vraag geldt dat voor laboratoria wet- en regelgeving op het gebied van kwaliteit van de zorg en dataveiligheid kan gelden. Welke wet- en regelgeving dat precies betreft, hangt af van de concrete omstandigheden (zoals de aard van de werkzaamheden). De schaalgrootte van de labonderzoeken speelt hierbij in principe geen rol.

Vraag 8

Hoe was het gesteld met de datahuishouding en -veiligheid bij dit lab? Beschikte het laboratorium over de NEN 7510 certificering voor databeveiliging? Klopt het dat alle zorgpartijen die met bijzondere persoonsgegevens werken verplicht zijn om aan de NEN7510 richtlijn te voldoen? Voldeed dit lab hieraan? Gaan medische laboratoria onder de NIS-2 wetgeving vallen?

Het antwoord op deze vragen zal voortvloeien uit de verschillenden lopende onderzoeken naar de hack en het datalek. Algemeen geldt, in het kader van goede en veilige zorg, dat zorgaanbieders die persoonsgegevens verwerken in een zorginformatiesysteem, moeten kunnen laten zien dat ze werken volgens de daarvoor geldende informatiebeveiligingsnormen, waaronder de NEN 7510. De IGJ houdt hier toezicht op en de AP, voor zover het gaat om de bescherming van persoonsgegevens.
Er bestaat binnen de NIS2-richtlijn of het wetsvoorstel Cyberbeveilingswet (Cbw), dat de Minister van Justitie en Veiligheid op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer, geen categorie die zich specifiek richt op medische laboratoria. Een medisch laboratorium zou onder de NIS2-richtlijn kunnen vallen indien het bijvoorbeeld handelingen uitvoert die vallen onder de Wkkgz of wanneer het (deels) onderzoek doet naar geneesmiddelen en voor zover zij voldoen aan de eisen in de NIS-2-wetgeving op het gebied van omvang personeelsbestand en omzet. Het hangt dus af van de dienstverlening of een medisch laboratorium onder een van de categorieën van de NIS2-richtlijn of Cbw valt.

Vraag 9

Worden er vandaag nog steeds samples gestuurd vanuit het bevolkingsonderzoek of andere medische diagnostiek naar laboratoria waar deze data niet veilig zijn en worden verwerkt door systemen die niet aan de richtlijnen voldoen?

BVO NL heeft de samenwerking met het laboratorium tot nader order opgeschort. Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 10

Bij hoeveel Eurofins laboratoria speelt dit? Bij hoeveel andere medische laboratoria?

Er zijn bij mij geen signalen bekend dat de informatiebeveiliging bij andere laboratoria niet op orde zou zijn.

Vraag 11

Welke andere zorgpartijen beschikken over de medische en persoonsgegevens van honderdduizenden Nederlanders zonder dat de dataveiligheid op orde is?

Ik heb geen inzicht in de hoeveelheid gezondheidsdata waar de verschillende zorgpartijen over beschikken. De zorg digitaliseert in toenemende mate en dit brengt grote voordelen met zich mee, maar ook risico’s. Zorgpartijen zijn verantwoordelijk voor informatieveiligheid. Zij zijn verplicht te voldoen aan de wettelijke normen voor informatiebeveiliging in de zorg.
Zorginstellingen zijn in de eerste plaats zelf verantwoordelijk om de risico’s te beperken en de impact van incidenten zo klein mogelijk te maken wanneer deze toch plaatsvinden. Dit neemt echter niet weg dat ik me ook inzet op het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, door duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-Cert gespecialiseerde ondersteuning aan zorgaanbieders.

Vraag 12

Op welke termijn kunt u dit in kaart brengen?

Zie antwoord vraag 11.

Vraag 13

Wat bent u van plan om te doen als blijkt dat deze onveilige situatie bij andere zorgpartijen speelt?

Zie antwoord vraag 11.

Vraag 14

Wat verwacht u van de effecten van dit massale datalek voor de veiligheid van Nederlanders en hoe beoordeelt u de risico’s op onder andere identiteitsfraude, chantage of zorgmijden als gevolg hiervan? Hoe worden mensen met gevoelige adresgegevens, zoals penitentiaire inrichtingen, blijf-van-mijn-lijf-huizen en psychiatrische klinieken geholpen?

Hacks waarbij zoveel data worden bemachtigd vergroten het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
BVO NL informeert de getroffen deelnemers van het bevolkingsonderzoek baarmoederhalskanker. In de brief van BVO NL wordt ook gewezen op het risico op fraude. De betrokken (ex-)gedetineerden worden via een informatiebrief van Clinical Diagnostics over de hack geïnformeerd, met daarbij een begeleidende brief van de Dienst Justitiële Inrichtingen (DJI). In deze brieven is onder meer opgenomen wat betrokkenen kunnen doen.

Vraag 15

Kunt u deze vragen los van elkaar, zo snel mogelijk en zeker binnen drie weken beantwoorden?

Daar zet ik mij voor in.

Vraag 1

Heeft u kennis genomen van de Wet Open Overheid (WOO)-verzoeken waaruit blijkt dat Nederland al in 2011 software van Palantir heeft aangeschaft?1

Ja

Vraag 2

Kunt u aangeven a) welke (semi)overheidsorganisaties (in de breedste zin van het woord, dus inclusief bijvoorbeeld de politie, Defensie-onderdelen, de NCTV, de diensten, zorgorganisaties of onderwijsorganisaties) gebruik maken van Palantir en b) om welke softwarepakketten en functionaliteiten van Palantir het precies gaat?

In de beantwoording op de onlangs gestelde Kamervragen door het lid Van Houwelingen heb ik aangegeven dat geen organisatieonderdelen van het Ministerie van Justitie en Veiligheid en/of aan Justitie en Veiligheid gelieerde samenwerkingsverbanden gebruik maken van Palantir software, met uitzondering van de politie en in het verleden de zes veiligheidsregio’s.2 Voor het gebruik bij organisaties buiten het Ministerie van Justitie en Veiligheid verwijs ik naar de beantwoording van andere ministeries op de Kamervragen van het lid Van Houwelingen.

Vraag 3

Kunt u per gebruiker, die hierover wordt beschreven, aangeven:

Voor het gebruik van de producten door de politie in de analyseomgeving «de Raffinaderij» verwijs ik naar de beantwoording op de vragen van het lid Van Houwelingen over het gebruik van Palantir software.3 Ik hecht eraan om te benadrukken dat «de Raffinaderij» geen registratiesysteem is, maar enkel een analyseomgeving waarbinnen alleen politiegegevens worden geanalyseerd.
Het gaat om gegevens die door de politie rechtmatig verkregen zijn.
Over het (kortstondige) gebruik van Palantir software door de zes zuidelijke Veiligheidsregio’s ten behoeve van informatiegestuurde veiligheid is uw Kamer op 21 juni 2021 geïnformeerd.4 Dit gebruik is reeds in 2021 beëindigd en was op geen enkele wijze gelieerd aan de analyseomgeving «de Raffinaderij». Alleen openbare en publiek toegankelijke data zijn door zes Veiligheidsregio’s gebruikt, er zijn hierbij geen persoonsgegevens geanalyseerd.
De politie analyseert alleen politiegegevens. Voor de grondslag voor het gebruik door de politie verwijs ik naar de beantwoording op vraag 10. Betrokkenen kunnen met een beroep op artikel 25 van de Wet Politiegegevens (Wpg) inzage krijgen of er persoonsgegevens over hem/haar/hen worden verwerkt. Dit gaat volgens een standaard proces dat is vermeld op de privacyverklaring die te vinden is op de website van de politie. Een inzageverzoek gaat via de regionale Privacydesk. De Privacydesk geeft echter geen inzage op systeemniveau.

Vraag 4

Indien de voor het beantwoorden van vraag 3 benodigde informatie niet bij u bekend is, kunt u (de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties) de verantwoordelijk bewindspersoon conform artikel 6 Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst, verzoeken deze informatie aan de Kamer te verstrekken?

Met de beantwoording van vraag 3 is deze informatie verstrekt.

Vraag 5

Heeft voor ieder gebruik een directe aanbesteding plaatsgevonden? Zo nee, voor welke onderdelen niet en waarom niet? Kunt u garanderen dat bij ieder gebruik een juiste aanbestedingsprocedure is gevolgd? En kunt u aangeven hoeveel geld gemoeid is met de Palantir contracten?

Voor een toelichting op de overeenkomst tussen de zes zuidelijke Veiligheidsregio’s en Palantir voor een pilot binnen het samenwerkingsproject Fieldlab Zuid6 verwijs ik naar de beantwoording die in 2021 hierover aan uw Kamer is gestuurd.5
De verwerving van Palantir software door de politie heeft in 2018 heimelijk plaatsgevonden met een beroep op art. 2.23, lid 1 sub e van de AW 2012. Voor een nadere toelichting op de aanbestedingsprocedure verwijs ik naar de beantwoording op de Kamervragen van het lid Van Houwelingen. De financiële details met betrekking tot het betrokken contract zijn vertrouwelijk en kunnen niet openbaar worden gemaakt.

Vraag 6

Is het juist dat veel gebruik van Palentir in Nederland indirect plaatsvindt, via Europese samenwerkingen of internationale netwerken zoals Europol, Frontex of NAVO? Hoe beoordeelt u de risico’s daarvan? Hoe zit het met de (parlementaire) controle hierop?

Nee. Europol en Interpol maken op dit moment geen gebruik van Palantir software. De software van Palantir wordt binnen de Nederlandse politie enkel gebruikt in de analyseomgeving «de Raffinaderij». Er is dan ook geen sprake van indirect gebruik via Europese samenwerking of internationale netwerken. Informatieproducten afkomstig uit «de Raffinaderij» worden niet gedeeld met partijen buiten de Nederlandse politie. Wel kan het zijn als op basis van een signaal afkomstig uit een informatieproduct vanuit de analyseomgeving «de Raffinaderij» sprake blijkt van hetzij een concrete verdenking van zware en georganiseerde criminaliteit dan wel een hoge kans op aanslagen, dat de politie op basis van dit signaal op casuïstiek niveau contact legt met haar ketenpartners. Het informatieproduct zelf wordt niet gedeeld.
Zoals door de Minister van Defensie gemeld6 wordt binnen de Nederlandse krijgsmacht gebruik gemaakt van de Palantir software in het kader van interoperabiliteit tussen NAVO-partners tijdens militaire inzet.

Vraag 7

Kunt u een lijst geven van indirect gebruik via internationale organisaties waarbij data van Nederlandse burgers geanalyseerd wordt?

Zie de beantwoording op vraag 6.

Vraag 8

Is onderzocht of het risico bestaat dat gegevens van Nederlandse inwoners op een of andere manier lekken naar de ontwikkelaar in de Verenigde Staten, dan wel elders? Indien wel, hoe schat u dit risico in? Indien niet, bent u het met ons eens dat de regering de zorgplicht heeft dit te onderzoeken en op welke wijze gaat u daarin voorzien?

Bij het kortstondige gebruik van Palantir software door de zes Veiligheidsregio’s is geen gebruik gemaakt van persoonsgegevens.
De data binnen «de Raffinaderij» blijft strikt binnen het domein van de politie en wordt op geen enkele manier met de leverancier gedeeld. Politiedata heeft nooit in een publieke cloud van Palantir gestaan, maar altijd bij de politie zelf. De analysesoftware wordt volledig door een eigen team van de politie beheerd en gehost in eigen rekencentra in een private cloud. Indien noodzakelijk is er incidentele ondersteuning mogelijk van gescreende medewerkers van Palantir die enkel onder toezicht en ter plaatse werkzaamheden verrichten. Deze medewerkers hebben geen toegang tot de politiedata.

Vraag 9

Hoe hebben de lessen van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) invloed gehad op het gebruik van Palantir en de waarborgen daaromtrent?

Naar aanleiding van de Parlementaire onderzoekscommissie Kinderopvangtoeslag (POK) heeft de politie deelgenomen aan het JenV-brede verbetertraject Informatiehuishouding op orde, waarbij verbeteringen op het gebied van datavoorziening zijn en worden doorgevoerd. In dit traject zijn geen bevindingen naar voren gekomen wat betreft het gebruik van Palantir software. De waarborgen dat de data alleen toegankelijk is en blijft voor politiefunctionarissen en op eigen dataservers van de politie wordt opgeslagen was reeds in de periode voor POK het geval.

Vraag 10

Is u bekend dat het Duitse Bundesverfassingsgericht al in 2023 heeft bepaald dat het gebruik van Palantir in strijd is met de Duitse Grondwet? Zo ja, hoe is hier te lande daarop dan geacteerd?2

Het grondwettelijk hof in Duitsland heeft in 2023 de wetten van Hessen en Hamburg die de inzet van deze software mogelijk maakte ongrondwettig verklaard. Het betreft een uitspraak over de wetten die over de inzet van de software gaan en niet zozeer over dat het gebruik van de software zelf ook (altijd) ongrondwettelijk zou zijn. De wetten hadden volgens het grondwettelijk hof niet voldoende waarborgen en waren niet voldoende specifiek over in welke gevallen de software ingezet mocht worden. Uit de uitspraak volgt dat dergelijke software op zich niet verboden is, maar dat de wetten op basis waarvan dit mag dan wel voldoende specifiek moeten zijn over in welke gevallen en onder welke voorwaarden dit mag als het gaat om een inbreuk op de privacy / gegevensbeschermingsrechten van burgers.
Dat wetgeving op basis waarvan inbreuk op de privacy van burgers voldoende specifiek, voorzienbaar en proportioneel moet zijn -bijvoorbeeld met waarborgen omkleed- volgt ook uit rechtspraak van bijvoorbeeld het EHRM en het HvJEU. Deze uitgangspunten gelden daarom ook voor Nederland.
De Nederlandse politie heeft op grond van de Wet Politiegegevens (Wpg) deze verwerkingen gedaan. «De Raffinaderij» verwerkt politiegegevens op grond van Wpg artikel 11 lid 1 en 2 door politiegegevens geautomatiseerd te vergelijken ter ondersteuning van de opsporing. De politiegegevens die in aanmerking komen om onder deze grondslag verwerkt te worden zijn uitsluitend politiegegevens als bedoeld in artikel 8, 9 en 10 Wpg. Deze politiegegevens zijn eerder in een andere context rechtmatig verkregen. Gebruikers van «de Raffinaderij» mogen daarbij ten behoeve van dat onderzoek op basis van het Besluit Politiegegevens (Bpg) artikel 2:11 in «de Raffinaderij» door Wpg artikel 8, 9 en 10-registraties in de verwerkingstermijn zoeken. Dit is beperkt tot het autorisatieniveau waarvoor gebruikers zijn geautoriseerd. Daarnaast voorziet artikel 2:11 Bpg ook in het achterwege laten van bepaalde politiegegevens voor gegevensvergelijking indien deze zijn gecodeerd als een vertrouwelijke verwerking. Deze politiegegevens worden dan ook niet verwerkt binnen de Raffinaderij.

Vraag 11

Bent u, in het licht van de controverse die bestaat omtrent dit bedrijf en haar software, bereid de Autoriteit Persoonsgegevens te vragen onderzoek te doen naar het gebruik van Palantir en wilt u de AP daartoe inzage geven in al het gebruik?

De Autoriteit Persoonsgegevens gaat zelf over welke zaken zij in onderzoek nemen. Het staat de Autoriteit Persoonsgegevens vrij om – indien zij dat aangewezen acht – een onderzoek te doen naar het gebruik van Palantir software bij de politie. De Autoriteit Persoonsgegevens heeft de bevoegdheid om daartoe gegevens op te vragen.

Vraag 12

Kunt u deze vragen een voor een en binnen 3 weken beantwoorden?

De vragen zijn zo snel mogelijk beantwoord.

Vraag 1

Heeft u een voorlopig beeld van in welke mate de kwetsbaarheden in de on-premise versie van Microsoft Sharepoint Server een effect hebben gehad op de Nederlandse overheid en samenleving?1 Kunt u in algemene zin een indicatie geven van de hoeveelheid (potentiële) slachtoffers in Nederland?

Het voorlopige beeld op dit moment is dat de kwetsbaarheden in Sharepoint slechts beperkt effect hebben gehad op de Nederlandse overheid en samenleving.
De samenwerkingsruimten bij rijksorganisaties, die zijn gebaseerd op Sharepoint, zijn destijds tijdelijk uit voorzorg door SSC-ICT geblokkeerd. Sinds vrijdag 24 juli zijn de samenwerkingsruimten weer beschikbaar voor medewerkers en externen.
Voor de medeoverheden geldt dat ze in het algemeen niet in de on-premise versie van Microsoft SharePoint Server werken omdat zij voornamelijk de cloud-variant gebruiken, waarop de kwetsbaarheid niet van toepassing is. Impact voor de medeoverheden lijkt om die reden beperkt.
Daarnaast verstrekt het Nationaal Cyber Security Centrum (NCSC) bij dergelijke kwetsbaarheden duidingsinformatie, handelingsperspectieven en beveiligingsadviezen.

Vraag 2

Kunt u dit ook aangeven ten aanzien van de recente kwetsbaarheden in Citrix Netscaler?2

Op de impact op de strafrechtketen naar aanleiding van de offline gang van het Openbaar Ministerie (OM) heb ik uw Kamer reeds geïnformeerd.3
Daarnaast heeft het NCSC heeft ook ten aanzien van de kwetsbaarheid in Citrix Netscaler verschillende adviezen uitgebracht. Deze adviezen zijn gedeeld met de desbetreffende doelgroepen en betroffen aanbevelingen voor het uitvoeren van patches en het draaien van scripts.
Bij enkele rijksorganisaties zijn sporen van compromittatie aangetroffen. Mitigerende maatregelen zijn getroffen en nader onderzoek wordt verricht. Tot dusver zijn er geen aanwijzingen dat andere overheidsorganisaties zijn gecompromitteerd.

Vraag 3

Kunt u reflecteren op Microsofts attributie van de initiële cyberaanvallen waarbij gebruik is gemaakt van Sharepoint-kwetsbaarheden aan de Chinese cyber threat actors Linen Typhoon, Violet Typhoon en Storm-2603, in relatie tot de gekende Chinese digitale spionagedreiging zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA) 2025 (Kamerstuk 30 821, nr. 305)?3

De digitale spionagedreiging zoals beschreven in DBSA 2025 heeft de constante aandacht van het kabinet. Cybersecurity bedrijven zoals Microsoft onderzoeken met regelmaat de toedracht en oorsprong van cyberaanvallen. Die informatie bestudeert het kabinet met aandacht. Evenwel moet een attributie door het kabinet altijd rusten op eigenstandige informatie.

Vraag 4

In welke mate weten het Nationaal Cyber Security Center (NCSC) en de relevante doelgroepen elkaar te vinden als het gaat om het opvolgen van beveiligingsadviezen, het delen van indicators of compromise (IoC’s) en het melden van compromittaties, in casussen als Sharepoint en Netscaler? Op welk vlak zijn de grootste verbeteringen nog mogelijk?

Het NCSC verzamelt en analyseert, in het kader van de uitoefening van de taken in de Wet beveiliging netwerk- en informatiesystemen (Wbni), continu informatie over dreigingen en incidenten en deelt deze informatie in datzelfde kader zo veel als mogelijk met publieke en private organisaties waarvoor die informatie relevant is, of met hun schakelorganisaties. Zo worden deze organisaties in staat gesteld zelf aanvullend onderzoek te verrichten. Via nieuws- en doelgroepberichten biedt het NCSC technische hulpmiddelen, zoals scripts en Indicators of Compromise (IoC’s), die helpen bij het detecteren, herkennen en onderzoeken van incidenten. Ook verstrekt het NCSC onder meer duidingsinformatie, handelingsperspectieven en beveiligingsadviezen via een uitgebreid netwerk en (openbare) kanalen aan publieke en private partijen. Daarnaast onderhoudt het NCSC contact met verschillende incident response-partijen voor informatie-uitwisseling en het verstrekken van passende adviezen. Informatie-uitwisseling over cyberdreigingen- en incidenten vindt plaats via bestaande samenwerkingen en informatiekanalen. Daarnaast zijn initiatieven zoals het Cyberweerbaarheidsnetwerk en Cyclotron in ontwikkeling om deze uitwisseling verder te versterken.

Vraag 5

Zal de inwerkingtreding van de Cyberbeveiligingswet naar uw verwachting deze informatieuitwisseling versterken? Kunt u dit toelichten?

Na inwerkingtreding van de Cyberbeveiligingswet (Cbw) zal de uitwisseling van informatie vanuit het NCSC in ruimere zin mogelijk worden, in elk geval omdat een Computer Security Incident Response Team (CSIRT) op grond daarvan uitdrukkelijk tot taak krijgt om informatie over dreigingen, kwetsbaarheden en incidenten niet alleen aan essentiële en belangrijke entiteiten, maar ook aan alle andere relevante partijen te verstrekken. Daarbij is de tussenkomst van schakelorganisaties niet meer vereist.

Vraag 6

Wanneer verwacht u de Kamer te kunnen informeren over de omstandigheden, de schade en de consequenties van de compromittatie van systemen van het Openbaar Ministerie (OM) middels kwetsbaarheden in Netscaler, welke volgens de media waarschijnlijk door een Russische cyber threat actor uitgevoerd is?4

Uw Kamer is hier reeds op verschillende momenten over geïnformeerd.6, 7, 8 Wat de exacte consequenties van de compromittatie zijn, is onderwerp van lopend onderzoek.

Vraag 7

Bent u voornemens om die betreffende cyberaanval op het OM, indien dit met voldoende betrouwbaarheid mogelijk is, publiekelijk te attribueren aan een cyber threat actor en/of een land, net zoals het kabinet reeds gedaan heeft met de attributie van de politiehack uit 2024 aan de Russische cyber threat actor LAUNDRY BEAR?

Zoals aangegeven in antwoord op vraag 3 heeft de digitale spionagedreiging de continue aandacht van dit kabinet. In lijn met de motie Erkens (36 410 X, nr. 46) is het de inzet van het kabinet om waar mogelijk cyberaanvallen en bijbehorende technische werkwijzen openbaar te maken. De wenselijkheid van het publiek attribueren aan een statelijke actor hangt af van een groot aantal factoren. De beoogde doelen en effecten van de publieke attributie, de technische afwegingen, diplomatieke gevolgen, eventuele gevolgen voor lopend onderzoek en het effect op de nationale veiligheid worden alle meegewogen bij besluitvorming over attributie. Ook worden gelijkgestemde partners, in het bijzonder EU-lidstaten en NAVO-bondgenoten, vooraf op de hoogte gesteld van een attributie.
Bovendien is het van belang het beoogde doel scherp te formuleren. Publieke attributie kan wat het kabinet betreft de volgende doelen dienen: het door middel van openbaarmaking van informatie verstoren van cyberoperaties, het beïnvloeden van het gedrag van kwaadwillende actoren, het informeren van internationale partners en bondgenoten en het informeren van overige derde landen die met een soortgelijke dreiging te maken hebben.
Bij deze besluitvorming zijn de Ministeries van Defensie, Justitie en Veiligheid (NCTV en NCSC), Buitenlandse Zaken, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), de Politie en het Openbaar Ministerie (OM) betrokken. Het uiteindelijke besluit over een attributie wordt door het kabinet, via de Raad Veiligheid en Inlichtingen, genomen.

Vraag 8

Heeft de Nederlandse overheid een algemeen publiekelijk attributiebeleid voor cyberaanvalscampagnes?

Zie antwoord vraag 7.

Vraag 9

Welk afwegingskader(s) hanteert de overheid voor het al dan niet publiekelijk attribueren van cyberaanvallen? Welk(e) bewindspersoon/-personen of welk(e) departement(en) is/zijn doorslaggevend in het besluit of dit publiekelijk gebeurt?

Zie antwoord vraag 7.

Vraag 10

Zal het feit dat, zoals in het DBSA 2025 wordt gesteld, «er steeds meer landen [lijken] te zijn die in Nederland willen spioneren, met name digitaal via offensieve cyberprogramma’s» van invloed zijn op het attributiebeleid of de uitvoeringspraktijk? Acht u het waarschijnlijk dat het kabinet in de komende jaren meer cyberaanvalscampagnes aan meer landen zal attribueren?

Zie antwoord vraag 7.

Vraag 11

Hoe en in welke mate wegen diplomatieke afbreukrisico’s mee in het al dan niet publiekelijk attribueren van een cyber threat actor aan een land?

Zie antwoord vraag 7.

Vraag 12

Heeft u een beeld van hoe de Cybersecurity Advisory over LAUNDRY BEAR inclusief mapping naar het MITRE ATT&CK framework over het algemeen ontvangen is bij de relevante partijen (Kamerstuk 29 628, nr. 1256)? Wordt een rapport als deze in de sector als behulpzaam beschouwd?

De Cybersecurity Advisory bevat handelingsperspectief voor publieke en private organisaties in Nederland, en wereldwijd, om hun weerbaarheid te verhogen en onderzoek mogelijk te maken naar deze cyberactor.
De relevante partijen hebben de Cybersecurity Advisory goed ontvangen. Zij zien dit rapport als behulpzaam en worden door de CSA in staat gesteld zelf onderzoek te doen.

Vraag 13

Voorziet u dat het kabinet in de toekomst vaker adviesrapporten van deze aard en omvang met classificatie TLP:CLEAR zal verstrekken? Wat zijn hierin de afwegingen?

Vraag 1

Zijn uw uitspraken in de uitzending van Goedenavond Nederland op maandag 14 juli jl.,1 over de afhankelijkheid van Amerikaanse techgiganten, representatief voor het kabinetsstandpunt?

Hoewel gechargeerd, is het zo dat de Europese cloudmarkt niet goed functioneert. Zie verder het antwoord op vraag 2.

Vraag 2

Wat bedoelde u precies met de uitspraak: «We hebben geen Europese cloudbedrijven»? In welke zin zit Nederland in een «hele ongemakkelijke positie tegenover de grote techbedrijven»?

Vier grote niet-Europese bedrijven domineren op dit moment wereldwijd de markt voor openbare cloudinfrastructuur2: Amazon, Microsoft, Google Cloud Platform en het Chinese Alibaba (vooral actief op de Chinese markt). De Nederlandse markt lijkt in grote lijnen op de Europese markt, met dominante posities voor met name de Amerikaanse aanbieders Amazon en Microsoft. Daarnaast zijn er nog een aantal andere Europese partijen actief, die relatief jong en klein zijn op de markt voor clouddiensten. De ACM verwacht dat de consolidatie in de markt voor clouddiensten verder doorzet als gevolg van onder meer schaalvoordelen en netwerkeffecten.3 Het is voor kleinere spelers moeilijk om effectief met grote geïntegreerde aanbieders te concurreren. Nederlandse bedrijven en consumenten zijn als afnemers van clouddiensten grotendeels afhankelijk van grote technologiebedrijven uit de VS. De toenemende consolidatie in combinatie met overstapdrempels (er is sprake van vendor lock-in) en gebrekkige dataportabiliteit en cloudinteroperabiliteit vergroten deze afhankelijkheid.

Vraag 3

Noopt de hele ongemakkelijke positie van Nederland tegenover de grote techbedrijven niet tot het nemen van maatregelen om op zo kort mogelijke termijn de afhankelijkheid af te bouwen?

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de in het vierde kwartaal verwachte Visie digitale autonomie en soevereiniteit overheid.
Het afbouwen van afhankelijkheden nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten voor de (rijks)overheid, conform de motie Kathmann.4
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Vraag 4

Kunt u bondig het kabinetsstandpunt over digitale autonomie toelichten? Op welke manier is het Ministerie van Justitie en Veiligheid verantwoordelijk voor het vergroten van de digitale autonomie?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Voor een overzicht van de verdere Nederlandse inzet op Europees niveau omtrent cloudsoevereiniteit verwijzen wij u graag door naar het recent gepubliceerde non-paper «Versterken van cloudsoevereiniteit van overheden».5
JenV is, net als andere departementen, medeverantwoordelijk voor de digitale autonomie en specifiek voor de digitale autonomie binnen het eigen verantwoordelijkheidsdomein.

Vraag 5

Wat is het kabinetsstandpunt over een Europese digitale taks voor Amerikaanse techbedrijven? Hoort dit wat u betreft tot de mogelijkheden voor een Europese reactie op de aangekondigde Amerikaanse importheffingen? Acht u dit in het belang van Nederland?

Op 21 augustus jl. hebben de EU en de VS een gemeenschappelijke verklaring met handelsafspraken gepubliceerd.6 In navolging daarvan heeft de EU de inwerkingtreding van de op 24 juli jl. vastgestelde rebalancerende maatregelen jegens de VS tot februari 2026 opgeschort.7 Voorlopig is van een Europese tegenmaatregel naar aanleiding van de verhoogde Amerikaanse importheffingen dus geen sprake. Tegelijkertijd valt het niet uit te sluiten dat de Europese rebalancerende maatregelen jegens de VS in de toekomst alsnog in werking treden of dat toekomstige ontwikkelingen aanleiding geven tot voorstellen voor nieuwe vormen van rebalancerende maatregelen. Het kabinet zal voorstellen daartoe te zijner tijd op hun eigen merites beoordelen.

Vraag 6

Kunt u toezeggen dat ook het Ministerie van Justitie en Veiligheid zich zal inspannen voor het vergroten van de digitale autonomie van Nederland, onder andere door zelf meer Europese alternatieve digitale diensten af te nemen, in lijn met alle aangenomen Kamermoties?2

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Zie verder het antwoord op vraag 3.

Vraag 7

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Er heeft departementale afstemming plaatsgevonden en zowel het Ministerie van Justitie en Veiligheid als het Ministerie van Binnenlandse zaken is akkoord met de beantwoording van deze vragen.

Vraag 1

Bent u bekend met het artikel «In de strijd tegen deepfakes krijgen Denen copyright op eigen gezicht en stem»?

Ja.

Vraag 2

Deelt u de opvatting van de stichting Stop Online Shaming dat de politie, justitie en de Autoriteit Persoonsgegevens «blijkbaar niet de capaciteit en prioriteit [hebben] om partijen en personen die dit uploaden en verspreiden aan te pakken»?

Het kabinet erkent de grote impact die bepaalde deepfakes en online misbruik hebben op slachtoffers. Effectieve handhaving en bescherming van slachtoffers zijn van groot belang. De beleidsreactie op het rapport «Online seksueel geweld» van 21 maart 20252 zal ik u in het najaar doen toekomen, hierin wordt onder meer gereflecteerd op de capaciteit en prioriteit van onder andere de politie, het OM, de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument en Markt (ACM) voor de problematiek rondom online misbruik.
Het is daarnaast belangrijk om te benoemen dat het in de praktijk helaas soms lastig is om effectief op te treden tegen deepfake porno, omdat aanbieders van deepfake-websites vaak niet transparant zijn over hun identiteit of hun vertegenwoordiging binnen de EU. Dit bemoeilijkt het vaststellen van de juiste verantwoordelijke partij en daarmee de handhaving. Ook blijkt dat wanneer de identiteit van deze partijen wel te achterhalen is, zij niet in Nederland, of zelfs niet in de EU, gevestigd zijn, wat handhaving bemoeilijkt.

Vraag 3

Wat vindt u ervan dat de stichting Stop Online Shaming geregeld zaken aanvoert bij grote techbedrijven, maar dat deze bedrijven weigeren mee te werken?

Grote techbedrijven hebben de verantwoordelijkheid om zich te houden aan geldende wet- en regelgeving en daarmee illegale inhoud tegen te gaan. Op grond van de Digitale Services Act (DSA) rust op zeer grote online platforms en zeer grote online zoekmachines de verantwoordelijkheid om illegale inhoud op hun diensten tegen te gaan en systeemrisico’s te mitigeren, onder meer door het voor gebruikers van de platforms mogelijk te maken om illegale inhoud op eenvoudige wijze te melden.
Zeer grote online platforms en zoekmachines zijn daarnaast verplicht jaarlijks een risicobeoordeling uit te voeren om systeemrisico’s, zoals schadelijke deepfakes, te identificeren. Indien relevante risico’s aanwezig zijn, dan moeten zij passende maatregelen nemen om deze te beperken, zoals aanpassingen in diensten, de interface, algemene voorwaarden, moderatieprocedures en/of algoritmes. Indien een platform systematisch nalaat om adequaat op meldingen te reageren, kunnen nationale toezichthouders of de Europese Commissie daarop handhaven, bijvoorbeeld door boetes op te leggen. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, een gerechtelijke procedure te starten.
Dat organisaties burgers vertegenwoordigen of ondersteunen, kan in het algemeen bijdragen aan de effectieve handhaving van gebruikersrechten onder de Digitaledienstenverordening (hierna: de DSA) en aan een betere rechtsbescherming in de digitale omgeving.

Vraag 4

Wat gaat u doen om ervoor te zorgen dat grote techbedrijven hun verantwoordelijkheid gaan nemen om mensen te beschermen tegen online grensoverschrijdend gedrag, zoals het verspreiden van pornografische deepfakes?

Het kabinet is zich bewust van de enorme impact die online grensoverschrijdend gedrag, zoals het verspreiden van pornografische deepfakes, kan hebben op slachtoffers. Zoals gemeld in mijn antwoord op vraag 3 beoogt de DSA de verspreiding van illegale inhoud en systeemrisico’s aan te pakken. Dat betreft vaak ook deepfake-pornobeelden, omdat die veelal illegaal zijn en dus onder toepassingsbereik van de DSA vallen.3 Onder meer de verantwoordelijke onafhankelijke toezichthouders kunnen optreden tegen bedrijven die bijdragen aan de creatie of verspreiding van dergelijk materiaal.
Daarnaast vindt er vanuit mijn departement en onder andere het Ministerie van Economische Zaken en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties regelmatig overleg plaats met techbedrijven. Om de brede dialoog over online content te ondersteunen, is in 2023 – onder neutraal voorzitterschap van ECP4 – een overlegplatform opgericht waarin publieke en private partijen uitdagingen en ontwikkelingen op het gebied online contentmoderatie uitwisselen. Daarnaast ondersteunt het Ministerie van Justitie en Veiligheid het meldpunt Helpwanted van stichting Offlimits, om het voor burgers eenvoudiger te maken om hulp te zoeken en melding te doen van illegale content met als doel om dit snel verwijderd te krijgen. Offlimits onderhoudt contacten met platformen en heeft op 15 juli jl. de status van betrouwbare flagger toegewezen gekregen door de ACM. Hiermee is haar rol in het signaleren en melden van illegale inhoud geformaliseerd onder de DSA.

Vraag 5

Welke juridische grondslag is er in Nederland om ongewenste deepfakes aan te pakken? In hoeverre is de bestaande auteursrechtwetgeving hiervoor geschikt?

Het Nederlandse recht biedt een breed scala aan instrumenten om ongewenste deepfakes aan te pakken, zowel civiel-, straf- als bestuursrechtelijk.5 Bij verwerking van persoonsgegevens in deepfakes, zoals gezichtskenmerken of stem, is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Zo verbiedt de AVG het maken en verspreiden – buiten de huiselijke sfeer – van deepfakes waarin persoonsgegevens zijn verwerkt zonder een verwerkingsgrondslag. In de praktijk is daardoor een deepfake die zonder toestemming is gemaakt, zeker als daarin gevoelige (bijvoorbeeld seksuele) content is te zien, strijdig met de AVG. De betrokkene kan een klacht indienen bij de AP wanneer het gaat om (deepfake)content waarbij onrechtmatig persoonsgegevens zijn verwerkt.
Het toepassen van deepfake-technologie kan onder omstandigheden een onrechtmatige daad vormen. Dit zal standaard het geval zijn bij publicatie van pornografische deepfakes die zonder toestemming zijn vervaardigd, maar kan bijvoorbeeld ook het geval zijn bij de imitatie van stemmen. Ook uit de regeling van het portretrecht in de Auteurswet volgt dat publicatie van een portret dat niet in opdracht is gemaakt (zoals bij deepfakes veelal het geval zal zijn) niet geoorloofd is als een redelijk belang van de geportretteerde zich tegen de openbaarmaking verzet (artikel 21 Auteurswet).
De DSA verplicht online platforms om het melden van illegale inhoud, zoals ongeoorloofde deepfakes, mogelijk te maken.6 Als zij vervolgens geen actie ondernemen op zulke meldingen dan kunnen zij er, mits aan de overige voorwaarden daarvoor is voldaan, zelf aansprakelijk voor worden gesteld. Als een platform structureel tekortschiet in de afhandeling van dit soort meldingen, kunnen daarnaast toezichthouders daar tegen optreden, bijvoorbeeld middels het opleggen van een boete. De DSA geeft gebruikers bovendien het recht om een klacht te kunnen indienen bij platformen, en in sommige gevallen kunnen gebruikers naar een onafhankelijke geschilbeslechtingscommissie om besluiten van platformen aan te vechten. Zoals toegelicht bij het antwoord op vraag 4, zijn zeer grote online platformen en zeer grote online zoekmachines op grond van de DSA verder verplicht om de systeemrisico’s die kunnen voortvloeien uit de verspreiding van kunstmatig gegenereerde of gemanipuleerde content, zoals deepfakes, te identificeren en te beperken. De transparantieverplichtingen uit de AI-verordening7 vereenvoudigen de opsporing van dergelijke, kunstmatig gegenereerde, content en het AI-systeem daarachter.
Het strafrecht, met onder meer artikel 254ba Sr (Wet seksuele misdrijven, in werking getreden per 1 juli 2024), stelt het zonder instemming maken of verspreiden van seksueel beeldmateriaal strafbaar, ongeacht of dit door een persoon of AI is vervaardigd. Ook andere strafrechtelijke bepalingen, zoals doxing (art. 285d Sr) en smaad/laster (art. 261 Sr), kunnen van toepassing zijn.

Vraag 6

Gaat u naar Deens voorbeeld het auteursrecht uitbreiden door mensen copyright te geven op hun uiterlijk en stem, en grote techbedrijven aansprakelijk stellen voor het weghalen van ongewenste deepfakes?

Het Nederlandse recht biedt voldoende mogelijkheden voor juridische (civiele) vervolgstappen, strafrechtelijke vervolging en bestuursrechtelijke handhaving. Eerder werd door mijn ambtsvoorganger en de toenmalig Minister voor Rechtsbescherming naar aanleiding van de uitkomst van onderzoeken van het WODC geconstateerd dat het wettelijk kader voldoende mogelijkheden biedt om het onwenselijke gebruik van deepfaketechnologie te adresseren.8 Zoals hiervoor genoemd kunnen online platforms onder voorwaarden al aansprakelijk worden gesteld als zij geen medewerking verlenen aan het verwijderen van illegale content.
Recentelijk werd voor wat betreft pornografische deepfakes in het eerder genoemde rapport «Online seksueel geweld» geconcludeerd dat het bestrijden van online seksueel misbruik niet wordt belemmerd door een gebrek aan regelgeving.9 Hier komt bij dat het auteursrecht in de kern bedoeld is om de maker van een werk van letterkunde, wetenschap of kunst in staat te stellen het werk te (laten) exploiteren. Introductie van een auteursrecht op iets dat op zichzelf beschouwd geen creatieve prestatie is (een stem of beeltenis) en dat tot doel heeft openbaarmaking te voorkomen, staat daar haaks op. De Staatssecretaris van Justitie en Veiligheid ziet dan ook geen aanleiding om over te gaan tot aanpassing van wetgeving.

Vraag 1

Hebt u kennisgenomen van de nieuwe cijfers van LADIS1 en de reactie van Verslavingskunde Nederland en de Nederlandse ggz? Wat is in algemene zin uw reactie hierop?

Ja, ik heb kennisgenomen van de nieuwe cijfers van het Landelijk Alcohol en Drugs Informatie Systeem (LADIS) en de reactie van Verslavingskunde Nederland en de Nederlandse ggz.2 Deze nieuwe cijfers vind ik zorgelijk. Het aantal mensen in behandeling voor kansspelverslaving is in 2024 verder gestegen en 18 procent van de personen in behandeling is onder de 25 jaar. Daar waar mensen aangeven waar ze gokken, blijkt dat de toename van de instroom met name online gokken betreft. 44 procent van de personen met gokproblematiek wordt voor het eerst behandeld in de verslavingszorg. Ook andere recente onderzoeken duiden op zorgelijke trends, zoals de resultaten van het WODC-onderzoek «Deelname aan kansspelen in Nederland» dat de voormalig Staatssecretaris Rechtsbescherming op 3 juli jongstleden met uw Kamer heeft gedeeld.3 Dit onderzoek laat een toename zien van het aantal minderjarigen en jongvolwassen dat deelneemt aan online kansspelen en risicovol of problematisch gedrag vertoont.
Bovengenoemde cijfers onderstrepen hoe belangrijk het is om in te zetten op het voorkomen van gokgerelateerde schade, zoals is aangegeven in de visie op het kansspelbeleid, die op 14 februari jongstleden aan uw Kamer is gestuurd.4 In deze brief zijn ook maatregelen aangekondigd om de Wet kansspelen op afstand (Wet koa) te herzien. De nieuwe visie kent als belangrijkste doelstelling het beschermen van burgers tegen schade door gokken, met specifieke aandacht voor jongvolwassenen en minderjarigen. De aangekondigde maatregelen hebben onder andere betrekking op het verhogen van de minimumleeftijd voor deelname aan de meest risicovolle kansspelen naar 21 jaar, het aanscherpen van de zorgplicht van aanbieders, het inrichten van een verdergaand verbod op reclame voor online gokken en een overkoepelend stortingslimiet voor online gokken. Daarnaast wordt ingezet op intensieve bestrijding van het illegale aanbod en deelname daaraan.
De afgelopen periode heeft de voormalig Staatssecretaris Rechtsbescherming naast de aangekondigde wetswijziging diverse maatregelen genomen om spelers beter te beschermen. Denk aan het Besluit ongerichte reclame kansspelen op afstand (Besluit orka), de Regeling speellimieten en bewuster speelgedrag (Regeling sbs) en de Beleidsregel Verantwoord Spelen 2024 van de Kansspelautoriteit (Ksa). In de brief van 3 juli jongstleden is uw Kamer tevens geïnformeerd over het concretiseren en aanscherpen van de zorgplicht van online kansspelaanbieders en de effectmeting door de Ksa van de regels met betrekking tot spelersbescherming die in oktober 2024 van kracht zijn geworden.5 Daarnaast wordt ingezet op preventieve maatregelen, zoals gerichte bewustwordingsactiviteiten om met name jongvolwassenen bewust te maken van de risico’s van gokken. Doorgaans duurt het een aantal jaar voordat mensen met een verslaving terechtkomen in de zorg. Dat betekent helaas ook dat het waarschijnlijk een aantal jaar zal duren voordat we kunnen verwachten de effecten van maatregelen tegen gokverslaving terug te zien in de verslavingscijfers in LADIS.

Vraag 2

Bent u ook geschrokken van het feit dat het aantal mensen dat zich met gokproblematiek meldt om hulp, blijft stijgen? Wat vindt u ervan dat 44% van deze groep voor het eerst in behandeling komt, wat aantoont dat er een geheel nieuwe groep is ontstaan met gokproblemen, in het bijzonder jongeren?

Zie antwoord vraag 1.

Vraag 3

Bent u het ermee eens dat deze gigantische toename van gokverslaafden extra schrijnend is, omdat er nog steeds geen wettelijk verbod op (online)gokreclames is? Bent u bereid hier zo snel mogelijk verandering in te brengen? Wat is de kortst mogelijke termijn waarop u de benodigde wetgeving aan de Kamer kunt voorleggen en wilt u dit toezeggen?

Zoals aangegeven in de beantwoording van vragen één en twee, vind ik de toename van mensen in behandeling voor kansspelverslaving zorgelijk. Met het Besluit orka dat op 1 juli 2023 in werking is getreden, is de reclame voor online kansspelen sterk beperkt. Er geldt een verbod op het maken van reclames voor online kansspelen op tv, op de radio en in de publieke ruimte. Onder strikte voorwaarden is het nog mogelijk om gericht reclame te maken op internet. Per 1 juli jongstleden is het laatste deel van het Besluit orka in werking getreden, namelijk het verbod op sponsoring van de sport door online aanbieders.
Momenteel wordt gewerkt aan een verdergaand verbod op reclame voor online kansspelen dat onderdeel is van de aangekondigde maatregelen om de Wet koa te herzien. Dit betekent aanpassing van de reclameregels en reclame beperken tot het strikt noodzakelijke, met als uitgangspunt «verboden, tenzij». Zoals aangegeven in de brief van 14 februari jongstleden worden eind dit jaar de contouren van mijn voorstellen met uw Kamer gedeeld. Het streven is om het betreffende wetsvoorstel in 2026 in consultatie te brengen. Dit is de kortst mogelijke termijn om de benodigde wetgeving aan de Kamer voor te leggen. Dit in verband met de nog lopende onderzoeken die benodigd zijn voor onderdelen van het wetsontwerp en de onderliggende beleidskeuzes, het doorlopen van het beleidskompas en verschillende toetsen die moeten plaatsvinden.

Vraag 4

Bent u in het verlengde hiervan bereid om de minimumleeftijd voor gokken te verhogen, juist nu de cijfers laten zien dat een aanzienlijk deel van de nieuwe gokverslaafden jongeren betreft?

Het beschermen van minderjarigen en jongvolwassenen tegen schade door gokken is een speerpunt van het kansspelbeleid. Een van de maatregelen zoals aangekondigd in de brief van 14 februari jongstleden betreft daarom een verhoging van de minimumleeftijd voor de meest risicovolle kansspelen naar 21 jaar.

Vraag 5

Bent u met oog op de onthutsende cijfers uit de eerdere vragen bereid om de aangekondigde beleidsmaatregelen om de wet Kansspelen op afstand te herzien, te versnellen? Wanneer kan de Kamer deze tegemoetzien?

Zoals tevens aangegeven in mijn antwoord op vraag drie kan het betreffende wetsvoorstel niet eerder dan in 2026 in consultatie gebracht worden. Voor alle genoemde maatregelen geldt dat deze vragen om een gedegen probleemanalyse en onderbouwing. Dat is nodig om te bewerkstelligen dat de gekozen oplossingen op proportionele wijze zullen bijdragen aan de beleidsdoelstellingen. Op dit moment lopen de onderzoeken die benodigd zijn voor afronding van de beleidskompassen.

Vraag 6

Zou het naar uw inschatting niet veel beter zijn om gokken categorisch te verbieden, om zo jongeren en andere kwetsbare groepen echt te beschermen?

De bescherming van burgers tegen schade door gokken, in het bijzonder jongeren en andere kwetsbare groepen, staat voor mij voorop. Dit vraagt juist om regulering van gokken. Legaal aanbod is nodig om mensen die willen deelnemen aan kansspelen te kunnen beschermen. Bij illegaal aanbod zijn er geen waarborgen voor bescherming. Zonder legaal aanbod is alleen illegaal aanbod beschikbaar. Het is niet realistisch dat met meer handhaving illegaal aanbod en deelname daaraan volledig kan worden bestreden.

Vraag 7

Welke maatregelen gaat u treffen om de zorgwekkende ontwikkelingen rond drugsverslaving uit het rapport te keren?

Voorop staat dat verslaving zoveel mogelijk moet worden voorkomen door inzet op preventie van het gebruik van drugs en vroegsignalering. Op deze terreinen bestaat een divers aanbod aan effectieve en doelgroepgerichte maatregelen. De Staatssecretaris Jeugd, Preventie en Sport is verantwoordelijk voor deze maatregelen. De Staatssecretaris zet zich daarbij vooral in op het voorkomen van drugsgebruik onder jongeren. Ik verwijs hierbij naar de brief over drugsbeleid die recent aan uw Kamer is gestuurd.6
Met de recent gelanceerde Samenhangende preventiestrategie zet het kabinet preventie meer centraal. De preventiestrategie bevat concrete acties en maatregelen om ziekte en zorg te voorkomen en daarbij toe te werken naar een gezonde generatie in 2040. Drugsgebruik is een van de 11 preventiethema’s waarvoor concrete ambities (voor 2028 en 2040) en acties zijn opgenomen.
Naast preventie en het in een vroeg stadium signaleren van problematisch gebruik, is het belangrijk dat mensen met een verslaving goede en passende zorg krijgen. We hebben hiervoor in Nederland kwalitatief goede verslavingszorg. Om mensen tijdig toe te geleiden naar de juiste hulp en ondersteuning is een belangrijke rol weggelegd voor bijvoorbeeld de huisarts en de praktijkondersteuner GGZ. Ook is er steeds meer aanbod van e-health interventies en zelfhulpgroepen.
Veel mensen met een verslaving hebben onderliggende problematiek of kwetsbaarheden, zoals een psychische aandoening, verstandelijke beperking, dakloosheid, schuldenproblematiek of een detentieverleden. Het komt regelmatig voor dat mensen met complexe (multi-)problematiek lang moeten wachten op zorg of niet in zorg komen. Oorzaken hiervan zijn onder andere exclusiecriteria die door aanbieders gehanteerd worden. In het Aanvullend Zorg- en Welzijnsakkoord (AZWA) zijn met de sector afspraken gemaakt deze exclusiecriteria te schrappen, tenzij dit om zorginhoudelijke redenen niet kan. Dit moet ertoe leiden dat mensen sneller in zorg komen, ook als er sprake van multiproblematiek, zoals verslaving en psychische/psychiatrische problematiek.

Vraag 8

Wat zegt het u dat men in de verslavingszorg een toename ziet van behandelingen voor nieuwe middelen als 3-MMC en ketamine? Wat gaat u doen om juist ook de aanwezigheid van deze middelen aan te pakken, om zo te voorkomen dat deze zorgelijke trend zich doorzet?

De stijging van het aandeel 3-MMC en ketamine in de verslavingszorg is een zorgelijke ontwikkeling. Het is goed dat er ook voor deze middelenverslavingen een goed en toegankelijk aanbod van behandelingen is. Daarnaast willen we het gebruik van deze middelen zoveel mogelijk voorkomen. Specifiek voor het gebruik van designerdrugs (zoals afgeleiden van het al verboden 3-MMC) is het van belang dat de nieuwe wet gericht op verbieden van groepen Nieuwe Psychoactieve Stoffen (NPS) per 1 juli. in werking is getreden. Doordat deze designerdrugs nog legaal waren, kregen gebruikers onterecht de indruk dat ze niet schadelijk of verslavend zijn. Daarom vindt de overheid een verbod nodig. Daarnaast wordt ingezet op preventie en voorlichting gericht op de doelgroep, bijvoorbeeld via sociale media.
De zorgen over recreatief gebruik van ketamine worden gedeeld. Daarom is aan het Coördinatiepunt Assessment en Monitoring nieuwe drugs (CAM) gevraagd om een risicobeoordeling op ketamine uit te voeren en hierover te adviseren, ook over een eventueel verbod op één van de Opiumwetlijsten.

Vraag 9

Wat zegt het u dat uit het rapport blijkt dat cannabis met 39% de op één na meest voorkomende problematiek is in de verslavingszorg onder jongeren onder de 25 jaar?

Uit de meest recente cijfers van het LADIS blijkt dat cannabis onder jongeren tot 25 jaar, met een aandeel van 39%, de meest voorkomende problematiek is in de verslavingszorg.7 Het aandeel jongeren neemt wel af, maar dit blijft verontrustend.
Het gebruik van cannabis op jonge leeftijd kan nadelige effecten hebben op de ontwikkeling van het brein. De hersenen zijn in de adolescentie en vroege volwassenheid nog volop in ontwikkeling. Cannabisgebruik op jonge leeftijd wordt geassocieerd met een verhoogde kans op concentratieproblemen, angstklachten en een verminderde school- of werkprestatie.8 Problematisch gebruik hangt bovendien vaak samen met bredere problematiek op andere leefgebieden.9
Deze cijfers onderstrepen het belang van preventie.
Er bestaan verschillende interventies gericht op jongeren, zoals de in mei gelanceerde Drug Check-up, die jongeren en jongvolwassenen op een laagdrempelige manier inzicht biedt in hun middelengebruik, en de ICan-app, die ondersteuning biedt aan jongeren die zelfstandig willen minderen of stoppen met cannabisgebruik.10 Ook het programma Helder op School draagt via het voortgezet onderwijs en middelbaar beroepsonderwijs bij aan structurele preventie gericht op alcohol, drugs, roken en gamen.11 Professionals in zorg, onderwijs en het sociaal domein kunnen daarnaast gebruikmaken van het programma Open en Alert, dat hen ondersteunt bij het signaleren van middelengebruik en het tijdig toeleiden naar hulp.12
De Nationaal Rapporteur Verslavingen (NRV) zet zich ook in op het terrein van preventie van verslaving en heeft het initiatief genomen om samen met een groot aantal andere partijen tot een integrale richtlijn verslavingspreventie te komen. De richtlijn wordt eind 2026 verwacht.

Vraag 10

Wat zijn – los van alle andere lichamelijke, psychische, materiële en immateriële schade – de kosten voor de cannabisgerelateerde verslavingszorg? Is het in het licht van al die kosten en negatieve effecten niet gek dat de staat cannabis gedoogt en zelfs stimuleert met het «wietexperiment»? Bent u het ermee eens dat we dit beter zo snel als mogelijk terug kunnen draaien?

Er zijn geen afzonderlijke landelijke cijfers beschikbaar over de kosten van cannabisgerelateerde verslavingszorg. Binnen de bekostiging van de geestelijke gezondheidszorg worden de kosten doorgaans niet uitgesplitst naar specifieke middelen zoals cannabis. Wel is bekend dat van de mensen die in de verslavingszorg zitten, het grootste gedeelte hulp krijgt voor alcoholgerelateerde problematiek (44%), terwijl 15% hulp krijgt vanwege cannabisgerelateerde problematiek.13 Verder is bekend dat in 2019 de totale uitgaven aan zorg voor verslaving aan alcohol en drugs gezamenlijk 1.091 miljard euro bedroegen. Dit kwam neer op 1,13% van de totale zorguitgaven in Nederland. Van deze uitgaven ging bijna 90% naar de geestelijke gezondheidszorg (979 miljoen euro). De overige uitgaven betroffen de ziekenhuiszorg (26,6 miljoen euro; 2,4%) en de openbare gezondheidszorg (13,9 miljoen euro; 1,3%).14
Het Experiment gesloten coffeeshopketen onderzoekt of het mogelijk is een gesloten en gereguleerde cannabisketen te realiseren in tien gemeenten. De gereguleerde cannabis wordt verkocht in coffeeshops in die gemeenten. Het is dus niet zo dat het aanbod van cannabis wordt verruimd met het experiment, de toevoer van cannabis naar die steden wordt enkel gereguleerd. Bovendien is er binnen het experiment extra aandacht voor preventie en vroegsignalering.

Vraag 1

Heeft u kennisgenomen van de mogelijkheid om voor aanstaande vrijdag 17 uur interesse aan te geven bij de Europese Unie voor een AI-gigafabriek?1

Ja.

Vraag 2

Bent u voornemens om uw interesse voor een AI-gigafabriek tijdig kenbaar te maken aan de EU?

Het demissionair kabinet ziet het belang om in de Europese Unie (EU) publiek en privaat te investeren in AI-infrastructuur, waarbij de AI-Gigafabrieken een belangrijk initiatief is. Het Ministerie van Economische Zaken heeft daarom samen met het Ministerie van Onderwijs, Cultuur en Wetenschap en de RVO een Nederlandse interessepeiling en bijeenkomst georganiseerd. Hieruit blijkt Nederlandse interesse. De Nederlandse bedrijven met een hoofdkantoor in de EU en andere organisaties kunnen zelfstandig reageren op de Europese Call for Expression of Interest die 20 juni sluit. Het gaat hier om een eerste uitvraag naar mogelijke interesse in Europa. Via een brief aan de Europese Commissie zal het Ministerie van Economische Zaken vervolgens op korte termijn het belang van AI-Gigafabrieken en de Nederlandse interesse ondersteunen. In deze brief zal worden verwezen naar de meest concrete initiatieven die bekend zijn bij het ministerie. Het demissionaire kabinet reageert daarmee niet zelf op de formele Call for Expression of Interest, maar ondersteunt wel de Nederlandse interesse. De Europese Commissie zal de reacties gebruiken voor verdere gesprekken in de komende maanden om te komen tot kansrijke initiatieven. De officiële call voor AI-Gigafabrieken wordt eind dit jaar verwacht. Ik blijf in gesprek met de Europese Commissie en de EuroHPC Joint Undertaking over de verdere uitwerking van dit initiatief en de Nederlandse belangen daarin.

Vraag 3

Ervan uitgaande dat het gaat om een cofinancieringstraject met de EU, zijn daar middelen voor beschikbaar, (ook) vanuit Nij Begun (mits een dergelijke fabriek in Groningen zou kunnen komen)?

Voor een AI-Gigafabriek zijn momenteel geen financiële middelen gereserveerd in de begroting. Voor de AI-faciliteit in Groningen (geen AI-Gigafabriek) wordt op dit moment nog gewerkt aan het verkrijgen van een Rijksbijdrage, aanvullend op de regionale bijdrage vanuit Nij Begun, zodat uiterlijk 30 juni een voorstel kan worden ingediend voor Europese cofinanciering.

Vraag 4

Wat is de stand van zaken van de (cofinancierings-)aanvraag voor een «gewone» AI-fabriek voor Groningen, met (een bijdrage uit) de middelen voor Nij Begun? Klopt het dat deze aanvraag uiterlijk eind juni gedaan moet zijn, vergezeld van een reservering van de benodigde nationale middelen? Bent u voornemens deze aanvraag te doen, of heeft u deze aanvraag gedaan?

Het klopt dat uiterlijk 30 juni een voorstel ingediend moet worden om aanspraak te maken op Europese cofinanciering. Een voorwaarde voor indiening is dat de benodigde nationale middelen zijn gereserveerd. Er wordt onderzocht of er door herprioritering ruimte beschikbaar gemaakt kan worden binnen de begrotingen van betrokken departementen om een voorstel in te dienen.

Vraag 5

Kunt u deze vragen uiterlijk donderdag 19 juni 2025 beantwoorden (gezien de deadline van aanstaande vrijdag 17.00 uur)?

Ja.

Vraag 1

Bent u bekend met het bericht «Demissionair de cloud in denderen: doe het niet»?1

Ja.

Vraag 2

Wat geeft de rijksoverheid in totaal uit aan Microsoft-producten?2

In het notaoverleg «Wolken aan de horizon» d.d. 2 juni jl. is reeds toegezegd aan de Tweede Kamer een overzicht te bieden van de gecontracteerde hoeveelheid aanbestedingen die uiteindelijk door de ministeries via SLM Rijk goedgekeurd zijn. Dit onderzoek loopt.

Vraag 3

Wanneer moeten alle departementen en overheidsorganisaties uiterlijk besluiten of zij wel of niet hun mailverkeer en gegevens in eigen beheer gaan nemen als de ondersteuning van Microsoft Exchange afloopt op 14 oktober 2025?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
Hoewel de technische ondersteuning van bepaalde versies van Exchange stopt op 14 oktober 2025, heeft de leverancier al een nieuwere on-premise versie gelanceerd die wel ondersteund wordt.3
Feitelijk is de situatie dat alleen voor Microsoft Exchange 2016 en Microsoft Exchange 2019 vanaf 14 oktober 2025 geen support of beveiligingsupdates meer geleverd worden.
Ook zonder de door de leverancier aanbevolen upgrade door te voeren, zal de maildienst niet per 14 oktober ophouden met functioneren en gaat de maildienst ook niet automatisch uit eigen beheer. Voor blijvend betrouwbaar functioneren van de maildienst is een upgrade door Microsoft beschikbaar gesteld. Deze is bekend bij de dienstverleners van de Rijksoverheid.

Vraag 4

Heeft de demissionaire status van het kabinet gevolgen voor besluitvorming van departementen over het wel of niet in beheer nemen van mailverkeer en gegevens?

Lopend beleid mag ten tijde van een demissionair kabinet worden uitgevoerd. Er zijn op dit moment bovendien geen zaken op digitaal terrein controversieel verklaard.

Vraag 5

Welke departementen en organisaties zijn nu van plan om mailverkeer en gegevens in eigen beheer te nemen, welke hebben besloten dit niet te doen en welke moeten het besluit nog nemen?

Ten behoeve van de beantwoording van deze vraag is een uitvraag bij de grootste ICT-dienstverleners van de Rijksoverheid gedaan. Voor alle departementen geldt dat beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaatsvindt, behoudens de Ministeries van Economische Zaken (EZ), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Klimaat en Groene Groei (KGG), waar -ook na 14 oktober- sprake is van een hybride situatie.
Ook bij een groot aantal uitvoeringsorganisaties als DUO, Rijkswaterstaat en Dienst Justitiële Inrichtingen vindt beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaats. Dit geldt ook voor de Belastingdienst, Toeslagen en de Douane. Wel heeft de Belastingdienst in het Jaarplan 2025, dat uw Kamer op 11 december 2024 heeft ontvangen, aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.

Vraag 6

Kunt u, in het licht van de recente sancties richting het Internationaal Strafhof, aangeven of mailverkeer en gegevens binnen de justitiële keten in Nederland vanaf 14 oktober 2025 in eigen beheer blijven?3

Het kabinet is zich ervan bewust dat afhankelijkheid van een klein aantal techaanbieders voor digitale diensten zorgt voor risico's op het vlak van o.a. concurrentiepositie, digitale open strategische autonomie en continuïteit van dienstverlening. Om deze risico’s te mitigeren wordt in het kader van onder meer de vernieuwing van het cloudbeleid voor de (rijks)overheid gekeken naar mogelijkheden om cloudtechnologie op verantwoorde wijze in te zetten.
Ook binnen de Justitiële keten bestaat aandacht voor deze risico’s en maken organisaties in overleg met hun ICT-leverancier passende keuzes om deze te mitigeren. Zo wordt bij de Hoge Raad de email verzonden, ontvangen en opgeslagen op servers die in eigen beheer zijn en verbiedt het cloudbeleid van de rechtspraak het gebruik van de cloud voor primaire processystemen. Voor de bedrijfsvoering maakt de Rechtspraak gebruik van Microsoft Exchange Online.
De Amerikaanse sancties tegen het Internationaal Strafhof zijn een specifieke maatregel voor een specifieke situatie en hebben geen inhoudelijke koppeling met onze nationale ICT-infrastructuur.

Vraag 7

Wat zijn de politie, het Openbaar Ministerie, de Raad voor de Rechtspraak en de Hoge Raad van plan te doen vanaf 14 oktober 2025? Worden deze organisaties eveneens kwetsbaar voor Amerikaanse sancties?

Zie antwoord vraag 6.

Vraag 8

Kunt u bevestigen dat het Shared Service Center ICT (SSC-ICT) de migratie van 57.000 werkplekken van ambtenaren naar de Microsoft-cloud definitief niet doorzet en mailverkeer en gegevens zelf blijft beheren?

U bent per Kamerbrief reeds geïnformeerd over de geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland, waaronder de migratie van de werkplekken van SSC-ICT.5

Vraag 9

Bent u bereid om, in lijn met de vele aangenomen Kamermoties die de digitale soevereiniteit van de overheid aanjagen, ervoor te zorgen dat alle departementen en overheidsorganisaties het goede voorbeeld van SSC-ICT volgen en gegevens in eigen beheer houden?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.

Vraag 10

Kunt u toezeggen dat u en uw collega’s geen onomkeerbare stappen zullen zetten die de digitale afhankelijkheid van de Verenigde Staten (VS) doen toenemen, tenzij de Kamer anders besluit?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd moeten we als EU zelf meer verantwoordelijkheid nemen en ook eensgezind optrekken waar het onze kernbelangen betreft. Ik ben het wel met u eens dat een te grote afhankelijkheid van één of een enkele marktpartij(en) ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet ik mij deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten. Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldige afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit Overheid.

Vraag 11

Bent u bereid om departementen en organisaties te helpen om mailverkeer en gegevens in eigen beheer te houden vanaf 14 oktober 2025, zodat de strategische afhankelijkheid van de VS niet groeit?

Zie de beantwoording van vraag 10. Voor het overgrote deel van de departementen en organisaties geldt dat zij dit al in eigen beheer hebben. De afweging om dit wel of niet zo te houden, is een departementale verantwoordelijkheid. De departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. CIO Rijk faciliteert het uitvoeren van goede risicoanalyses met beleid en handreikingen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en minstens één week voor het zomerreces beantwoorden?

De Kamervragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1 Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat het UWV en de SVB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Ja. SZW (inclusief de Nederlandse Arbeidsinspectie), UWV en de SVB volgen de geopolitieke ontwikkelingen en de reacties vanuit de Tweede Kamer en de demissionair Minister van Binnenlandse Zaken en Koninkrijksrelaties nauwgezet. De herziening van het rijksbreed cloudbeleid zal leiden tot een herziening van het eigen cloudbeleid. Aan de hand van het herziene beleid worden de keuzes voor digitale middelen geëvalueerd. Voor de UWV en SVB geldt dat zij niet vallen onder het rijkscloudbeleid, maar wel de belangrijke elementen uit het rijkscloudbeleid overnemen in hun eigen cloudbeleid.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Voor SZW geldt dat er geen processen, registers, (mail)communicatiediensten en/of organisatieonderdelen zijn ondergebracht in de public cloud van Amerikaanse dienstverleners. SZW maakt wel gebruik van een aantal softwareleveranciers die applicaties als SaaS (Software as a Service) oplossing leveren en daarbij gebruik maken van Amerikaanse clouddienstverleners. Dit betreft diverse nuttige tools, websites en een tiental toepassingen ter ondersteuning van processen voor de primaire taak van de organisatie. Verder maakt SZW gebruik van de rijkswerkplek, inclusief communicatiediensten, die door SSC-ICT (BZK) wordt geleverd.
UWV maakt gebruik van dienstverlening van Microsoft volgens de afspraken van SLM (Strategisch Leveranciersmanagement) Microsoft Rijk voor kantoorautomatisering. Daarnaast wordt er voor enkele niet-primaire processen gebruik gemaakt van ondersteunende software van een Amerikaanse leverancier.
De SVB gebruikt in beperkte mate clouddiensten voor primaire processen waar het risicoprofiel dat toestaat. Voor de secundaire processen wordt gebruik gemaakt van clouddiensten voor publicatieprocessen, communicatiediensten, samenwerkingsprocessen, datawarehouse-/ business intelligenceprocessen, en IT-systeemontwikkelprocessen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
SZW heeft geen geplande of voorgenomen migratie naar clouddiensten van Amerikaanse dienstverleners, zoals ook gecommuniceerd in de kamerbrief van november vorig jaar.
UWV maakt gebruik van verschillende Microsoft clouddiensten, waarbij een traject richting het gebruik van een vernieuwd CRM (Customer Relationship Management)-systeem voor toepassing binnen de dienstverlening van UWV zich in implementatie bevindt. Ook heeft UWV onlangs een aanbesteding voor een nieuwe ERP (Enterprise Resource Planning)-systeem gepubliceerd. Cloudgebruik vormt hierin een belangrijk uitgangspunt.
De SVB voorziet op dit moment geen grootschalige nieuwe migraties naar clouddiensten van Amerikaanse dienstverleners. Wel wordt op dit moment ingezet op Azure cloud voor de uitwijkvoorziening voor de kleine regeling van Verzetsstrijders en oorlogsslachtoffers (V&O). Er wordt daarnaast voortgebouwd op het bestaande gebruik van Microsoft 365 en Azure, binnen de kaders van het centrale Rijkscontract. Hiertoe is de SVB genoodzaakt omdat er geen alternatieven in infrastructuur zijn.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Voor SZW geldt dat de gevolgen van eventuele uitval van de dienstverlening hoogstwaarschijnlijk te ondervangen is door een andere werkwijze waarbij de impact voor de burgers en samenleving klein is. Ook is binnen SZW een programma digitale weerbaarheid gestart om dergelijke risico’s verder te mitigeren.
UWV is voor de continuïteit van zijn dienstverlening afhankelijk van IT-dienstverleners. Om mogelijke problemen te ondervangen zijn in het kader van Business Continuity Management samen met SZW, ketenpartners en leveranciers crisisplannen opgesteld om essentiële bedrijfsprocessen te blijven uitvoeren, ondanks externe afhankelijkheden. In het licht van de toegenomen aandacht voor digitale weerbaarheid heeft UWV zijn inzet op Business Continuity Management geïntensiveerd.
Voor de SVB geldt dat de informatiesystemen voor de uitvoering van de verschillende wetten en regelingen zelf niet in de publieke cloud draaien, met uitzondering van de kleinschalige regeling V&O. Een abrupte ontzegging van toegang tot Amerikaanse clouddiensten raakt wel essentiële ondersteunende processen zoals e-mail, samenwerking (via Teams), documentuitwisseling, ontwikkelomgevingen, web portalen en securitymonitoring en leidt daarmee tot verstoring in de dienstverlening. Bovendien wordt een deel van de communicatiestructuur getroffen. De huidige regelingen worden met het kernsysteem buiten de cloud uitgevoerd.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
SZW volgt het rijkscloudbeleid, waarin altijd een risicoafweging wordt gemaakt. Op dit moment is geen sprake van opslag van bijzondere persoonsgegevens in de public cloud van Amerikaanse dienstverleners buiten de Europese Economische Ruimte (EER).
Ook UWV volgt, hoewel niet verplicht voor zbo’s, het Rijksbrede cloudbeleid en bijbehorende voorwaarden met bijbehorende risicoafweging voor gebruik van clouddiensten. Opslag en verwerking van persoonsgegevens vindt plaats conform geldende privacy-vereisten uit de Algemene verordening gegevensbescherming (AVG). UWV hanteert binnen het primaire proces als beleidsuitgangspunt dat persoonsgegevens in zaakdossiers verwerkt worden. Op dit moment worden voor zover UWV bekend zaakdossiers enkel binnen de EER verwerkt.
De SVB is zich bewust van de risico’s die voortvloeien uit Amerikaanse wetgeving. Daarom worden binnen publieke clouddiensten van Amerikaanse aanbieders géén bijzondere persoonsgegevens verwerkt. Bij het gebruik van Azure kiest de SVB expliciet voor datacenters binnen de EU, conform het principe van datalokalisatie. De continuïteit van de dienstverlening is maatschappelijk relevant, wat aanleiding is voor zorgvuldige inzet van digitale infrastructuur en leveranciersbinding.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
SZW, UWV en de SVB kijken heel zorgvuldig naar de risico’s, en hebben geen migraties stopgezet of heroverwogen naar aanleiding van de motie.

Vraag 8

Hoe geven uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

SZW, UWV en de SVB volgen de geopolitieke ontwikkelingen en de reacties vanuit de Tweede Kamer en de demissionair Minister van BZK nauwgezet. Dit zal leiden tot een herziening van het rijkscloudbeleid en daarmee ook aanscherping van het eigen cloudbeleid van SZW, UWV en de SVB en strikte toetsing op elke voorgenomen uitbreiding.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.
Bij het antwoord op vraag 5 zijn de overwegingen uiteengezet. SZW volgt het herziene rijksbrede cloudbeleid.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon»5 van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1

Ja.

Vraag 2

Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 3

Kunt u bevestigen dat Dienst Uitvoering Onderwijs (DUO), die Business News Radio (BNR) met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Het Ministerie van OCW volgt de ontwikkelingen en de reacties vanuit de Tweede Kamer, de Staatssecretaris Digitalisering (BZK) en CIO Rijk nauwgezet. Dit zal leiden tot een herziening van het Rijkscloudbeleid en het OCW Cloudbeleid wat na de zomer wordt verwacht. Het OCW Cloudbeleid is een afgeleide van het Rijkscloudbeleid en vertaalt dit beleid naar de OCW specifieke situatie. Aan de hand daarvan zal OCW de keuzes die OCW (inclusief DUO) heeft gemaakt en nog gaat maken evalueren/heroverwegen.

Vraag 4

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen, die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Binnen het Ministerie van OCW zijn geen primaire processen of registers ondergebracht in de cloud van Amerikaanse dienstverleners. Wel is de werkplek van OCW afhankelijk van Amerikaanse producten. Overheidsdata die met behulp van Amerikaanse producten, zoals die van Microsoft, worden geproduceerd, zijn voornamelijk in de eigen OCW-infrastructuur opgeslagen. OCW heeft de keus voor de Amerikaanse producten destijds zorgvuldig afgewogen tegen het huidige Rijkscloudbeleid en OCW Cloudbeleid en die keus voldoet dan ook aan dit beleid.
Hiernaast wordt op korte termijn binnen het Ministerie van OCW een klantcontactsysteem (Microsoft Dynamics 365) gebruikt door DUO welke ondergebracht is in de cloud van een Amerikaanse dienstverlener.
Met inachtneming van de reactie op de moties van 18 maart 20253, wordt nu extra aandacht besteed aan bijvoorbeeld concrete exit-strategieën.

Vraag 5

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DUO en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20244is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In bovengenoemde kamerbrief heeft OCW aangegeven bezig te zijn met het verder implementeren van (cloud) functionaliteiten van de werkplek. Op dit moment is de implementatie nog in onderzoek en zijn geen besluiten genomen.

Vraag 6

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Bij ontzegging van gebruik van niet-Europese producten zal de ICT van vrijwel alle primaire processen en de werkplek-omgeving niet meer beschikbaar zijn. Daarmee kan OCW de digitale dienstverlening niet meer garanderen. OCW zal dan zo snel mogelijk alternatieven moeten implementeren. Dit zal veel tijd kosten. Dit geldt voor vrijwel alle overheidsorganisaties.

Vraag 7

Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving?

Zie vraag 6.

Vraag 8

Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Zie vraag 6.

Vraag 9

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DUO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 10

Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Zie vraag 9.

Vraag 11

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie van het lid Kathmann c.s. die hiertoe oproept?3

Bij iedere migratie naar de public cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.

Vraag 12

Hoe geven uw departement, DUO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie van het lid Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Zie vraag 5.
Deze doelstelling wordt gehanteerd bij inrichting van de digitale dienstverlening.
OCW volgt de ontwikkelingen en de reacties vanuit de Tweede Kamer, de Staatssecretaris Digitalisering en CIO Rijk nauwgezet. De geopolitieke ontwikkelingen en de moties in de Tweede Kamer leiden binnen OCW al tot een andere risico-inschatting van aanbieders en levering van ICT-producten en -diensten.

Vraag 13

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

OCW maakt voor al haar technologiekeuzes een weloverwogen afweging op basis van kaders vanuit beleid, risico’s en bedrijfsbehoeften. Het te herziene rijksbrede cloudbeleid is voor OCW hierin van grote waarde om toekomstige keuzes vorm te geven. OCW zal strategische autonomie van Nederland en Europa bevorderen.

Vraag 14

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni 2025?5

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat Rijkswaterstaat, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Sinds december 2023 geldt er bij Rijkswaterstaat een cloud freeze. Dit betekent dat het uitgangspunt is dat er geen data, e-mail en applicaties naar de publieke cloud gaan. In oktober 2024 heeft Rijkswaterstaat de nieuwe ICT Strategie 2025–2030 vastgesteld. Bij RWS geldt het beleid dat missie-kritische systemen en bedrijfskritische systemen niet in de publieke cloud worden geplaatst.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Het Ministerie van Infrastructuur en Waterstaat maakt voor kantoortoepassingen onder andere gebruik van Microsoft 365 diensten (videoconferencing en voor een klein deel van de organisatie ook e-mail). Data blijven daarbij zoveel als enigszins mogelijk opgeslagen in eigen datacenters (bestanden, document management, samenwerkfunctionaliteit). Dit zijn diensten die worden aangeboden door Shared Service Centers (SSC’s) van de Rijksoverheid. Voor een aantal onderzoekstoepassingen en een aantal websites wordt gebruik gemaakt van clouddiensten op Microsoft Azure en Amazon Webservices (AWS). Voor deze diensten die nu in de cloud bij Amerikaanse dienstverleners zijn ondergebracht worden de afhankelijkheden verder onderzocht om maatregelen te kunnen treffen conform cloudbeleid en implementatiekader.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.4 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Er zijn bij het Ministerie van Infrastructuur en Waterstaat geen nieuwe migraties gepland sinds de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Verschillende ZBO’s hebben een sourcing strategie waar Amerikaanse cloudleveranciers een rol in spelen. Zij zijn niet gehouden aan het Rijksbreed cloudbeleid maar geven wel aan gebruik van het IenW cloudbeleid, waarin de regelingen van het Rijksbreed cloudbeleid en Implementatiekader zijn opgenomen.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het Ministerie van Infrastructuur en Waterstaat neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Naar aanleiding van de geopolitieke ontwikkelingen zet het Ministerie van Infrastructuur en Waterstaat, samen met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, in op het aanscherpen van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Ook zet het Ministerie van Infrastructuur en Waterstaat, naast het verder onderzoeken van afhankelijkheden en het verder doorontwikkelen van bestaande exit-strategieën, samen met BZK in op het realiseren en in gebruik nemen van een soevereine overheidscloud als alternatief voor public clouddiensten.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
In lijn met de I-strategie van IenW en de ICT Strategie 2025–2030 van Rijkswaterstaat, ligt de focus op de bouw van een soevereine overheidscloud in eigen datacenter(s).

Vraag 8

Hoe geven uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst (IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse dienstverleners.
Het Ministerie van Justitie en Veiligheid maakt voor de digitale werkplek gebruik van Microsoft 365-diensten. Deze worden niet in de online (cloud) variant afgenomen, maar als lokaal geïnstalleerde applicaties op de desktop (bij managed laptops) of als centrale applicaties via het OverheidsDataCenter (ODC) bij Citrix-werkplekken. Bestanden die in deze applicaties worden gemaakt, worden opgeslagen op de lokale schijf en/of op het ODC. Deze diensten worden conform de rijksbrede kaders ingezet, met een inrichting die specifiek is afgestemd op de beveiligings- en privacy vereisten van het Ministerie van JenV. Microsoft Teams wordt enkel gebruikt voor videoconferencing en chat.
Alle gebruikte digitale voorzieningen worden voortdurend gemonitord en waar nodig aangepast op basis van actuele dreigingen en technologische ontwikkelingen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20242 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.3 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Momenteel loopt de vernieuwing van de oude werkplekvoorzieningen van o.a. DJI, IND en CJIB naar een toekomstige moderne werkplek voorziening. Hierin wordt het gebruik van MS365 inclusief de online producten als Teams-online onderzocht en worden de opties tussen on-premise en cloudvoorzieningen vergeleken.
Het Ministerie van JenV participeert tevens in het interdepartementale programma Beter Samenwerken (BSW) waarin het beoogde gebruik van MS Teams in de werkomgeving wordt heroverwogen.
De herziening van het rijksbreed cloudbeleid geeft aanleiding tot het te zijner tijd, conform Rijksbeleid, aanscherpen en aanpassen van het departementale cloudbeleid. In de tussentijd heeft het Ministerie van JenV een aanvullende tijdelijke Bestuurlijke Beleidslijn Cloud voor het Ministerie van Justitie en Veiligheid en Ministerie van Asiel en Migratie vastgesteld, waarin voorgenomen migraties moeten worden heroverwogen. Deze tijdelijke beleidslijn is van kracht zolang het nieuwe Rijks cloudbeleid nog niet is vastgesteld.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
De genoemde risico’s kunnen gemitigeerd worden door verschillende acties te ondernemen. Zo kan via Strategisch Leveranciersmanagement Rijk (SLM Rijk) de contractuele afspraken met de Amerikaanse leveranciers worden aangescherpt. Daarnaast is SLM Rijk voornemens een contractueel framework voor Europese alternatieven te realiseren; momenteel loopt er een Data Protection Impact Assessment (DPIA) op de clouddiensten van Stackit, een Duitse cloudprovider.
Een te grote afhankelijkheid van één of een enkele marktpartij is ongewenst. In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
SLM Rijk voert met regelmatig DPIA’s uit op de diensten van Microsoft, Google Cloud en AWS en heeft daarbij ook specifiek gekeken naar internationale doorgifte van persoonsgegevens (er is een zogeheten Data Transfer Impact Assessment (DTIA) uitgevoerd). Hierbij is rekening gehouden met de mogelijkheid dat gegevens toegankelijk zijn voor de Amerikaanse overheid op basis van met de AVG conflicterende Amerikaanse wetgeving.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2 en 4.

Vraag 8

Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Momenteel worden mogelijkheden verkent die als alternatief kunnen worden ingezet om de continuïteit niet enkel afhankelijk te laten zijn van partijen uit de VS.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Het Ministerie van JenV en AenM zijn op dit moment bezig met een heroverweging, zie antwoorden op vraag 2, 4 en 8.
Het bevorderen van de strategische autonomie van Nederland en / of Europa staat vol op het netvlies. Het is in deze fase echter niet haalbaar en mogelijk om op korte termijn te realiseren. Ook zal het gepaard gaan met aanzienlijke kosten en realisatie inspanningen.
Om die reden zal afhankelijkheid van Amerikaanse Techgiganten vooralsnog blijven bestaan.

Vraag 10

Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ik heb uw verzoek doorgeleid naar de Autoriteit Persoonsgegevens.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Het kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
DNB valt als zbo niet onder het rijksbrede of departementale cloudbeleid. DNB geeft aan dat de risico's verbonden met de clouddiensten in een continu proces worden gemonitord en dat op basis van een integrale risicoafweging passende maatregelen worden genomen. Op basis van de huidige risicoafweging en businesscase ziet DNB voor de korte tot middellange termijn geen noodzaak tot heroverweging. Wel onderzoekt DNB voor hoog-kritische systemen exit/fallbackscenario's en back-up van data.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Het Ministerie van Financiën maakt in lijn met het huidige rijksbrede cloudbeleid beperkt gebruik van clouddiensten, waarbij er sprake kan zijn van Amerikaanse aanbieders. Dit ter ondersteuning van de bedrijfsvoeringsprocessen, en in beperkte gevallen als onderdeel van het primaire proces van de uitvoering. Zo maakt de Douane gebruik van Microsoft Azure ter ondersteuning van het keuzeproces binnen het toezicht op grensoverschrijdend goederenverkeer, wat onderdeel is van het primaire proces. Voor alle toepassingen geldt dat risico’s rond afhankelijkheden en gegevensbescherming zorgvuldig worden meegewogen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen4, is aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.
De Domeinen Roerende Zaken maakt per medio 2024 gebruik van Microsoft365. Deze stap is gezet, nadat de benodigde compliantie op het gebied van informatiebeveiliging en privacy was geborgd.
Na zorgvuldige heroverweging van risico’s, kosten en benefits gaat DNB door met de reeds voorgenomen migraties naar clouddiensten. DNB voorziet op dit moment geen grootschalige nieuwe migraties.
AFM heeft reeds een migratie gepland van Sharepoint naar Sharepoint online. Daarnaast zijn er geen nieuwe migraties gepland.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het Ministerie van Financiën neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Bij voorgenomen cloudmigraties wordt daarom een exit-strategie opgesteld en een zorgvuldig besluitvormingstraject doorlopen. Elke ICT-oplossing (of deze nu wordt ingekocht of intern ontwikkeld) brengt een zekere mate van afhankelijkheid van leveranciers met zich mee. Ook bij on-premise oplossingen geldt dat bij het wegvallen van bijvoorbeeld Microsoft- of Apple-ondersteuning, cruciale functionaliteit kan uitvallen. Dit onderstreept dat het hier niet alleen een cloudvraagstuk betreft, maar in de kern een licentie- en leveranciersafhankelijkheidsvraagstuk is.
Belastingdienst, Douane en Toeslagen onderzoeken verder hoe samenwerking met de markt kan bijdragen aan een toekomstbestendige IT-inrichting. De domeinarchitectuur fungeert hierbij als richtinggevend kader. Uitgangspunt is het benutten van marktstandaarden, borging van kerncompetenties en heldere verantwoordelijkheidsverdeling. Dit draagt bij aan een wendbare, betrouwbare en toekomstvaste informatievoorziening, passend binnen de eisen en kaders van publieke dienstverlening.
DNB volgt, net als veel andere publieke en financiële instellingen in Europa, de ontwikkelingen over dataopslag in de cloud op de voet en zal beleid indien nodig aanscherpen. DNB onderzoekt binnen het Eurosysteem de mogelijkheden om de afhankelijkheid van Amerikaanse IT-leveranciers te verkleinen en implementeert waar nodig oplossingen om de risico’s te mitigeren.
Ook AFM geeft aan de ontwikkelingen uit de markt en vanuit de Rijksoverheid nauwgezet te volgen. AFM geeft daarnaast aan dat haar cloudprovider eraan werkt om Europa juridisch los te koppelen van Amerikaanse regelgeving. Indien nodig zal AFM haar beleid op basis hiervan aanpassen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643-1315] die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Het Ministerie van Financiën handelt conform rijksbrede kaders en EU-wetgeving. Leveranciers kunnen uitsluitend worden uitgesloten wanneer zij niet voldoen aan het bestek of als er een juridische grondslag is. Banden met de Amerikaanse overheid vormen op zichzelf geen uitsluitingsgrond onder de EU-aanbestedingsregels. Tegelijkertijd is de IT-afhankelijkheid van Amerikaanse bedrijven groot. Onafhankelijkheid op korte termijn is dan ook niet realistisch.
Risico’s kunnen worden beheerst via contractuele afspraken en een goed uitgewerkte exit-strategie. Het onderhouden van werkbare relaties met Amerikaanse leveranciers blijft daarbij essentieel.
Zie verder vraag 2.

Vraag 8

Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Het Ministerie van Financiën onderschrijft het belang van continuïteit en weerbaarheid in de digitale dienstverlening. Er wordt daarom, op basis van risicoafwegingen, rekening gehouden met het effect op de continuïteit door eventuele strategische afhankelijkheid van leveranciers ongeacht het land waar de leverancier is gevestigd. Zoals geschetst in de Kamerbrief over uitvoering ontraden aangenomen moties debat migraties overheids-ICT naar het buitenland van 7 april jl., vereist digitale soevereiniteit een evenwichtige benadering waarbij samenwerking met strategische partners wordt gecombineerd met het versterken van de Europese en nationale regie over digitale infrastructuur. Het Ministerie van Financiën erkent daarnaast het belang van de ontwikkeling van een soevereine overheidscloud als onderdeel van een breder pakket aan maatregelen binnen het huidige rijkscloudbeleid en de IT-sourcingstrategie Rijk.
DNB en AFM hebben cloudbeleid opgesteld met eisen waar de systemen die worden gebruikt aan moeten voldoen, onder meer op het gebied van privacy en informatiebeveiliging, certificering en geldende Europese en Nederlandse wet- en regelgeving. Zo is er isolatie van gegevens en gegevensverwerking, en moeten de gegevens binnen de EER gehost zijn.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?

Zie vraag 5.

Vraag 10

Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ik, de Minister van Financiën, heb de AFM geraadpleegd voor de beantwoording van de aan haar gerichte vragen. Hetzelfde geldt voor de vragen gericht aan DNB.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat Logius, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt?2 Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s3 – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is.4 In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Logius maakt voor het exploiteren van haar voorzieningen gebruik van een eigen platform dat wordt gehost in datacentra van de Rijksoverheid. Daarbij geldt dat Logius de Generieke Digitale Infrastructuur levert aan de Digitale Overheid. Logius maakt voor het exploiteren van onze voorzieningen dus geen gebruik van Amerikaanse Clouddiensten en heeft ook geen plannen daartoe. Een heroverweging is daarmee niet aan de orde.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse dienstverleners. De werkplekken maken gebruik van kantoorsoftware waarbij de dataopslag in de eigen overheidsdatacenters plaats vindt.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Logius en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20245 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In november 2024 zijn drie geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners aan de kamer gemeld.
Eerder is de kamer geïnformeerd over de ontwikkeling van werkplekdienstverlening van SSC-ICT (DWR 2.0) en het beperken van de cloud afhankelijkheid bij het opslaan van data. Documenten en e-mails van de gebruikers van de DWR werkplek blijven vooralsnog opgeslagen in het datacenter van SSC-ICT.
Binnen het interdepartementale programma Beter Samenwerken (BSW) wordt het beoogde gebruik van MS Teams in de werkomgeving heroverwogen en worden alternatieven onderzocht.
De in november genoemde aanbesteding van het Rijksvastgoedbedrijf is afgerond en gegund aan een Europese dienstverlener.
Er zijn sinds november geen nieuwe geplande of voorgenomen migraties van materieel public cloudgebruik aangemeld.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de na het zomerreces verwachte Visie digitale autonomie en soevereiniteit overheid.
De directe gevolgen voor de digitale dienstverlening van BZK organisaties als Logius en RvIG zijn beperkt. Deze organisaties maken voor de dataopslag en uitvoering van de primaire processen geen gebruik van digitale diensten van Amerikaanse dienstverleners.
Zoals bij vraag 4 beantwoord, zijn er geen directe gevolgen voor de huidige en toekomstige werkplekdiensten van SSC-ICT door de genomen mitigerende maatregelen. Bij langdurige ontzegging van toegang tot de dienstverlening kunnen wel problemen ontstaan wanneer bijvoorbeeld de geldigheid van licenties niet verlengd kan worden.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Logius en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.6
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. die hiertoe oproept?3

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Er zijn geen lopende migraties naar digitale diensten van Amerikaanse techgiganten.

Vraag 8

Hoe geven uw departement, Logius en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Zie vraag 5.
Deze doelstelling wordt al gehanteerd bij inrichting van de digitale dienstverlening.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni a.s.?5

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat de KvK, het CBS en de RVO, die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Genoemde partijen volgen het rijkscloudbeleid. Periodieke heroverweging is hier geen onderdeel van. Op het moment dat situaties daar aanleiding toe geven wordt er naar gekeken. Maar ook dan zijn er beleidsmatige beperkingen (aanbestedingsregelgeving, lopende contracten etc.). In het eerdere debat inzake migraties van overheids-ICT naar het buitenland dd. 13 maart jl. over dit onderwerp heeft de Staatssecretaris Koninkrijksrelaties en Digitalisering aangegeven «niet alle cloudmigraties terug te willen draaien en wel een (her)overweging toe te willen passen bij nieuwe cloudmigraties.»

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Binnen het Departement en de daaronder ressorterende organisatieonderdelen wordt conform de mogelijkheden van het rijkscloudbeleid gebruik gemaakt van clouddienstverleners. Onder de afspraken van SLM rijk betreft dit diensten van Amerikaanse dienstverleners Microsoft en Amazon Web Services.
Voor de werkplek maakt het departement van EZ gebruik van MS365 in de public cloud van Microsoft.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20242is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Eerder voorgenomen migraties worden nader beschouwd, rekening houdend met de herziening, mede o.b.v. de aangenomen Kamermoties, van het Rijksbreed cloudbeleid. In de recent departementaal besloten cloudstrategie zijn hiervoor aanvullende en aangescherpte criteria vastgesteld.
Er wordt gewerkt aan een generiek MS Azure platform voor data verwerking. Het gebruik wordt heroverwogen.
De voorgenomen migratie van de Oracle ERP-oplossing naar Oracle Fusion, is heroverwogen met als voorlopig resultaat dat dit binnen de EER gehost gaat worden met extra risicogaranties en -afspraken.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het niet meer kunnen gebruiken van dienstverlening door Amerikaanse leveranciers zou op dit moment tot onoverkomelijke verstoring kunnen leiden van de dienstverlening. Daarom wordt door het departement actief meegewerkt aan de pilot voor het inzetten van «Mijn Bureau« als een van de mogelijke alternatieven. Bovendien worden er in Europees verband (Eurocloud) mogelijkheden onderzocht.
Voor het opvangen van piekmomenten in de dienstverlening blijft het belangrijk om snel te kunnen op- en afschalen. NL/EU alternatieven worden onderzocht.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.3
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Ja, de voorgenomen migratie van de Oracle ERP-oplossing naar Oracle Fusion, is heroverwogen met als voorlopig resultaat dat dit binnen de EER gehost gaat worden met extra risicogaranties en -afspraken.

Vraag 8

Hoe geven uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 26 643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Departementaal is er een aangescherpte cloudstrategie vastgesteld, binnen de kaders van het huidige Rijksbreed cloudbeleid, met daarin aanvullende criteria die ondersteunen in het bevorderen van de strategische autonomie en waar dat mogelijk is zich richten op het beperken van de afhankelijkheid van enkele aanbieders.

Vraag 10

Kunt u de ACM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ja, ik ben bereid dat te doen en heb dat inmiddels aan de ACM gevraagd. De ACM geeft aan dit zo snel mogelijk te beantwoorden.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Hebt u kennisgenomen van het bericht «Medewerkers ambassade Israël gedood in VS, verdachte schreeuwde over Palestina»?1

Ja.

Vraag 2

Hoe beoordeelt u momenteel de veiligheid van medewerkers van Israëlische diplomatieke posten?

Vanwege veiligheidsredenen spreek ik in het openbaar nooit over de veiligheid van individuele gevallen. Wel kan ik u verzekeren dat de veiligheid van diplomatieke missies in Nederland inclusief personeel, waaronder die van Israël, onze voortdurende aandacht heeft. De recente gebeurtenissen in de Verenigde Staten onderstrepen de noodzaak voor alertheid. Indien er sprake is van een verhoogde dreiging of risico ten opzichte van hun veiligheid, worden passende maatregelen getroffen.

Vraag 3

Hoe beoordeelt u momenteel de veiligheid van Joodse instellingen in Nederland, alsmede het personeel daarvan?

De veiligheid van Joodse en Israëlische instellingen en hun personeel in Nederland heeft de aandacht van het kabinet en de lokaal bevoegde gezagen. Nederland staat voor een open en inclusieve samenleving, waarin Joodse burgers hun identiteit en religie in alle vrijheid kunnen beleven, zonder angst of belemmering. De ontwikkelingen in de wereld worden nauwgezet gevolgd, mede vanwege de mogelijke impact op de veiligheidssituatie in Nederland. Zowel lokaal als landelijk is er daarnaast intensief contact met vertegenwoordigers van de Joodse gemeenschap.

Vraag 4

Wat doet Nederland om hun veiligheid te garanderen?

Op 24 november 2024 heeft het kabinet uw Kamer de Strategie Bestrijding Antisemitisme 2024–2030 gestuurd. Hierin is een veiligheidsfonds opgenomen voor de financiële ondersteuning van Joodse scholen, instellingen en evenementen. Waar nodig worden door het lokaal bevoegd gezag, bovenop de maatregelen die Joodse en Israëlische instellingen zelf nemen, veiligheidsmaatregelen getroffen. Dit gebeurt zowel zichtbaar als onzichtbaar met als doel om de veiligheid van Joodse en Israëlische instellingen en hun medewerkers en bezoekers te waarborgen. Deze maatregelen worden genomen op basis van actuele dreigingsinschattingen, waarbij volledige uitsluiting van risico’s niet gegarandeerd kan worden. Het is schrijnend dat deze maatregelen in Nederland nodig zijn, maar we zullen deze inspanningen onverminderd blijven voortzetten zolang de situatie daarom vraagt.

Vraag 5

Zijn of worden er naar aanleiding van deze aanval in de Verenigde Staten extra veiligheidsmaatregelen getroffen bij Israëlische instellingen in Nederland, zoals ambassades, of bij Joodse instellingen als synagogen of Joodse scholen?

Zoals ik in het antwoord op vraag 2 heb aangegeven spreek ik in het openbaar nooit over de veiligheid van individuele gevallen. Ten aanzien van Joodse en Israëlische instellingen en objecten vindt al langere tijd een afweging plaats of en zo ja welke, additionele veiligheidsmaatregelen noodzakelijk zijn. De benodigde maatregelen worden getroffen waar dat nodig wordt geacht op basis van actuele dreigingsinformatie.

Vraag 6

Hoe beoordeelt u de dreiging van antisemitisme en specifiek antisemitisch geweld in Nederland in het licht van deze aanval in de Verenigde Staten? Verwacht u dat door dergelijke gebeurtenissen deze dreiging in Nederland zal toenemen?

De aanslag in Washington D.C. past binnen het beeld van reeds bestaande verhoogde dreiging tegen Joodse en Israëlische doelwitten in Nederland. Antisemitisme speelt een rol in de ideologie van verschillende extremistische stromingen, met name het jihadisme en rechts-extremisme. Terroristen kunnen Joodse en Israëlische doelwitten kiezen omdat deze door de Gaza-oorlog grote symbolische waarde hebben, media-aandacht creëren en grote maatschappelijke impact hebben. Zoals in het Jaarverslag 2024 van de AIVD vermeld, is daarnaast het maatschappelijke debat in Nederland over Israël en de Palestijnse gebieden sinds 7 oktober 2023, en zeker in 2024, ernstig gepolariseerd. Voor sommige gekende extremistische bewegingen is de Gaza-oorlog een potentiële katalysator. Maar boosheid over het conflict heeft bij hen vooralsnog niet tot (meer) extremistische activiteiten geleid.

Vraag 7

In welke mate ziet u in Nederland het fenomeen dat Israëli en/of Joodse mensen in Nederland verantwoordelijk worden gehouden voor het handelen van de staat Israël? Is hier sprake van een toename?

Op basis van de gegevens waarover ik beschik, is het voor zover mij bekend niet mogelijk in algemene zin vast te stellen of, en zo ja in welke mate Israëli en/of Joden in Nederland verantwoordelijk worden gehouden voor het handelen van de staat Israël. Wel zijn er bij de Nationaal Coördinator Antisemitismebestrijding signalen bekend dat Joden in Nederland door sommigen in verband worden gebracht met het handelen van de staat Israël. Zo worden Joden op straat uitgescholden voor kindermoordenaars, worden herdenkingsplekken beklad met leuzen die verwijzen naar het conflict in het Midden-Oosten en worden Joden op de werkvloer of elders gedwongen zich uit te spreken over de situatie in het Midden-Oosten.

Vraag 8

Ziet u aanleiding om de huidige aanpak van antisemitisme naar aanleiding van deze gebeurtenis aan te scherpen?

Op 24 november 2024 heeft het kabinet uw Kamer de Strategie Bestrijding Antisemitisme 2024–2030 gestuurd. Met dit meerjarige plan wordt de aanpak van antisemitisme geïntensiveerd, waarbij het kabinet ieder jaar opnieuw zal kijken of en waar aanvullende maatregelen nodig zijn. In de strategie staan de maatregelen van de huidige aanpak opgesomd. Deels gaat het om bestaande maatregelen en deels over nieuwe initiatieven zoals een veiligheidsfonds voor Joodse instellingen scholen en evenementen en de instelling van de Taskforce Antisemitismebestrijding. Daarnaast voorziet de strategie in regelmatig overleg met betrokken organisaties zodat signalen over antisemitisme of de behoefte aan intensivering van de huidige aanpak ons snel bereiken. Binnenkort ontvangt u over de strategie een voortgangsbrief.

Vraag 9

Wilt u deze vragen afzonderlijk van elkaar beantwoorden?

Ik heb deze vragen afzonderlijk van elkaar beantwoord.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?1

Ja.

Vraag 2

Kunt u bevestigen dat het RIVM, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het Rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
De NZa heeft een terugkeer naar de situatie voor de overstap naar Amerikaanse clouddiensten niet in overweging. De NZa is nu in de afrondende fase van een cloudmigratieproject. Er is voorafgaand en tijdens de overstap aandachtig gekeken naar de risico's, op gebied van informatiebeveiliging en privacy. Aanvullend is er advies gevraagd aan de CISO Rijk. Uit de risico-inventarisaties is gebleken dat er geen hoge restrisico's aanwezig waren. Wijzigingen in een vernieuwd Rijksbreed cloudbeleid zal de NZa uiteraard verwerken in hun strategie.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
De concernorganisaties van het Ministerie van VWS zijn verdeeld tussen organisaties die afhankelijk zijn van (interne) shared service centers, zoals SSC-ICT, en organisaties die afhankelijk zijn van public cloud leveranciers. Wanneer een shared service center wordt gebruikt voor werkplekdiensten, kantoorautomatiseringssoftware en communicatiediensten, dan zijn zij niet direct afhankelijk van Amerikaanse dienstverleners. Deze diensten berusten namelijk niet op public cloud. De andere groep organisaties is hier wel afhankelijk van en zij gebruiken diverse public cloud diensten. Zij nemen deze diensten af onder voorwaarden van Strategisch Leveranciersmanagement Rijk (SLM-Rijk) en de data opslag en verwerking vindt plaats binnen de Europese Economische Ruimte (EER).
Vanuit het CIBG en DUS-I kan ik melden dat er geen processen, registers en/of knooppunten zijn ondergebracht in de public cloud doordat zij zowel SSC-ICT gebruiken als ook Nederlandse service providers. Diverse processen worden ondersteund door applicaties met een directe afhankelijkheid van public cloud leveranciers. Dit betreft onder andere processen die klantcontact ondersteunen, publicatie van informatie, bedrijfsvoering, geldstromen en de uitvoering van diverse regelingen. Reeds gerealiseerde cloudmigraties zijn hierdoor in lijn met het huidige geldende Rijksbrede cloudbeleid.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het RIVM en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
De VWS organisaties zijn te verdelen in organisaties die geen voorgenomen migratie naar public cloud diensten hebben gepland en organisaties die al enige migraties hebben uitgevoerd. De migraties naar public cloud ondersteunen het primaire proces met diverse tooling. Tevens zijn er migraties in heroverweging door recente ontwikkelingen op dit thema. Alle heroverwegingen worden gedaan in afstemming met de VWS CIO Office Concern.
De NZa is de cloudmigratie aan het afronden. Er is daarnaast een voorgenomen migratie van het klantbeheersysteem via een aanbestedingsprocedure. De NZa zal hierbij het geldende Rijkscloudbeleid volgen.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het RIVM en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Indien de toegang tot Amerikaanse digitale dienstverlening wordt ontzegd, zal dit leiden tot een brede variatie aan verstoringen. Systemen die niet afhankelijk zijn van de public cloud zullen ongehinderd door draaien. Organisaties die voor hun werkplekken afhankelijk zijn van public cloud zullen directe impact ervaren op toegang tot hun werkplekken, e-mail en overige communicatiediensten. Ook deze risico's zijn beschouwd: om de continuïteit van de organisatie te kunnen waarborgen zijn er al plannen ontwikkeld om over te kunnen gaan op alternatieve middelen.
De Inspectie Gezondheidszorg en Jeugd (IGJ) ontvangt (verplichte) meldingen, Europese meldingen en overige meldingen. Wanneer de meldingen niet meer worden ontvangen of hier geen toegang meer toe is, kan dit consequenties hebben voor de kwaliteit van het toezicht.
Organisaties die afhankelijk zijn van public cloud diensten zullen in alle gevallen een directe impact ervaren in dat deel van een proces. Afhankelijk van de rol in dit proces zal dit in meer of mindere mate significante gevolgen hebben voor de interne organisatie en wellicht merkbaar zijn voor burgers en maatschappij. Hier is dus geen eenduidig antwoord op te geven. Binnen het Ministerie van VWS wordt er continu onderzoek gedaan naar de impact op de continuïteit van onze dienstverlening.
Voorafgaand aan de transitie naar de cloud zijn alle waarborgen en mitigerende maatregelen op basis van de toen geldende risico's, doorgevoerd. Daarmee is de NZa voorbereid op veel denkbare scenario's.
Het ontzeggen van de toegang tot Amerikaanse digitale dienstverlening zou het meest extreme scenario zijn. Dan liggen op de korte termijn vrijwel alle toezichten reguleringswerkzaamheden van de NZa stil.
De werkomgeving zit volledig in de cloud, dus mailen, overleggen of gezamenlijk werken in bestanden is dan niet mogelijk. De NZa kan dan kortom niet aan wet- en regelgeving voldoen en zal een hernieuwde I-strategie uitzetten op basis van het vernieuwde Rijksbrede cloudbeleid.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het RIVM en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643-1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Er zijn bij de meeste organisaties geen nieuwe migraties gestart, noch stopgezet. Bij nieuwe contracten wordt vanaf heden ook naar de geopolitieke situatie gekeken, zodat bij toekomstige aanbestedingen de afhankelijkheid van technologie leveranciers een grotere rol kan spelen in de beoordelingscriteria conform het Rijkscloudbeleid.

Vraag 8

Hoe geven uw departement, het RIVM en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643–1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het RIVM en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5
Digitale autonomie en soevereiniteit zijn belangrijke thema’s voor VWS door onze rol in de maatschappij via mijn meldpunten, registers en diensten. De geopolitieke veranderingen hebben er voor gezorgd dat de risico’s op gebied van beschikbaarheid en continuïteit goed in beeld worden gehouden en we ondersteunen de ontwikkeling van het nieuwe Rijksbrede cloudbeleid.
Het Rijksbrede cloudbeleid is voor de NZa het uitgangspunt. Daarnaast maakt de NZa proactief en zorgvuldig afwegingen over de veiligheid van data en functionaliteit van hun IT-oplossingen.

Vraag 10

Kunt u de Nederlandse Zorgautoriteit (NZa), als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

rden van de NZa zijn verwerkt bij de relevante vragen.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Heeft u kennisgenomen van de stroomstoring in Spanje en Portugal van maandag 28 april?

Ja.

Vraag 2

Hoe reëel is het dat een stroomstoring van deze magnitude ook in Nederland zal plaats vinden?

De grote stroomstoring in Spanje en Portugal op maandag 28 april betrof een zogenaamde black-out. Deze storing trof naast deze twee landen ook een gedeelte van Frankrijk. Een dergelijke grootschalige black-out komt in Europa slechts eens in de 10 à 20 jaar voor. In 2003 is Italië getroffen en in 2015 Turkije. In 2024 hebben drie landen in de Balkan hiermee te maken gehad. Een stroomuitval van deze omvang kan ook in Nederland plaatsvinden. De kans op een dergelijke stroomuitval van dit type acht het kabinet gering.

Vraag 3

Hoe goed is ons stroomnet beschermd?

De Minister van Klimaat en Groene Groei is beleidsverantwoordelijkheid voor de leveringszekerheid van energie. De netbeheerders zijn wettelijk verplicht om de leveringszekerheid van elektriciteit te bewaken en te bevorderen. Het Ministerie van KGG werkt samen met TenneT en de regionale netbeheerders doorlopend aan de continuïteit van het elektriciteitsnetwerk.
Ons energiesysteem wordt beschermd door een robuust ontwerp, redundantie, de aanwezigheid van voldoende herstelcapaciteit en interconnectie met de ons omringende landen. Het brede scala aan maatregelen heeft ertoe geleid dat het Nederlandse elektriciteitssysteem de afgelopen jaren één van de betrouwbaarste energiesystemen ter wereld is geweest, met een gemiddelde betrouwbaarheid van 99.99%. Voor de herstart van het elektriciteitssysteem na een grootschalige black-out beschikt Nederland over speciale voorzieningen.

Vraag 4

Wat zijn de grootste systeemrisico’s die Nederland kent als het gaat om grootschalige uitval van stroom, water, internet en het betaalverkeer? Waar zal de samenleving naar verwachting het zwaarst geraakt worden?

Stroom en internet zijn dusdanig essentieel en verbonden met andere onderdelen in de samenleving dat een stroomstoring grote impact kan hebben op de samenleving. De impact van grootschalige stroomuitval of uitval van data- en communicatienetwerken is groot en raakt meerdere vitale processen. Grootschalige uitval van drinkwater heeft directe impact op huishoudens, de industrie en ziekenhuizen, en kan de operatie van veel andere processen zoals levensmiddelen beïnvloeden. Ook het betaalverkeer is afhankelijk van internet en elektriciteit. Langdurige uitval van het betaalverkeer kan leiden tot grote maatschappelijke onrust en economische ontwrichting. Bijvoorbeeld omdat men geen betalingen kan doen in winkels, doordat er geen geld meer uit de geldautomaat komt en omdat dergelijke uitval kan leiden tot verstoring van andere vitale processen zoals het effectenverkeer. Contant geld vervult tevens een belangrijke rol als terugvaloptie voor elektronisch betaalverkeer.
Verantwoordelijke vakdepartementen en vitale aanbieders voeren risicobeoordelingen uit als onderdeel van de Versterkte Aanpak Vitaal.1 Hierbij is er specifiek aandacht voor de intersectorale afhankelijkheden, waarmee risico’s inzichtelijk gemaakt worden zodat er passende maatregelen kunnen worden genomen.

Vraag 5

Wat zullen de invoering van de Cyberbeveiligingswet (NIS2 (Network and Information Security directive)) en de Wet weerbaarheid kritieke entiteiten (CER (Critical Entities Resilience Directive)-richtlijn) in de praktijk betekenen voor het risico op en de impact van storingen van deze magnitude?

De implementatie van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) zijn onderdeel van de Versterkte Aanpak Vitaal. Onderdeel van deze Versterkte Aanpak Vitaal is een cyclus van risicoanalyses en actieprogramma’s uitgevoerd door de verantwoordelijke vakdepartementen voor hun sectoren, waaronder ook de energiesector, ten behoeve van het nemen van weerbaarheidsverhogende maatregelen voor vitale aanbieders en processen. Daarbij is er ook aandacht voor risico’s die samenhangen met intersectorale afhankelijkheden.
Met de invoering van de Cbw en de Wwke worden de risicobeoordelingen en de te nemen maatregelen dwingender van karakter en worden alle kritieke entiteiten (vitale aanbieders) verplicht om hun kwetsbaarheden te minimaliseren en de continuïteit van hun essentiële diensten (vitale processen) te waarborgen. In de praktijk betekent dit onder andere dat deze entiteiten hun gebouwen, kritieke infrastructuur en netwerk- en informatiesystemen (fysiek) beschermen, ze een plan voor crisisbeheer en een bedrijfscontinuïteitsplan hebben, en ze beleid hebben over de taken, bevoegdheden en verantwoordelijkheden van personeelsleden.

Vraag 6

Zijn er noodscenarios klaar voor een situatie als deze? Zo ja, hoe zien die er uit? Zijn er draaiboeken en is er een back-up om de belangrijkste functies zoals onze watervoorziening, waterverdediging, ziekenhuizen, telefoonverbindingen, wifi en het betalingsverkeer weer zo snel als mogelijk van stroom te voorzien?

De primaire verantwoordelijkheid voor de continuïteit van hun processen ligt bij de organisaties zelf, ook bij verstoringen van het stroomnet. Eventuele (wettelijke) verplichtingen ten aanzien van de leveringszekerheid van diensten zijn opgenomen in sectorale wetgeving. Er is geen centraal overzicht van noodmaatregelen die bedrijven en organisaties nemen bij uitval van grootschalige stroomuitval.
Het Ministerie van Klimaat en Groene Groei is verantwoordelijkheid voor het Nationaal Crisisplan Elektriciteit (NCP-E). Dit NCP-E beschrijft wat de overheid en betrokken crisisorganisaties doen om de maatschappelijke impact bij een ernstige verstoring in de Nederlandse elektriciteitsvoorziening zoveel mogelijk te beperken. Komend anderhalf jaar wordt er gewerkt aan de actualisatie voor het crisisplan elektriciteit.
Tennet heeft een systeembeschermings- en herstelplan om na omvangrijke storingen een gecoördineerd en adequaat systeembeschermings- en herstelproces van het Nederlandse transmissiesysteem en/of de systeembalans mogelijk te maken. Daarnaast hebben de netbeheerders calamiteitenplannen. Deze plannen beschrijven de crisisorganisaties op zowel bestuurlijk als technisch operationeel niveau ten behoeve van de bestrijding en beheersing van een crisis in de elektriciteitsvoorziening. De Autoriteit Consument en Markt toetst deze plannen.

Vraag 7

Voor welke sectoren liggen draaiboeken klaar en zijn noodstroomvoorzieningen beschikbaar? Hoe lang duurt het om deze op te starten?

Zie antwoord vraag 6.

Vraag 8

Is de Nederlandse bevolking voldoende voorbereid op langdurig uitval van stroom? En zo nee, wat wordt er in gang gezet om ervoor te zorgen dat dat wel zo is?

De Nederlandse bevolking is in zekere mate voorbereid op stroomuitval. Deze voorbereiding is vooral gericht op kortdurende storingen. In Nederland is de afgelopen jaren minder aandacht besteed aan de gevolgen van langdurige stroomuitval. Op dit punt is de samenleving kwetsbaar.
Vanaf eind 2022 heeft de rijksoverheid via Denk Vooruit de risicocommunicatie over situaties van langdurige uitval, zoals stroom, drinkwater en internet geïntensiveerd. Hierbij is de hoofdboodschap dat de Nederlandse samenleving voorbereid moet zijn op 72 uur zelfredzaamheid. De dreigingen nemen toe en hulp kan langer op zich laten wachten. Deze boodschap wordt ondersteund door veiligheidsregio’s, gemeenten, bedrijven en maatschappelijke organisaties.
Specifiek voor stroomuitval staan op denkvooruit.nl ook uitgebreide handelingsperspectieven. In november 2024 is er in de tv-uitzending BlackOut op realistische wijze invulling gegeven aan het scenario van langdurige stroomuitval, de gevolgen ervan en hoe de Nederlandse samenleving hierop kan worden voorbereid. Onder andere het Ministerie van KGG, de NCTV en TenneT hebben inhoudelijk aan deze uitzending bijgedragen. Medio 2025 start een meerjarige publiekscampagne (rijksoverheid, andere overheden, bedrijven en maatschappelijke organisaties) om de maatschappelijke weerbaarheid bij langdurige uitval van dagelijkse voorzieningen (ongeacht de aard van de dreiging) verder te verhogen.

Vraag 9

Kunt u deze vragen beantwoorden vóór het commissiedebat Nationale veiligheid en weerbaarheid van de vaste commissie voor Justitie en Veiligheid op 15 mei 2025?

Ja.