Vraag 1

Bent u nog steeds van mening dat de overstap van de Belastingdienst naar Microsoft1 slechts is voorzien van «een zeer magere onderbouwing»?2

In de afgelopen periode is er intensief overleg geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken. Hieruit is naar voren gekomen dat er, gezien de (technische) keuzes van de Belastingdienst in het verleden, op korte termijn geen alternatief is voor de overgang naar Microsoft 365 (M365), anders dan gebruik blijven maken van de huidige verouderde werkomgeving.
De Belastingdienst heeft aangegeven dat ze sindsdien opnieuw onderzocht hebben of er nu wel Europese alternatieven zijn. Uit verkennende gesprekken blijkt dat er op dit moment nog geen volledig geïntegreerd Europees alternatief is voor M365.

Vraag 2

Staat u nog steeds achter uw stelling dat de Belastingdienst niet heeft onderbouwd dat er geen Europese alternatieven voor Microsoft zouden zijn?

Zie antwoord vraag 1.

Vraag 3

Voldoet de onderbouwing voor de overstap van de Belastingdienst aan het geldende cloudbeleid?3 Kunt u hard maken dat tijdig aan alle eisen is voldaan?

Ja, de overstap voor de kantoorautomatisering van de Belastingdienst naar M365 voldoet aan het rijksbrede cloudbeleid (2022) en het daaruit volgende cloudbeleid van het Ministerie van Financiën. Dat geldt zowel voor het besluit uit 2021 als de verkenning naar mogelijke alternatieven (terwijl de werkplek zelf al was uitgerond) in 2025. Zo heeft de Belastingdienst een cloudtoets gedaan. Er zijn een risicoanalyse en exitstrategie opgesteld. Deze zijn vertrouwelijk aan uw Kamer aangeboden. Verder is er een DPIA opgesteld en heeft de Belastingdienst voor de definitieve besluitvorming afstemming gezocht met de CIO Rijk.

Vraag 4

Heeft de Belastingdienst, door zich in 2021 te committeren aan de overstap naar Microsoft, het onmogelijk gemaakt om alsnog af te wijken van dit besluit en tijdig een Europees alternatief te implementeren?

De Belastingdienst is in 2021 gestart met het traject om de werkplekken te vervangen en moderniseren. Hierdoor zijn de mogelijkheden om over te stappen op een alternatief beperkt. De nieuwe uitgerolde werkplek, in de vorm van laptops, is namelijk ingericht op het gebruik van M365. In het geval dat er wel een geschikt Europees alternatief zou zijn, moet er een geheel nieuwe werkomgeving worden ontworpen en geïmplementeerd. De doorlooptijd hiervan is aanzienlijk en is afhankelijk van de te configureren oplossing. De verwachting is dat dit in ieder geval enkele jaren zal kosten.

Vraag 5

Deelt u de mening dat, gezien (geo)politieke ontwikkelingen en de duidelijke wens van de Kamer om de digitale autonomie van Nederland te bevorderen, de overstap van de Belastingdienst naar Microsoft alsnog heroverwogen dient te worden?

De Belastingdienst heeft bij de aanvang van het traject in 2021 gekozen voor de implementatie van M365 bij het inrichten van de werkplekken en het vervangen en moderniseren van de werkomgeving. De (geo)politieke situatie was destijds anders dan nu en het beperken van de afhankelijkheid van niet-Europese partijen speelde toen een beperktere rol in de afwegingen.
In 2025 heeft de Belastingdienst gekeken of er nog mogelijkheden bestonden om af te wijken van het pad dat in 2021 is ingeslagen en zijn er mogelijke alternatieve oplossingen bekeken. Zoals uitgelegd in de technische briefing van 4 februari jl. over dit onderwerp heeft dit heeft niet tot een andere uitkomst geleid.

Vraag 6

Bent u op de hoogte van het rapport van de Cyber Safety Review Board uit 2024 over de beveiliging van Microsoft, waaruit blijkt dat het bedrijf de cyberveiligheid structureel niet op orde heeft?4, 5 Hoe beoordeelt u het argument dat Microsoft de beste beveiliging biedt in het licht van de conclusies uit dit rapport?

Ja, ik ben op de hoogte van het genoemde rapport. In reactie op het rapport heeft Microsoft onder de naam «Secure Future Initiative» (https://blogs.microsoft.com/on-the-issues/2024/06/13/microsofts-work-to-strengthen-cybersecurity-protection/) de verantwoordelijkheid voor de incidenten geaccepteerd en actie ondernomen om zowel de producten en diensten als de operatie van Microsoft 365 te verbeteren.

Vraag 7

Bent u bereid om, in samenwerking met de Belastingdienst, duidelijk te maken welke aanvullende middelen, expertise of capaciteit nodig zijn om alsnog af te zien van de overstap naar Microsoft en zo snel mogelijk een Europees alternatief te realiseren?

Volgens de Belastingdienst is er op dit moment geen geïntegreerd Europees alternatief, met een vergelijkbaar niveau als M365, beschikbaar. Zelfs als dit alternatief er zou zijn kost het de Belastingdienst, afhankelijk van de te configureren oplossing, enkele jaren om dit te implementeren. Dit betekent dat er in de tussentijd wordt doorgewerkt op een nieuwe werkplek waarbij rekening is gehouden met de implementatie van M365. Daardoor worden medewerkers geconfronteerd met workarounds en productiviteitsverlies.
Vragen over toekomstige keuzes laat ik aan mijn opvolger.

Vraag 8

Welke «workarounds» worden nu gebruikt door ambtenaren in hun digitale werkomgeving? Bent u bereid om te onderzoeken of deze belemmeringen weg te nemen zijn zonder de overstap naar Microsoft te maken?

De workarounds zijn ontstaan omdat medewerkers nu doorwerken in een verouderde omgeving vanaf nieuwe werkplekken die zijn ingericht op een M365-omgeving. De workarounds zijn (inefficiënte) manieren om vanaf deze nieuwe werkplekken met de beperkingen van de huidige werkomgeving om te gaan. Deze workarounds zijn vrij technisch van aard. Een voorbeeld is dat bepaalde bestanden niet worden ondersteund door de uitgerolde Digitale Brug Overheid (DBO)-werkplek. Medewerkers zijn nu genoodzaakt deze bestanden naar een postbus op te sturen zodat het handmatig in het gewenste bestandsformaat kan worden omgezet en teruggestuurd. Een ander voorbeeld is dat bepaalde applicaties die deurwaarders nodig hebben op de DBO-werkplek alleen te gebruiken zijn vanuit de fysieke kantooromgeving. Met de implementatie van M365 worden dit soort problemen opgelost. Het wegnemen van deze workarounds zonder de overstap te maken naar M365 betekent dat de Belastingdienst alsnog gaat investeren in de huidige verouderde werkomgeving.

Vraag 9

Waarom zijn de CIO Rijk en de overige IT-dienstverleners van het Rijk «pas in een zeer laat stadium» betrokken in het proces van de Belastingdienst? Wanneer is dit gebeurd, en waarom pas op dat zeer late moment?6

Uw Kamer is reeds in het najaar van 2024 geïnformeerd over de overgang maar Microsoft 365 voor de werkplekken.7 Zoals ook aangegeven in mijn brief van 2 oktober jl. is dit voornemen ook door mijn ambtsvoorganger met u gedeeld in het Jaarplan Belastingdienst 2025. 8
In het afgelopen jaar is er contact geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken over de overstap. In de loop van 2025 heeft de Belastingdienst ook contact gezocht met SSC-ICT om een oriënterende verkenning te laten plaatsvinden naar de mogelijkheid om de functionaliteiten voor mail en agenda onder te brengen bij SSC-ICT. Daaruit is geconcludeerd dat dit geen optie is voor de korte- of middellange termijn.

Vraag 10

Deelt u de mening dat de Belastingdienst in 2021, door uit te gaan van Microsoft 365 en Windows 11 als «gouden standaard,» geen gedegen verkenning heeft gedaan van Europese alternatieven?

De keuze voor M365 is gemaakt in 2021. De (geo)politieke situatie was destijds anders dan nu, het versterken van de autonomie speelde destijds een beperkte rol in de afwegingen. Daarom werd destijds niet de noodzaak gevoeld voor een gedegen verkenning gedaan naar Europese alternatieven en heeft deze dus ook niet plaatsgevonden. De Belastingdienst heeft toen, net zoals veel andere overheidsorganisaties en private organisaties, de keuze gemaakt voor de standaard van Windows 11 en M365 en heeft deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement Microsoft voor de rijksoverheid (SLM Rijk).

Vraag 11

Deelt u de mening dat de scenario’s van de Belastingdienst, zoals die in de (beslis)nota van 28 juni 2025 zijn beschreven,7 onvolledig zijn omdat ze in de basis uitgaan van een werkomgeving die is ingericht voor Microsoft?

Het klopt dat de nota uitgaat van een werkomgeving die is ingericht voor Microsoft, omdat de uitgerolde werkplekken hiervoor zijn ingericht en is geschreven vanuit de uitgangspositie waarin de Belastingdienst zich destijds bevond. Elk (Europees) alternatief zou hier op moeten worden aangesloten. Daarmee is geen sprake van onvolledigheid, omdat iedere andere uitgangspositie een nieuw werkplekconcept behoeft.

Vraag 12

Wanneer heeft de Belastingdienst precies besloten om deze scenario’s uit te werken? Welke specifieke «(geo)politieke en maatschappelijke ontwikkelingen» gaven hier aanleiding toe?8

Na onder andere de door uw Kamer ingediende moties heeft de Belastingdienst in het voorjaar besloten om de andere scenario’s nader uit te werken.

Vraag 13

Acht u de keuze van de Belastingdienst om voor de werkomgeving over te stappen naar Microsoft inmiddels onafhankelijk en voldoende onderbouwd?

Ik verwijs u naar het antwoord op vraag 1 en 2.

Vraag 14

In het geval u de mening deelt van de indieners dat er geen degelijke onafhankelijke verkenning is uitgevoerd naar Europese alternatieven, kunt u er op toezien dat deze alsnog op korte termijn wordt uitgevoerd met als doel om een alternatieve Europese route voor de cloudmigratie van de Belastingdienst te schetsen?

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 15

Waarop baseert de Belastingdienst de aanname dat de onderzochte scenario’s «naar verwachting binnen het aangepaste cloudbeleid passen dat momenteel door BZK wordt herzien»?9 Kunt u duidelijk uitleggen waar dit uit blijkt, aangezien dit beleid nog niet is vastgesteld en er sindsdien ook Kamermoties10 zijn aangenomen om de eisen voor soevereiniteit verder aan te scherpen?

Zie antwoord vraag 14.

Vraag 16

Kunt u per scenario, uitgewerkt door de Belastingdienst, een realistische schatting maken van de aanvullende kosten die hier bij gemoeid zouden zijn? Welk scenario acht u vanuit het soevereiniteitsbelang het meest geschikt?

Ik ga ervan uit dat u doelt op de scenario’s zoals opgenomen in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025. In deze nota zijn de kosten per scenario op hoofdlijnen uitgedrukt. Een nadere uitwerking met als doel om tot een meer precies bedrag per scenario uit te werken zou niet hebben geleid tot een andere uitkomst en heeft daarom niet plaatsgevonden. Daarnaast zijn er ook niet-financiële knelpunten zoals doorlooptijden, stroomvoorziening en datacenter capaciteit. De beantwoording van het tweede deel van de vraag laat ik, zoals aangegeven in de oplegbrief, aan mijn opvolger.

Vraag 17

Wat bedoelt u met uw antwoord dat «de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven [volgt]» en «[actief] kijkt naar de mogelijkheden van soevereine en of Europese cloudoplossingen»? Zijn er afspraken gemaakt over wat dit concreet betekent en welke verwachtingen heeft u precies van de Belastingdienst?11, 12

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 18

Waarom «volgt» de Belastingdienst enkel de ontwikkeling van een soeverein alternatief als MijnBureau, in plaats van dat zij dit met overtuiging afneemt? Ziet u mogelijkheden voor een schaalbare pilot binnen de Belastingdienst om een soeverein alternatief voor Microsoft op de werkvloer uit te proberen?

De Belastingdienst volgt het initiatief MijnBureau, omdat een (grootschalige) implementatie hiervan binnen de Belastingdienst op dit moment niet realistisch en uitvoerbaar is.
Een pilot van dit initiatief kan alleen plaatsvinden als het een voldoende hoog volwassenheidsniveau heeft bereikt en moet tegen die tijd gecontroleerd en zorgvuldig plaatsvinden. Dat neemt niet weg dat op termijn, zodra deze oplossing voldoende volwassen is, de Belastingdienst kan aansluiten bij een (rijksbrede) pilot van MijnBureau.
Daarnaast richt de Belastingdienst zich niet alleen op MijnBureau, maar wordt er ook actief onderzoek gedaan naar de ervaringen van andere Europese partijen die een overstap voorbereiden of dit al hebben gedaan. Hierbij wordt nauw opgetrokken met onder andere CIO Rijk.

Vraag 19

Deelt u de mening dat meer departementen en uitvoerders MijnBureau moeten afnemen om het project levensvatbaar te maken en waardevolle inzichten op te doen voor soevereine werkplekken?

Ja, in algemene zin deel ik deze mening. De levensvatbaarheid van een soeverein initiatief als MijnBureau is daarbij gebaat en dat kan leiden tot waardevolle inzichten. Het is wel belangrijk dat dit zorgvuldig en gecontroleerd plaatsvindt. Kleinschalig starten bij kleine overheidsorganisaties is daarbij belangrijk om zodoende op basis van ervaringen te werken aan de volwassenheid als voorbereiding op een eventuele grootschalige uitrol bij grote uitvoeringsorganisaties zoals de Belastingdienst. Daarnaast geldt dat de integratie van kantoorautomatisering in een uitvoeringsorganisatie complexer is dan bij een beleidsdepartement.

Vraag 20

Welke aanvullende afspraken zijn met Microsoft gemaakt om de risico’s in het voorkeursscenario van de Belastingdienst «zo beheersbaar mogelijk» te maken?13 Beaamt de CIO Rijk dat de risico’s zo veel als mogelijk zijn beheerst?

De aanvullende afspraken tussen de Belastingdienst en Microsoft zijn niet met CIO Rijk gedeeld, er kan daarom geen oordeel over worden geveld.

Vraag 21

Acht u het acceptabel dat het mailverkeer van de Belastingdienst, waarin fiscale informatie en informatie over «rulings» wordt gecommuniceerd, straks afhankelijk wordt van Microsoft?14

De Belastingdienst werkt continu aan het creëren van meer bewustzijn bij medewerkers om nog bewuster om te gaan met het versturen van gevoelige informatie. Daarvoor worden werkinstructies opgesteld om te voorkomen dat gevoelige informatie zoals rulings in de cloud kunnen belanden. Ook na de overstap naar M365 blijft het voor de medewerkers mogelijk om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Dit is een applicatie voor medewerkers van de Belastingdienst waarmee zij (grote) bestanden kunnen delen.

Vraag 22

Acht u het acceptabel dat het mailverkeer van de Belastingdienst onder Amerikaanse surveillancewetgeving zoals de CLOUD Act, sectie 702 van de Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333 komt te vallen? Hoe verhoudt dit zich tot de fiscale geheimhoudingsplicht?15

Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid. De Belastingdienst is zich bewust van de werking van de door u genoemde extraterritoriale Amerikaanse wetgeving. Dit risico is meegewogen in de risicoanalyse en waar mogelijk beperkt. Zoals ik ook heb aangegeven in antwoord op uw eerdere vragen betekent de overstap naar M365 een vergroting van de afhankelijkheid van de Verenigde Staten.18

Vraag 23

Deelt u de mening dat het rapport uit 2022 van GreenbergTraurig, waarin wordt gesteld dat het risico dat de VS gebruik maakt van de CLOUD Act klein is, achterhaald is door de geopolitieke ontwikkelingen nu ook de AIVD en de MIVD minder informatie met de Amerikanen delen?16

Ik erken dat de geopolitieke situatie ten opzichte van 2022 is veranderd, dat heeft een ander risicobeeld met zich meegebracht. De Belastingdienst heeft dit meegenomen in de opgestelde risicoanalyse en dit expliciet meegewogen. Deze risicoanalyse heb ik vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 24

Beschikt Microsoft in het geval er «double key encryption» wordt toegepast over een sleutel naar deze data? Zo ja, hoe is het versleutelen van data dan een geschikte mitigerende maatregel?

U doelt daarmee op een maatregel zoals is voorgesteld in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025 bij een specifiek product van Microsoft. De maatregel van «double key encryption» wordt niet toegepast. Door gebruik te maken van «double key encryption» zijn verschillende functionaliteiten niet meer mogelijk. Zo kunnen bijvoorbeeld verschillende bestanden dan niet langer geïndexeerd worden. Deze maatregel is tevens afgewogen in de eerdergenoemde risicoanalyse.
De Belastingdienst is continu op zoek naar nieuwe oplossingen die een betere bescherming van de data mogelijk maken en het risico van het ongeautoriseerd toegang hebben tot data mitigeren.

Vraag 25

Klopt het dat de exitstrategie, waarin binnen negen maanden data uit de Microsoft-cloudomgeving wordt gehaald, «met hulp van Microsoft» wordt uitgevoerd?17 Is de exitstrategie om wég te komen van Microsoft daardoor niet ook afhankelijk geworden van Microsoft?

Nee, de exitstrategie bevat namelijk in algemene zin twee scenario’s. Een scenario waarbij de leverancier meewerkt en de Belastingdienst negen maanden de tijd krijgt om de bestanden te migreren naar een nieuwe gewenste omgeving. Daarnaast is er ook een scenario waarin rekening wordt gehouden met een acuut vertrek, bijvoorbeeld nadat de leverancier onder statelijke druk de diensten stopt. Voor dit scenario heeft de Belastingdienst een back-up en wordt er teruggevallen op de huidige on-premises omgeving.

Vraag 26

Kunt u de garantie van Microsoft, dat zij zich tegen alle vormen van politieke druk vanuit de VS zullen verzetten, hard maken? Welke concrete afspraken zijn hierover gemaakt? Kunt u bijpassende documentatie met de Kamer delen?

Microsoft heeft de zogenaamde EU-commitments gepubliceerd. Dat laat niet onverlet, dat in een extreem geval, Microsoft onder statelijke druk gedwongen kan worden om te stoppen met leveren van diensten. Dit is in de recente geschiedenis alleen onder specifieke sanctiewetgeving gebeurd. Daarbij wil ik wel opmerken dat dit, tot op zekere hoogte, ook geldt voor on-premises oplossingen. Want ook daar is sprake van afhankelijkheid van Amerikaanse techleveranciers.

Vraag 27

Zijn er nog meer nota’s of notities met betrekking tot de overstap naar Microsoft die gebruikt zijn om de afweging te maken, maar nog niet gedeeld zijn met de Kamer? Kunt u deze alsnog openbaar maken?

In de bijlage vindt u een aantal aanvullende stukken die zijn geagendeerd op het bestuursteam Belastingdienst van 27 mei 2025.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en toezeggen dat u, tot deze beantwoord zijn, zich ten volste in zal spannen om een Europees alternatief voor de kantoorautomatisering van de Belastingdienst alsnog mogelijk te maken?

Zoals ik heb aangegeven in de brief die u bij deze antwoorden heeft ontvangen heb ik mij beperkt tot het beantwoorden van de feitelijke vragen en ben ik terughoudend geweest in het beantwoorden van vragen die over de toekomst gaan. Daarom zijn niet alle vragen afzonderlijk van elkaar beantwoord. De Belastingdienst zet wat betreft de grootschalige uitrol van M365 geen verdere stappen tot het aantreden van een nieuw bewindspersoon.

Vraag 1

Bent u bekend met het feit dat Italië een btw-aanslag heeft opgelegd aan Meta, LinkedIn en X?

Ja.

Vraag 2

Kunt u bevestigen dat de Europese Commissie van oordeel is dat er omzetbelasting geheven mag worden over sociale media als gebruikers de instellingen kunnen aanpassen waardoor de aanbieders persoonlijke data niet zomaar mogen verkopen en de gebruikers zelf minder functionaliteiten ter beschikking hebben?

Nee. De Europese Commissie heeft op verzoek van Italië slechts een eerste analyse1 gepresenteerd aan de andere lidstaten en gevraagd om een reactie daarop. In de analyse wordt beschreven dat heffing van btw in zulke situaties wellicht mogelijk is, omdat er dan bepaalde omstandigheden aanwezig kunnen zijn waardoor gemakkelijker een «rechtstreeks verband» kan worden gelegd tussen de door de aanbieder verrichte digitale dienst en de door de gebruiker verstrekte data. De Commissie plaatst daar echter meteen een aantal kanttekeningen bij. Zij merkt onder meer op dat het vaststellen van de waarde van de data (de maatstaf van heffing; het bedrag waarover btw geheven zou kunnen worden) lastig is en dat om die reden van geval tot geval een zorgvuldige beoordeling zal moeten worden gemaakt om tot een rechtvaardige en werkbare uitkomst te komen.
Bovendien sluit de Commissie af met de opmerking dat het zogenoemde «Btw-comité»2 mogelijk niet het juiste gremium is om deze kwestie te bespreken en dat een aanpassing van de Europese btw-richtlijn wellicht noodzakelijk is. De lidstaten zijn in de gelegenheid gesteld om hun visie op de mening en analyse van de Commissie – die dus geen officiële, of bindende interpretatie van de btw-richtlijn is3 – te delen. De gesprekken in het Btw-Comité zullen worden vervolgd en hebben dus nog niet tot een zogenoemd «richtsnoer» geleid.

Vraag 3

Kunt u uiteenzetten wanneer en onder welke voorwaarden er volgens de Europese Commissie omzetbelasting mag worden geheven over de data die aanbieders van sociale media van hun gebruikers krijgen?

Vragen over btw-heffing over «gratis» diensten van sociale mediabedrijven zijn niet nieuw. De centrale vraag is of tegenover de digitale («gratis») dienst een vergoeding in natura staat: de persoonlijke data van de gebruikers die bedrijven gebruiken om advertentie-inkomsten te verwerven.
Het Btw-comité heeft hierover in 2018 unaniem een richtsnoer aangenomen dat geen btw kan worden geheven over dergelijke «gratis» diensten, omdat het zogenoemde «rechtstreeks verband» tussen de digitale diensten en het verstrekken van persoonlijke data ontbreekt.4 Van een «rechtstreeks verband» is sprake wanneer tussen de verrichter en de ontvanger van de dienst een rechtsbetrekking bestaat in het kader waarvan over en weer prestaties worden uitgewisseld, en de door de dienstverrichter ontvangen vergoeding de werkelijke tegenwaarde vormt voor de ten behoeve van de ontvanger verrichte dienst.5 De persoonlijke data vormt niet de werkelijke tegenwaarde voor de digitale dienst. De diensten worden namelijk ook verleend als de gebruiker de persoonlijke data niet deelt. Dit richtsnoer geldt onverkort.
Italië meent dat er inmiddels situaties zijn waarvoor het unaniem aangenomen richtsnoer niet geldt. Daarom heeft Italië om de mening van het Btw-Comité gevraagd. Het gaat met name om de situatie waarin de mate van digitale dienstverlening afhankelijk is van de kwantiteit en kwaliteit van de persoonlijke data die de gebruiker verstrekt. Denk aan sociale mediabedrijven die minder foto's of video's zichtbaar maken als de gebruiker instellingen aanpast die het platform beperkt in het gebruik van persoonlijke data. In die situatie is volgens Italië wel een «rechtstreeks verband» aanwezig tussen de digitale diensten en het verstrekken van de persoonlijke data.
De Commissie beschrijft dat dit een situatie kan zijn waarin een «rechtstreeks verband» gemakkelijker kan worden gelegd. Zij tekent daarbij tegelijk aan dat het moeilijk is om te kwantificeren wat het belastbare bedrag is.
Daarnaast gaat de Commissie in op de situatie waarin de gebruiker het gebruik van de persoonlijke data niet beperkt en dus alle functionaliteiten behoudt. Zij merkt daarbij op dat het erop lijkt dat Italië – door de gewijzigde bedrijfsmodellen – ook in die gevallen van mening is dat (vanaf nu) toch sprake is van een «rechtstreeks verband» en daarbij voorbijgaat aan het unaniem aangenomen richtsnoer uit 2018. Volgens de Commissie kan ten aanzien van deze situatie nog altijd worden volgehouden dat er geen belastbare prestatie plaatsvindt, omdat het «rechtstreeks verband» ontbreekt.
Tot slot omschrijft de Commissie volledigheidshalve nog het bedrijfsmodel waarbij tegen betaling in geld een abonnement wordt afgesloten in ruil voor de volledige functionaliteiten, maar dan zonder (gepersonaliseerde) advertenties te tonen. Volgens de Commissie is het evident dat de gebruiker dan betaalt voor digitale diensten, zodat een met btw belastbare dienst door het sociale mediabedrijf wordt verricht.

Vraag 4

Bent u van mening dat het verstrekken van persoonlijke data ten behoeve van gratis toegang tot sociale media een belastbare transactie vormt?

Nee. Uitgangspunt blijft het unaniem aangenomen richtsnoer van het Btw-comité uit 2018. Dat betekent dat in de regel over het verstrekken van persoonlijke data bij «gratis» toegang tot sociale media geen btw wordt geheven. Ik onderschrijf de mening van de Commissie op dit punt, zoals beschreven bij de tweede situatie van antwoord 3.
Hoewel het eerder unaniem aangenomen richtsnoer het uitgangspunt blijft, kunnen er zich situaties voordoen, zoals Italië aangeeft, die niet onder de reikwijdte van het richtsnoer vallen. Dat is geheel afhankelijk van de feiten en de omstandigheden van het geval. Ik onderschrijf echter de kanttekeningen die de Commissie voor deze situaties plaatst bij het vaststellen van het bedrag waarover btw zou kunnen worden geheven. De btw-richtlijn bevat op dit moment ook geen werkbare bepalingen om de maatstaf van heffing (de vergoeding) te bepalen. Bovendien is het gelet op het grensoverschrijdende karakter van digitale diensten van groot belang dat alle EU-lidstaten dezelfde benadering hanteren. Met de Commissie ben ik van mening dat dit mogelijk om aanpassing van de btw-richtlijn vraagt. De voortzetting van de gesprekken in het Btw-comité zijn om die reden zeer belangrijk. Daar wil ik niet op vooruitlopen.

Vraag 5

Is het voor de Belastingdienst ook mogelijk in Nederland btw te heffen bij aanbieders van sociale media over de data, die zij van gebruikers krijgen en is de Belastingdienst voornemens dit te gaan doen? Zo nee, waarom niet? Welke stappen zijn er voor nodig om dit te gaan doen en per wanneer zou de Belastingdienst hiertoe kunnen overgaan?

De Belastingdienst kan btw heffen als daarvoor een voldoende eenduidige juridische grondslag is.
Zoals gezegd blijft het richtsnoer het uitgangspunt voor de beoordeling of btw-heffing kan plaatsvinden over de waarde van persoonlijke data. Heffing van btw in situaties die buiten het richtsnoer vallen, komt pas aan de orde als er een «rechtstreeks verband» tussen de geleverde data en de dienstverlening kan worden vastgesteld én als vaststaat over welk bedrag btw geheven zou kunnen worden. Daarover is op dit moment geen duidelijkheid. Daarbij spelen ook andere heffingsaspecten zoals het bepalen van de lidstaat die heffingsbevoegdheid heeft en de vraag of het op regelmatige basis «verkopen» van persoonlijke data door de gebruikers tot ondernemerschap voor de btw leidt. Bovendien moeten eventuele uitstralingseffecten naar andere, soortgelijke situaties (bijvoorbeeld loyaliteitsprogramma’s) worden onderzocht. Op dit moment vindt in het Btw-comité nog gedachtenvorming plaats over deze kwestie. Nederland draagt constructief bij aan deze gesprekken.

Vraag 6

Hoe hoog zou de jaarlijkse opbrengst zijn indien ook in Nederland btw wordt geheven over sociale media conform het Italiaanse voorbeeld?

Op dit moment bestaat onvoldoende inzicht om een betrouwbare raming te maken van een mogelijke btw-opbrengst over sociale media. Duidelijkheid over de maatstaf van heffing ontbreekt.
Italië geeft bovendien geen inzicht in de maatstaf van heffing noch de wijze van berekening waarop de (na)heffingsaanslag is gebaseerd. Ook de Commissie heeft geen richting gegeven aan de manier waarop de maatstaf van heffing kan worden bepaald. Zij geeft juist aan dat wellicht (aanvullende) EU-wetgeving noodzakelijk is. Gelet op deze onzekerheden op zowel juridisch als methodologisch vlak kan op dit moment geen opbrengst worden geraamd.
Indien wordt vastgesteld dat aanbieders van sociale media btw verschuldigd zijn over het verlenen van toegang tot de platforms, zal de Belastingdienst onderzoeken welke maatstaf van heffing van toepassing is. Daarnaast zal de Belastingdienst, binnen de geldende wettelijke kaders, beoordelen over welke periode en tot welke hoogte heffing kan plaatsvinden. In beginsel geldt daarbij een naheffingstermijn van vijf jaren na het einde van het kalenderjaar waarin de belastingschuld is ontstaan, met inachtneming van de algemene beginselen van behoorlijk bestuur.

Vraag 7

Hoe kijkt u naar het Italiaanse voorbeeld waar aanbieders van sociale media een naheffing opgelegd krijgen over eerdere jaren waarin geen btw is betaald? Kan dit met inachtneming van een betrouwbare overheid met terugwerkende kracht?

Zie antwoord vraag 6.

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Vraag 1

Bent u bekend met het bericht van RTL waarin wordt gemeld dat bij telecomprovider Odido een grootschalig datalek heeft plaatsgevonden en dat hierbij, anders dan eerder door het bedrijf gecommuniceerd, ook burgerservicenummers (BSN) zijn gelekt?1

Vraag 2

Hoe beoordeelt u de ernst van het incident, in het bijzonder het lekken van BSN, vanuit het perspectief van de bescherming van fundamentele rechten van burgers en hoe ingrijpend beoordeelt u de impact op burgers?

Vraag 3

In hoeverre acht u daarbij het recht op privacy en gegevensbescherming geschonden, nu (oud-)klanten van Odido buiten hun eigen schuld risico lopen op misbruik van hun persoonsgegevens?

Vraag 4

Hoe beoordeelt u het advies aan Odido om geen losgeld te betalen, gelet op de huidige situatie waarin de hackersgroep Shinyhunters is overgegaan tot publicatie van gestolen persoonsgegevens, met mogelijke ernstige gevolgen voor de (oud-)klanten van Odido?2

Vraag 5

Kunt u aangeven welke opsporingsprioriteit wordt gegeven aan het strafrechtelijk onderzoek dat is gestart door het Openbaar Ministerie en ligt daarbij ook een rol voor de digitale recherche?

Vraag 6

Welke rol ziet u bij het ondersteunen en informeren van burgers van wie persoonsgegevens door cybercriminelen zijn gepubliceerd en acht u het huidige instrumentarium hiervoor toereikend?

Vraag 7

Ziet u aanleiding om het strafrechtelijk kader of de opsporingscapaciteit op het terrein van hacks en digitale afpersing te versterken, bijvoorbeeld door intensivering van de digitale recherche van de politie of door aanpassing van wet- en regelgeving?

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden en dit doen voorafgaand aan de behandeling van de Cyberbeveiligingswet?

Vraag 1

Bent u bekend met het bericht van de NOS over de cyberaanval bij Odido waarbij gegevens van circa 6,2 miljoen accounts zijn buitgemaakt door criminelen?1

Vraag 2

Hoe beoordeelt u de omvang en ernst van dit datalek, mede gezien het feit dat ook gevoelige persoonsgegevens, zoals identiteitsdocumentnummers en rekeningnummers, mogelijk zijn gelekt?

Vraag 3

In hoeverre heeft deze cyberaanval gevolgen voor de digitale veiligheid en weerbaarheid van Nederland, gezien de maatschappelijke rol van telecomproviders?

Vraag 4

Hoe beoordeelt u het risico dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen kan dit hebben voor de veiligheid en privacy van betrokken burgers?

Vraag 5

Heeft Odido het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens en andere relevante instanties, en bent u op de hoogte van eventuele lopende onderzoeken?

Vraag 6

Is er volgens uw inschatting sprake van nalatigheid of onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido?

Vraag 7

Welke risico’s lopen getroffen klanten en acht u de door Odido genomen maatregelen voldoende om deze risico’s te beperken?

Vraag 8

Welke eisen worden momenteel gesteld aan telecomproviders ten aanzien van cyberbeveiliging en gegevensbescherming en voldoen deze volgens u nog aan de huidige dreigingscontext?

Vraag 9

Ziet u aanleiding om aanvullende eisen of toezichtmaatregelen te treffen richting telecomproviders om grootschalige datalekken te voorkomen?

Vraag 10

Welke rol ziet u voor de overheid bij het ondersteunen van bedrijven en burgers bij het beperken van schade na grootschalige datalekken?

Vraag 11

Acht u de oproep van Odido aan klanten om «extra alert» te zijn voldoende, of ziet u een verantwoordelijkheid voor aanvullende beschermingsmaatregelen richting getroffen klanten?

Vraag 12

Bestaan er landelijke richtlijnen of protocollen voor ondersteuning van burgers die slachtoffer zijn van grootschalige datalekken waarbij identiteitsgegevens zijn buitgemaakt? Zo ja, worden deze in dit geval toegepast?

Vraag 13

Op welke wijze houdt de Autoriteit Persoonsgegevens toezicht op de opvolging van dit incident, en beschikt de toezichthouder volgens u over voldoende bevoegdheden en capaciteit om effectief toezicht te houden bij grootschalige datalekken?

Vraag 14

Welke lessen trekt u uit dit incident voor het beleid richting de markt op het gebied van de weerbaarheid van organisaties die grote hoeveelheden persoonsgegevens verwerken?

Vraag 1

Heeft u kennisgenomen van het bericht «Elon Musks AI-chatbot Grok onder vuur door seksueel getinte beelden»?1

Vraag 2

Bent u op de hoogte van het incident waarbij AI-chatbot Grok door gebruikers werd aangespoord om seksuele deepfakes van minderjarige meisjes te genereren, en dat deze beelden tot wel 12 uur online hebben gestaan voordat ze werden verwijderd? Zo ja, hoe beoordeelt u dit incident in het licht van de Digital Services Act (DSA) verplichtingen ten aanzien van bescherming van minderjarigen?

Vraag 3

Welke stappen onderneemt Nederland binnen de Raad en richting de Europese Commissie om ervoor te zorgen dat DSA-verplichtingen met betrekking tot bescherming van minderjarigen en voorkomen van AI-malafide content effectief worden nageleefd door grote platforms?

Vraag 4

Bent u op de hoogte van de lopende onderzoeken van meerdere landen (o.a. Frankrijk, Zweden, Australië) tegen X over de stroom aan deepfakes en seksueel expliciete AI-beelden? Zo ja, wat is de Nederlandse positie en rol hierin?

Vraag 5

Onder DSA zijn grote platformen verplicht om duidelijke, gebruiksvriendelijke mechanismen voor het rapporteren van illegale content te hebben en deze snel te behandelen, hoe beoordeelt u de effectiviteit van de huidige mechanismen van X, mede gezien het feit dat sommige beelden pas na journalistieke publiciteit werden verwijderd?

Vraag 6

Hoeveel meldingen van AI-gegenereerde illegale content, waaronder deepfakes en beelden met minderjarigen, zijn via het DSA-transparantiesysteem aan de Europese Commissie en nationale autoriteiten gerapporteerd, en wat is daarvan de uitkomst?

Vraag 7

Kunt u duidelijkheid geven over hoe momenteel toezicht en handhaving is ingericht op het gebied van deepfake incidenten in Nederland? En is dit alleen meldings-gedreven of ook door middel van actieve detectie?

Vraag 8

Hoe verhoudt de handhaving van de AVG zich tot de handhaving van de DSA in dit soort gevallen, en ziet u mogelijkheden om deze instrumenten gezamenlijk effectiever in te zetten?

Vraag 9

Vindt u dat «nudify»-apps en dergelijke functies van AI-chatbots überhaupt bestaansrecht hebben? Zo nee, wat gaat u daaraan doen?

Vraag 10

Bent u bereid om aan te dringen op effectieve handhaving tegen X in de kwestie van AI-gegenereerde beelden van minderjarigen en zo ja, welke nationale en Europese maatregelen kunnen er genomen worden of welke sancties kunnen er worden opgelegd?

Vraag 11

Kunt u deze vragen elk afzonderlijk beantwoorden?

Vraag 1

Heeft u kennisgenomen van het NRC-artikel «Google en Microsoft verzwijgen energiegebruik van hyperscale-datacenters; Datacentra Techbedrijven zwijgen over energieverbruik»?1

Vraag 2

Hoe beoordeelt u het feit dat Microsoft en Google rapportages weigeren over het energieverbruik van hun datacenters in Nederland in Eemshaven en bij Middenmeer niet aanleveren?

Vraag 3

Deelt u de opvatting dat zonder gedetailleerde verbruiksdata geen goed beleid mogelijk is voor energie-infrastructuur?

Vraag 4

Deelt u de analyse in het artikel dat gebrek aan transparantie over het energieverbruik van datacenters goed onderzoek naar netcapaciteit, de maatschappelijke impact van digitalisering, waaronder AI belemmert?

Vraag 5

Waarom wordt er gesteld dat openbaarmaking van deze energiegegevens juridisch niet kunnen worden afgedwongen bij tech bedrijven zoals Microsoft en Google, terwijl Europese regels dit wel verplichten? Is hier sprake van onwil of onduidelijkheid in de uitvoering?

Vraag 6

Hoe kan het dat de Europese Energie-efficiëntierichtlijn (EED) bedrijven verplicht om energie- en waterverbruik te rapporteren, maar dat grote datacenters in Nederland lege formulieren kunnen indienen zonder gevolgen?

Vraag 7

Bent u bereid om consequenties te verbinden aan bedrijven die niet voldoen aan Europese transparantie-eisen over energieverbruik?

Vraag 8

Bent u bereid om, in het licht van de groei van AI en het toenemende energieverbruik daarvan, strengere nationale eisen te stellen aan transparantie van (Amerikaanse) grootverbruikers?

Vraag 9

Kunt u toezeggen dat het kabinet actief gaat afdwingen dat Europese openbaarmakingsregels voor energieverbruik van datacenters van Big Tech, daadwerkelijk worden nageleefd?

Vraag 10

Deelt u de analyse in het artikel dat Microsoft en Google Europese transparantieregels over energieverbruik ondermijnen en dat Nederland daarin te weinig tegenwicht biedt?

Vraag 11

Bent u bereid om de energieverbruik gegevens van de datacenters van Amerikaanse tech bedrijven, waaronder die van Microsoft en Google, alsnog op te eisen?

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u nog steeds van mening dat de overstap van de Belastingdienst naar Microsoft1 slechts is voorzien van «een zeer magere onderbouwing»?2

In de afgelopen periode is er intensief overleg geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken. Hieruit is naar voren gekomen dat er, gezien de (technische) keuzes van de Belastingdienst in het verleden, op korte termijn geen alternatief is voor de overgang naar Microsoft 365 (M365), anders dan gebruik blijven maken van de huidige verouderde werkomgeving.
De Belastingdienst heeft aangegeven dat ze sindsdien opnieuw onderzocht hebben of er nu wel Europese alternatieven zijn. Uit verkennende gesprekken blijkt dat er op dit moment nog geen volledig geïntegreerd Europees alternatief is voor M365.

Vraag 2

Staat u nog steeds achter uw stelling dat de Belastingdienst niet heeft onderbouwd dat er geen Europese alternatieven voor Microsoft zouden zijn?

Zie antwoord vraag 1.

Vraag 3

Voldoet de onderbouwing voor de overstap van de Belastingdienst aan het geldende cloudbeleid?3 Kunt u hard maken dat tijdig aan alle eisen is voldaan?

Ja, de overstap voor de kantoorautomatisering van de Belastingdienst naar M365 voldoet aan het rijksbrede cloudbeleid (2022) en het daaruit volgende cloudbeleid van het Ministerie van Financiën. Dat geldt zowel voor het besluit uit 2021 als de verkenning naar mogelijke alternatieven (terwijl de werkplek zelf al was uitgerond) in 2025. Zo heeft de Belastingdienst een cloudtoets gedaan. Er zijn een risicoanalyse en exitstrategie opgesteld. Deze zijn vertrouwelijk aan uw Kamer aangeboden. Verder is er een DPIA opgesteld en heeft de Belastingdienst voor de definitieve besluitvorming afstemming gezocht met de CIO Rijk.

Vraag 4

Heeft de Belastingdienst, door zich in 2021 te committeren aan de overstap naar Microsoft, het onmogelijk gemaakt om alsnog af te wijken van dit besluit en tijdig een Europees alternatief te implementeren?

De Belastingdienst is in 2021 gestart met het traject om de werkplekken te vervangen en moderniseren. Hierdoor zijn de mogelijkheden om over te stappen op een alternatief beperkt. De nieuwe uitgerolde werkplek, in de vorm van laptops, is namelijk ingericht op het gebruik van M365. In het geval dat er wel een geschikt Europees alternatief zou zijn, moet er een geheel nieuwe werkomgeving worden ontworpen en geïmplementeerd. De doorlooptijd hiervan is aanzienlijk en is afhankelijk van de te configureren oplossing. De verwachting is dat dit in ieder geval enkele jaren zal kosten.

Vraag 5

Deelt u de mening dat, gezien (geo)politieke ontwikkelingen en de duidelijke wens van de Kamer om de digitale autonomie van Nederland te bevorderen, de overstap van de Belastingdienst naar Microsoft alsnog heroverwogen dient te worden?

De Belastingdienst heeft bij de aanvang van het traject in 2021 gekozen voor de implementatie van M365 bij het inrichten van de werkplekken en het vervangen en moderniseren van de werkomgeving. De (geo)politieke situatie was destijds anders dan nu en het beperken van de afhankelijkheid van niet-Europese partijen speelde toen een beperktere rol in de afwegingen.
In 2025 heeft de Belastingdienst gekeken of er nog mogelijkheden bestonden om af te wijken van het pad dat in 2021 is ingeslagen en zijn er mogelijke alternatieve oplossingen bekeken. Zoals uitgelegd in de technische briefing van 4 februari jl. over dit onderwerp heeft dit heeft niet tot een andere uitkomst geleid.

Vraag 6

Bent u op de hoogte van het rapport van de Cyber Safety Review Board uit 2024 over de beveiliging van Microsoft, waaruit blijkt dat het bedrijf de cyberveiligheid structureel niet op orde heeft?4, 5 Hoe beoordeelt u het argument dat Microsoft de beste beveiliging biedt in het licht van de conclusies uit dit rapport?

Ja, ik ben op de hoogte van het genoemde rapport. In reactie op het rapport heeft Microsoft onder de naam «Secure Future Initiative» (https://blogs.microsoft.com/on-the-issues/2024/06/13/microsofts-work-to-strengthen-cybersecurity-protection/) de verantwoordelijkheid voor de incidenten geaccepteerd en actie ondernomen om zowel de producten en diensten als de operatie van Microsoft 365 te verbeteren.

Vraag 7

Bent u bereid om, in samenwerking met de Belastingdienst, duidelijk te maken welke aanvullende middelen, expertise of capaciteit nodig zijn om alsnog af te zien van de overstap naar Microsoft en zo snel mogelijk een Europees alternatief te realiseren?

Volgens de Belastingdienst is er op dit moment geen geïntegreerd Europees alternatief, met een vergelijkbaar niveau als M365, beschikbaar. Zelfs als dit alternatief er zou zijn kost het de Belastingdienst, afhankelijk van de te configureren oplossing, enkele jaren om dit te implementeren. Dit betekent dat er in de tussentijd wordt doorgewerkt op een nieuwe werkplek waarbij rekening is gehouden met de implementatie van M365. Daardoor worden medewerkers geconfronteerd met workarounds en productiviteitsverlies.
Vragen over toekomstige keuzes laat ik aan mijn opvolger.

Vraag 8

Welke «workarounds» worden nu gebruikt door ambtenaren in hun digitale werkomgeving? Bent u bereid om te onderzoeken of deze belemmeringen weg te nemen zijn zonder de overstap naar Microsoft te maken?

De workarounds zijn ontstaan omdat medewerkers nu doorwerken in een verouderde omgeving vanaf nieuwe werkplekken die zijn ingericht op een M365-omgeving. De workarounds zijn (inefficiënte) manieren om vanaf deze nieuwe werkplekken met de beperkingen van de huidige werkomgeving om te gaan. Deze workarounds zijn vrij technisch van aard. Een voorbeeld is dat bepaalde bestanden niet worden ondersteund door de uitgerolde Digitale Brug Overheid (DBO)-werkplek. Medewerkers zijn nu genoodzaakt deze bestanden naar een postbus op te sturen zodat het handmatig in het gewenste bestandsformaat kan worden omgezet en teruggestuurd. Een ander voorbeeld is dat bepaalde applicaties die deurwaarders nodig hebben op de DBO-werkplek alleen te gebruiken zijn vanuit de fysieke kantooromgeving. Met de implementatie van M365 worden dit soort problemen opgelost. Het wegnemen van deze workarounds zonder de overstap te maken naar M365 betekent dat de Belastingdienst alsnog gaat investeren in de huidige verouderde werkomgeving.

Vraag 9

Waarom zijn de CIO Rijk en de overige IT-dienstverleners van het Rijk «pas in een zeer laat stadium» betrokken in het proces van de Belastingdienst? Wanneer is dit gebeurd, en waarom pas op dat zeer late moment?6

Uw Kamer is reeds in het najaar van 2024 geïnformeerd over de overgang maar Microsoft 365 voor de werkplekken.7 Zoals ook aangegeven in mijn brief van 2 oktober jl. is dit voornemen ook door mijn ambtsvoorganger met u gedeeld in het Jaarplan Belastingdienst 2025. 8
In het afgelopen jaar is er contact geweest tussen de Belastingdienst, CIO Rijk en het Ministerie van Binnenlandse Zaken over de overstap. In de loop van 2025 heeft de Belastingdienst ook contact gezocht met SSC-ICT om een oriënterende verkenning te laten plaatsvinden naar de mogelijkheid om de functionaliteiten voor mail en agenda onder te brengen bij SSC-ICT. Daaruit is geconcludeerd dat dit geen optie is voor de korte- of middellange termijn.

Vraag 10

Deelt u de mening dat de Belastingdienst in 2021, door uit te gaan van Microsoft 365 en Windows 11 als «gouden standaard,» geen gedegen verkenning heeft gedaan van Europese alternatieven?

De keuze voor M365 is gemaakt in 2021. De (geo)politieke situatie was destijds anders dan nu, het versterken van de autonomie speelde destijds een beperkte rol in de afwegingen. Daarom werd destijds niet de noodzaak gevoeld voor een gedegen verkenning gedaan naar Europese alternatieven en heeft deze dus ook niet plaatsgevonden. De Belastingdienst heeft toen, net zoals veel andere overheidsorganisaties en private organisaties, de keuze gemaakt voor de standaard van Windows 11 en M365 en heeft deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement Microsoft voor de rijksoverheid (SLM Rijk).

Vraag 11

Deelt u de mening dat de scenario’s van de Belastingdienst, zoals die in de (beslis)nota van 28 juni 2025 zijn beschreven,7 onvolledig zijn omdat ze in de basis uitgaan van een werkomgeving die is ingericht voor Microsoft?

Het klopt dat de nota uitgaat van een werkomgeving die is ingericht voor Microsoft, omdat de uitgerolde werkplekken hiervoor zijn ingericht en is geschreven vanuit de uitgangspositie waarin de Belastingdienst zich destijds bevond. Elk (Europees) alternatief zou hier op moeten worden aangesloten. Daarmee is geen sprake van onvolledigheid, omdat iedere andere uitgangspositie een nieuw werkplekconcept behoeft.

Vraag 12

Wanneer heeft de Belastingdienst precies besloten om deze scenario’s uit te werken? Welke specifieke «(geo)politieke en maatschappelijke ontwikkelingen» gaven hier aanleiding toe?8

Na onder andere de door uw Kamer ingediende moties heeft de Belastingdienst in het voorjaar besloten om de andere scenario’s nader uit te werken.

Vraag 13

Acht u de keuze van de Belastingdienst om voor de werkomgeving over te stappen naar Microsoft inmiddels onafhankelijk en voldoende onderbouwd?

Ik verwijs u naar het antwoord op vraag 1 en 2.

Vraag 14

In het geval u de mening deelt van de indieners dat er geen degelijke onafhankelijke verkenning is uitgevoerd naar Europese alternatieven, kunt u er op toezien dat deze alsnog op korte termijn wordt uitgevoerd met als doel om een alternatieve Europese route voor de cloudmigratie van de Belastingdienst te schetsen?

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 15

Waarop baseert de Belastingdienst de aanname dat de onderzochte scenario’s «naar verwachting binnen het aangepaste cloudbeleid passen dat momenteel door BZK wordt herzien»?9 Kunt u duidelijk uitleggen waar dit uit blijkt, aangezien dit beleid nog niet is vastgesteld en er sindsdien ook Kamermoties10 zijn aangenomen om de eisen voor soevereiniteit verder aan te scherpen?

Zie antwoord vraag 14.

Vraag 16

Kunt u per scenario, uitgewerkt door de Belastingdienst, een realistische schatting maken van de aanvullende kosten die hier bij gemoeid zouden zijn? Welk scenario acht u vanuit het soevereiniteitsbelang het meest geschikt?

Ik ga ervan uit dat u doelt op de scenario’s zoals opgenomen in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025. In deze nota zijn de kosten per scenario op hoofdlijnen uitgedrukt. Een nadere uitwerking met als doel om tot een meer precies bedrag per scenario uit te werken zou niet hebben geleid tot een andere uitkomst en heeft daarom niet plaatsgevonden. Daarnaast zijn er ook niet-financiële knelpunten zoals doorlooptijden, stroomvoorziening en datacenter capaciteit. De beantwoording van het tweede deel van de vraag laat ik, zoals aangegeven in de oplegbrief, aan mijn opvolger.

Vraag 17

Wat bedoelt u met uw antwoord dat «de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven [volgt]» en «[actief] kijkt naar de mogelijkheden van soevereine en of Europese cloudoplossingen»? Zijn er afspraken gemaakt over wat dit concreet betekent en welke verwachtingen heeft u precies van de Belastingdienst?11, 12

Zoals aangegeven in de oplegbrief beperk ik mij tot het beantwoorden van de feitelijke vragen. Ik acht het passend de beantwoording van vragen die toezien op toekomstige keuzes aan mijn opvolger te laten.

Vraag 18

Waarom «volgt» de Belastingdienst enkel de ontwikkeling van een soeverein alternatief als MijnBureau, in plaats van dat zij dit met overtuiging afneemt? Ziet u mogelijkheden voor een schaalbare pilot binnen de Belastingdienst om een soeverein alternatief voor Microsoft op de werkvloer uit te proberen?

De Belastingdienst volgt het initiatief MijnBureau, omdat een (grootschalige) implementatie hiervan binnen de Belastingdienst op dit moment niet realistisch en uitvoerbaar is.
Een pilot van dit initiatief kan alleen plaatsvinden als het een voldoende hoog volwassenheidsniveau heeft bereikt en moet tegen die tijd gecontroleerd en zorgvuldig plaatsvinden. Dat neemt niet weg dat op termijn, zodra deze oplossing voldoende volwassen is, de Belastingdienst kan aansluiten bij een (rijksbrede) pilot van MijnBureau.
Daarnaast richt de Belastingdienst zich niet alleen op MijnBureau, maar wordt er ook actief onderzoek gedaan naar de ervaringen van andere Europese partijen die een overstap voorbereiden of dit al hebben gedaan. Hierbij wordt nauw opgetrokken met onder andere CIO Rijk.

Vraag 19

Deelt u de mening dat meer departementen en uitvoerders MijnBureau moeten afnemen om het project levensvatbaar te maken en waardevolle inzichten op te doen voor soevereine werkplekken?

Ja, in algemene zin deel ik deze mening. De levensvatbaarheid van een soeverein initiatief als MijnBureau is daarbij gebaat en dat kan leiden tot waardevolle inzichten. Het is wel belangrijk dat dit zorgvuldig en gecontroleerd plaatsvindt. Kleinschalig starten bij kleine overheidsorganisaties is daarbij belangrijk om zodoende op basis van ervaringen te werken aan de volwassenheid als voorbereiding op een eventuele grootschalige uitrol bij grote uitvoeringsorganisaties zoals de Belastingdienst. Daarnaast geldt dat de integratie van kantoorautomatisering in een uitvoeringsorganisatie complexer is dan bij een beleidsdepartement.

Vraag 20

Welke aanvullende afspraken zijn met Microsoft gemaakt om de risico’s in het voorkeursscenario van de Belastingdienst «zo beheersbaar mogelijk» te maken?13 Beaamt de CIO Rijk dat de risico’s zo veel als mogelijk zijn beheerst?

De aanvullende afspraken tussen de Belastingdienst en Microsoft zijn niet met CIO Rijk gedeeld, er kan daarom geen oordeel over worden geveld.

Vraag 21

Acht u het acceptabel dat het mailverkeer van de Belastingdienst, waarin fiscale informatie en informatie over «rulings» wordt gecommuniceerd, straks afhankelijk wordt van Microsoft?14

De Belastingdienst werkt continu aan het creëren van meer bewustzijn bij medewerkers om nog bewuster om te gaan met het versturen van gevoelige informatie. Daarvoor worden werkinstructies opgesteld om te voorkomen dat gevoelige informatie zoals rulings in de cloud kunnen belanden. Ook na de overstap naar M365 blijft het voor de medewerkers mogelijk om (gevoelige) informatie veilig on-premises op te slaan en onderling (en met een derde) te delen via het Belastingdienst-file-transfer. Dit is een applicatie voor medewerkers van de Belastingdienst waarmee zij (grote) bestanden kunnen delen.

Vraag 22

Acht u het acceptabel dat het mailverkeer van de Belastingdienst onder Amerikaanse surveillancewetgeving zoals de CLOUD Act, sectie 702 van de Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333 komt te vallen? Hoe verhoudt dit zich tot de fiscale geheimhoudingsplicht?15

Ik ben niet naïef over de mogelijkheid dat de informatie waarover de Belastingdienst beschikt interessant kan zijn voor de Amerikaanse overheid. De Belastingdienst is zich bewust van de werking van de door u genoemde extraterritoriale Amerikaanse wetgeving. Dit risico is meegewogen in de risicoanalyse en waar mogelijk beperkt. Zoals ik ook heb aangegeven in antwoord op uw eerdere vragen betekent de overstap naar M365 een vergroting van de afhankelijkheid van de Verenigde Staten.18

Vraag 23

Deelt u de mening dat het rapport uit 2022 van GreenbergTraurig, waarin wordt gesteld dat het risico dat de VS gebruik maakt van de CLOUD Act klein is, achterhaald is door de geopolitieke ontwikkelingen nu ook de AIVD en de MIVD minder informatie met de Amerikanen delen?16

Ik erken dat de geopolitieke situatie ten opzichte van 2022 is veranderd, dat heeft een ander risicobeeld met zich meegebracht. De Belastingdienst heeft dit meegenomen in de opgestelde risicoanalyse en dit expliciet meegewogen. Deze risicoanalyse heb ik vertrouwelijk aan uw Kamer ter inzage aangeboden.

Vraag 24

Beschikt Microsoft in het geval er «double key encryption» wordt toegepast over een sleutel naar deze data? Zo ja, hoe is het versleutelen van data dan een geschikte mitigerende maatregel?

U doelt daarmee op een maatregel zoals is voorgesteld in de nota «Scenario’s overstap kantoorautomatisering naar cloud» van 27 juni 2025 bij een specifiek product van Microsoft. De maatregel van «double key encryption» wordt niet toegepast. Door gebruik te maken van «double key encryption» zijn verschillende functionaliteiten niet meer mogelijk. Zo kunnen bijvoorbeeld verschillende bestanden dan niet langer geïndexeerd worden. Deze maatregel is tevens afgewogen in de eerdergenoemde risicoanalyse.
De Belastingdienst is continu op zoek naar nieuwe oplossingen die een betere bescherming van de data mogelijk maken en het risico van het ongeautoriseerd toegang hebben tot data mitigeren.

Vraag 25

Klopt het dat de exitstrategie, waarin binnen negen maanden data uit de Microsoft-cloudomgeving wordt gehaald, «met hulp van Microsoft» wordt uitgevoerd?17 Is de exitstrategie om wég te komen van Microsoft daardoor niet ook afhankelijk geworden van Microsoft?

Nee, de exitstrategie bevat namelijk in algemene zin twee scenario’s. Een scenario waarbij de leverancier meewerkt en de Belastingdienst negen maanden de tijd krijgt om de bestanden te migreren naar een nieuwe gewenste omgeving. Daarnaast is er ook een scenario waarin rekening wordt gehouden met een acuut vertrek, bijvoorbeeld nadat de leverancier onder statelijke druk de diensten stopt. Voor dit scenario heeft de Belastingdienst een back-up en wordt er teruggevallen op de huidige on-premises omgeving.

Vraag 26

Kunt u de garantie van Microsoft, dat zij zich tegen alle vormen van politieke druk vanuit de VS zullen verzetten, hard maken? Welke concrete afspraken zijn hierover gemaakt? Kunt u bijpassende documentatie met de Kamer delen?

Microsoft heeft de zogenaamde EU-commitments gepubliceerd. Dat laat niet onverlet, dat in een extreem geval, Microsoft onder statelijke druk gedwongen kan worden om te stoppen met leveren van diensten. Dit is in de recente geschiedenis alleen onder specifieke sanctiewetgeving gebeurd. Daarbij wil ik wel opmerken dat dit, tot op zekere hoogte, ook geldt voor on-premises oplossingen. Want ook daar is sprake van afhankelijkheid van Amerikaanse techleveranciers.

Vraag 27

Zijn er nog meer nota’s of notities met betrekking tot de overstap naar Microsoft die gebruikt zijn om de afweging te maken, maar nog niet gedeeld zijn met de Kamer? Kunt u deze alsnog openbaar maken?

In de bijlage vindt u een aantal aanvullende stukken die zijn geagendeerd op het bestuursteam Belastingdienst van 27 mei 2025.

Vraag 28

Kunt u deze vragen afzonderlijk van elkaar beantwoorden en toezeggen dat u, tot deze beantwoord zijn, zich ten volste in zal spannen om een Europees alternatief voor de kantoorautomatisering van de Belastingdienst alsnog mogelijk te maken?

Zoals ik heb aangegeven in de brief die u bij deze antwoorden heeft ontvangen heb ik mij beperkt tot het beantwoorden van de feitelijke vragen en ben ik terughoudend geweest in het beantwoorden van vragen die over de toekomst gaan. Daarom zijn niet alle vragen afzonderlijk van elkaar beantwoord. De Belastingdienst zet wat betreft de grootschalige uitrol van M365 geen verdere stappen tot het aantreden van een nieuw bewindspersoon.

Vraag 1

Bent u bekend met het feit dat Italië een btw-aanslag heeft opgelegd aan Meta, LinkedIn en X?

Ja.

Vraag 2

Kunt u bevestigen dat de Europese Commissie van oordeel is dat er omzetbelasting geheven mag worden over sociale media als gebruikers de instellingen kunnen aanpassen waardoor de aanbieders persoonlijke data niet zomaar mogen verkopen en de gebruikers zelf minder functionaliteiten ter beschikking hebben?

Nee. De Europese Commissie heeft op verzoek van Italië slechts een eerste analyse1 gepresenteerd aan de andere lidstaten en gevraagd om een reactie daarop. In de analyse wordt beschreven dat heffing van btw in zulke situaties wellicht mogelijk is, omdat er dan bepaalde omstandigheden aanwezig kunnen zijn waardoor gemakkelijker een «rechtstreeks verband» kan worden gelegd tussen de door de aanbieder verrichte digitale dienst en de door de gebruiker verstrekte data. De Commissie plaatst daar echter meteen een aantal kanttekeningen bij. Zij merkt onder meer op dat het vaststellen van de waarde van de data (de maatstaf van heffing; het bedrag waarover btw geheven zou kunnen worden) lastig is en dat om die reden van geval tot geval een zorgvuldige beoordeling zal moeten worden gemaakt om tot een rechtvaardige en werkbare uitkomst te komen.
Bovendien sluit de Commissie af met de opmerking dat het zogenoemde «Btw-comité»2 mogelijk niet het juiste gremium is om deze kwestie te bespreken en dat een aanpassing van de Europese btw-richtlijn wellicht noodzakelijk is. De lidstaten zijn in de gelegenheid gesteld om hun visie op de mening en analyse van de Commissie – die dus geen officiële, of bindende interpretatie van de btw-richtlijn is3 – te delen. De gesprekken in het Btw-Comité zullen worden vervolgd en hebben dus nog niet tot een zogenoemd «richtsnoer» geleid.

Vraag 3

Kunt u uiteenzetten wanneer en onder welke voorwaarden er volgens de Europese Commissie omzetbelasting mag worden geheven over de data die aanbieders van sociale media van hun gebruikers krijgen?

Vragen over btw-heffing over «gratis» diensten van sociale mediabedrijven zijn niet nieuw. De centrale vraag is of tegenover de digitale («gratis») dienst een vergoeding in natura staat: de persoonlijke data van de gebruikers die bedrijven gebruiken om advertentie-inkomsten te verwerven.
Het Btw-comité heeft hierover in 2018 unaniem een richtsnoer aangenomen dat geen btw kan worden geheven over dergelijke «gratis» diensten, omdat het zogenoemde «rechtstreeks verband» tussen de digitale diensten en het verstrekken van persoonlijke data ontbreekt.4 Van een «rechtstreeks verband» is sprake wanneer tussen de verrichter en de ontvanger van de dienst een rechtsbetrekking bestaat in het kader waarvan over en weer prestaties worden uitgewisseld, en de door de dienstverrichter ontvangen vergoeding de werkelijke tegenwaarde vormt voor de ten behoeve van de ontvanger verrichte dienst.5 De persoonlijke data vormt niet de werkelijke tegenwaarde voor de digitale dienst. De diensten worden namelijk ook verleend als de gebruiker de persoonlijke data niet deelt. Dit richtsnoer geldt onverkort.
Italië meent dat er inmiddels situaties zijn waarvoor het unaniem aangenomen richtsnoer niet geldt. Daarom heeft Italië om de mening van het Btw-Comité gevraagd. Het gaat met name om de situatie waarin de mate van digitale dienstverlening afhankelijk is van de kwantiteit en kwaliteit van de persoonlijke data die de gebruiker verstrekt. Denk aan sociale mediabedrijven die minder foto's of video's zichtbaar maken als de gebruiker instellingen aanpast die het platform beperkt in het gebruik van persoonlijke data. In die situatie is volgens Italië wel een «rechtstreeks verband» aanwezig tussen de digitale diensten en het verstrekken van de persoonlijke data.
De Commissie beschrijft dat dit een situatie kan zijn waarin een «rechtstreeks verband» gemakkelijker kan worden gelegd. Zij tekent daarbij tegelijk aan dat het moeilijk is om te kwantificeren wat het belastbare bedrag is.
Daarnaast gaat de Commissie in op de situatie waarin de gebruiker het gebruik van de persoonlijke data niet beperkt en dus alle functionaliteiten behoudt. Zij merkt daarbij op dat het erop lijkt dat Italië – door de gewijzigde bedrijfsmodellen – ook in die gevallen van mening is dat (vanaf nu) toch sprake is van een «rechtstreeks verband» en daarbij voorbijgaat aan het unaniem aangenomen richtsnoer uit 2018. Volgens de Commissie kan ten aanzien van deze situatie nog altijd worden volgehouden dat er geen belastbare prestatie plaatsvindt, omdat het «rechtstreeks verband» ontbreekt.
Tot slot omschrijft de Commissie volledigheidshalve nog het bedrijfsmodel waarbij tegen betaling in geld een abonnement wordt afgesloten in ruil voor de volledige functionaliteiten, maar dan zonder (gepersonaliseerde) advertenties te tonen. Volgens de Commissie is het evident dat de gebruiker dan betaalt voor digitale diensten, zodat een met btw belastbare dienst door het sociale mediabedrijf wordt verricht.

Vraag 4

Bent u van mening dat het verstrekken van persoonlijke data ten behoeve van gratis toegang tot sociale media een belastbare transactie vormt?

Nee. Uitgangspunt blijft het unaniem aangenomen richtsnoer van het Btw-comité uit 2018. Dat betekent dat in de regel over het verstrekken van persoonlijke data bij «gratis» toegang tot sociale media geen btw wordt geheven. Ik onderschrijf de mening van de Commissie op dit punt, zoals beschreven bij de tweede situatie van antwoord 3.
Hoewel het eerder unaniem aangenomen richtsnoer het uitgangspunt blijft, kunnen er zich situaties voordoen, zoals Italië aangeeft, die niet onder de reikwijdte van het richtsnoer vallen. Dat is geheel afhankelijk van de feiten en de omstandigheden van het geval. Ik onderschrijf echter de kanttekeningen die de Commissie voor deze situaties plaatst bij het vaststellen van het bedrag waarover btw zou kunnen worden geheven. De btw-richtlijn bevat op dit moment ook geen werkbare bepalingen om de maatstaf van heffing (de vergoeding) te bepalen. Bovendien is het gelet op het grensoverschrijdende karakter van digitale diensten van groot belang dat alle EU-lidstaten dezelfde benadering hanteren. Met de Commissie ben ik van mening dat dit mogelijk om aanpassing van de btw-richtlijn vraagt. De voortzetting van de gesprekken in het Btw-comité zijn om die reden zeer belangrijk. Daar wil ik niet op vooruitlopen.

Vraag 5

Is het voor de Belastingdienst ook mogelijk in Nederland btw te heffen bij aanbieders van sociale media over de data, die zij van gebruikers krijgen en is de Belastingdienst voornemens dit te gaan doen? Zo nee, waarom niet? Welke stappen zijn er voor nodig om dit te gaan doen en per wanneer zou de Belastingdienst hiertoe kunnen overgaan?

De Belastingdienst kan btw heffen als daarvoor een voldoende eenduidige juridische grondslag is.
Zoals gezegd blijft het richtsnoer het uitgangspunt voor de beoordeling of btw-heffing kan plaatsvinden over de waarde van persoonlijke data. Heffing van btw in situaties die buiten het richtsnoer vallen, komt pas aan de orde als er een «rechtstreeks verband» tussen de geleverde data en de dienstverlening kan worden vastgesteld én als vaststaat over welk bedrag btw geheven zou kunnen worden. Daarover is op dit moment geen duidelijkheid. Daarbij spelen ook andere heffingsaspecten zoals het bepalen van de lidstaat die heffingsbevoegdheid heeft en de vraag of het op regelmatige basis «verkopen» van persoonlijke data door de gebruikers tot ondernemerschap voor de btw leidt. Bovendien moeten eventuele uitstralingseffecten naar andere, soortgelijke situaties (bijvoorbeeld loyaliteitsprogramma’s) worden onderzocht. Op dit moment vindt in het Btw-comité nog gedachtenvorming plaats over deze kwestie. Nederland draagt constructief bij aan deze gesprekken.

Vraag 6

Hoe hoog zou de jaarlijkse opbrengst zijn indien ook in Nederland btw wordt geheven over sociale media conform het Italiaanse voorbeeld?

Op dit moment bestaat onvoldoende inzicht om een betrouwbare raming te maken van een mogelijke btw-opbrengst over sociale media. Duidelijkheid over de maatstaf van heffing ontbreekt.
Italië geeft bovendien geen inzicht in de maatstaf van heffing noch de wijze van berekening waarop de (na)heffingsaanslag is gebaseerd. Ook de Commissie heeft geen richting gegeven aan de manier waarop de maatstaf van heffing kan worden bepaald. Zij geeft juist aan dat wellicht (aanvullende) EU-wetgeving noodzakelijk is. Gelet op deze onzekerheden op zowel juridisch als methodologisch vlak kan op dit moment geen opbrengst worden geraamd.
Indien wordt vastgesteld dat aanbieders van sociale media btw verschuldigd zijn over het verlenen van toegang tot de platforms, zal de Belastingdienst onderzoeken welke maatstaf van heffing van toepassing is. Daarnaast zal de Belastingdienst, binnen de geldende wettelijke kaders, beoordelen over welke periode en tot welke hoogte heffing kan plaatsvinden. In beginsel geldt daarbij een naheffingstermijn van vijf jaren na het einde van het kalenderjaar waarin de belastingschuld is ontstaan, met inachtneming van de algemene beginselen van behoorlijk bestuur.

Vraag 7

Hoe kijkt u naar het Italiaanse voorbeeld waar aanbieders van sociale media een naheffing opgelegd krijgen over eerdere jaren waarin geen btw is betaald? Kan dit met inachtneming van een betrouwbare overheid met terugwerkende kracht?

Zie antwoord vraag 6.