Lijst van vragen en antwoorden : Lijst van vragen en antwoorden over de initiatiefnota ‘Wolken aan de horizon’ (Kamerstuk 36 574, nr. 2)

Nr. 4
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 25 maart 2025

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de initiatiefnemers
over over de initiatiefnota van 18 juni 2024 inzake «Wolken aan de horizon» (Kamerstuk
36 574, nr. 2).

De initiatiefnemers hebben deze vragen beantwoord bij brief van 25 maart 2025. Vragen
en antwoorden zijn hierna afgedrukt.

De voorzitter van de commissie, Kathmann

Adjunct-griffier van de commissie, Muller

Vragen en antwoorden

1

Bij de bronvermelding staan een aantal interessante namen, maar hebben de initiatiefnemers
ook met Chief Information Officers (CIO’s) of Raden van Bestuur (RvB’s) van overheidsorganisaties
gesproken zoals, maar niet beperkt tot, het Uitvoeringsinstituut Werknemersverzekeringen
(UWV), de Belastingdienst, of de Dienst Uitvoering Onderwijs (DUO), dewelke met grote
IT-uitdagingen te kampen hebben en clouddiensten afnemen?

Antwoord

De initiatiefnemers hebben voor het schrijven van de nota geen CIO’s of Raden van
Bestuur van uitvoeringsinstanties geraadpleegd. Naar aanleiding van de initiatiefnota
is wel een ambtelijk gesprek gevoerd met onder andere CIO Rijk, die een coördinerende
functie heeft op onder andere het Rijksbreed cloudbeleid. Er was ook een delegatie
van het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken
aanwezig. De initiatiefnemers zijn ten tijde van de beantwoording een overleg met
de drie genoemde uitvoerders aan het beleggen. Indien het lukt dit tijdig plaats te
laten vinden, zullen zij de uitkomsten bij het notaoverleg terugkoppelen.

2

Kunnen de initiatiefnemers een beeld schetsen hoe voorkomen wordt dat Nederlandse
en Europese softwareontwikkelaars die leveren aan de publieke sector en daarnaast
gebruikmaken van de infrastructuur van hyperscale cloudproviders tussen wal en schip
raken?

Antwoord

De ambitie om het aandeel Nederlands-Europese cloudoplossingen bij de Rijksoverheid
te vergroten, betekent niet dat clouddiensten van hyperscalers per definitie worden
uitgesloten. Datzelfde geldt voor Nederlandse en Europese softwareontwikkelaars die
(deels) gebruik maken van hun infrastructuur. De initiatiefnemers erkennen dat het
tijd vergt om de toegang tot het Rijk te vergroten en het aanbod van de sector op
de vraag aan te sluiten. In het inkoopbeleid zal daarom de voorkeur uitgaan naar leveranciers
die hun volledige dienst in eigen beheer hebben, zodat het Rijk maximaal bijdraagt
aan kennisopbouw van de binnenlandse cloudsector op het gebied van zowel infrastructuur
als software als zij deze dienst afneemt. Dit geldt in ieder geval voor kritieke processen,
waaronder in ieder geval (vertrouwelijke) communicatie binnen het Rijk en de opslag
van persoonsgegevens. Het vergroten van de strategische autonomie is en blijft het
uitgangspunt. Als volledig eigen beheer niet mogelijk blijkt, wordt er met voorrang
gekeken naar diensten die een zo groot mogelijk aandeel van hun dienst in Nederland
of Europa beleggen.

3

Hebben de initiatiefnemers het risico van bedrijfsovernames en «joint-ventures» onderzocht,
aangezien kleinere partijen kunnen opgaan in grotere partijen en grotere partijen
weer overgenomen kunnen worden door derde partijen (en een lokale partij dus geen
garantie is)?

Antwoord

De initiatiefnemers pleiten in hun nota voor een eerlijkere markt en een overheid
die in haar (inkoop)beleid aanstuurt op meer digitale autonomie. Het uitgangspunt
«Nederlands waar het kan, Europees waar het moet» wordt een voorwaarde bij inkoop
en aanbestedingen en werkt in het voordeel van Nederlandse en Europese cloudaanbieders.
Een overname door een niet-Europees bedrijf, zoals een Amerikaanse hyperscaler, zou
de facto een «killer acquisition» zijn en leiden tot contractbreuk, omdat deze is
afgesloten onder de voorwaarde dat het bedrijf gevestigd is in Nederlands of Europa
en onderhevig is aan nationale wetgeving. In contracten moet worden afgesproken dat
tussentijdse overname is uitgesloten of tenminste aanleiding is om het contract te
herevalueren. Als lancerende klant heeft de overheid de positie om deze voorwaarde
te stellen.

4

Zijn er op dit moment redelijke Europese alternatieven voor de wens om een Europese
cloudinfrastructuur te bouwen? Zo nee, wanneer zijn deze te verwachten?

Antwoord

Als overkoepelend Europees project is GAIA-X het duidelijkste voorbeeld, maar in de
ogen van initiatiefnemers is het onwaarschijnlijk dat dit initiatief voldoende tegenwicht
zal kunnen bieden tegen de marktmacht van de Amerikaanse hyperscalers. De uiteindelijke
uitkomst van het project GAIA-X is niet een Europese clouddienst, maar standaardisatieproject.1 Bovendien is zelfs een Amerikaanse hyperscaler als Amazon Web Services aangesloten
op het initiatief.2 Initiatiefnemers betwijfelen daarom of GAIA-X effect sorteert op het gebied van een
autonome Europese cloud. Dat laat onverlet dat er wel alternatieven bestaan. Daarbij
is onder andere te denken aan Nextcloud – een Duits open source cloudplatform dat
recentelijk in gebruik is genomen door vijf Nederlandse universiteiten in samenwerking
met SURF.3 Dit is een veelbelovende ontwikkeling die, mits succesvol, laat zien dat Europese
cloudaanbieders wel degelijk in staat zijn om kwaliteitsproducten te leveren. De inzet
van deze nota is dan ook om op Nederlands niveau stappen te zetten en tevens bij te
dragen aan de Europese samenwerking.

5

Wat is voor de initiatiefnemers de voornaamste reden waarom er gekozen is voor Microsoft
voor onze cloudinfrastructuur?

Antwoord

In de bijlage van de Kamerbrief Rijksbreed cloudbeleid 2022 staat de geschiedenis
van het kabinetsbeleid en de beweegredenen voor de massale overstap naar big tech-bedrijven als Microsoft beschreven.4 Hoewel de initiatiefnemers niet kunnen oordelen over de individuele keuze van organisaties
om dit beleid op te volgen, hebben zij na het voeren van veel gesprekken met de sector,
overheidsfunctionarissen en uitvoerders een eigen analyse gemaakt.

In algemene zin kan je spreken van een aaneenschakeling aan decentrale keuzes die
gemaakt zijn op basis van gemak en kostenplaatjes, maar die bij elkaar opgeteld leiden
tot een risicovolle nationale afhankelijkheid van big tech. Deze beweging is gefaciliteerd door als Rijk jarenlang innig samen te werken met
Microsoft, de grote herkenbaarheid van Microsoft-diensten, en de eenzijdige focus
van IT-opleidingen op cloudtoepassingen van Microsoft.

Big tech-bedrijven als Microsoft bieden voordehand liggende voordelen dankzij hun schaal. Enkele
redenen waarom de keuze voor Microsoft aantrekkelijk is voor een organisatie zijn
de opschaalbaarheid van de clouddiensten en het ontlasten van de medewerkers. Implementatie
kan daardoor snel gebeuren en bespaart ook nog eens mankracht. Het nieuwe Rijksbrede
cloudbeleid van 2022 bracht de migraties in een verdere stroomversnelling, door de
keuze voor de publieke cloud open te gooien onder de voorwaarde van een risicoanalyse
en privacy-afspraken. De innige samenwerking met Microsoft, mede mogelijk gemaakt
via het Strategisch Leveranciersmanagement Microsoft-Rijk, maakt het voldoen aan die
voorwaarden makkelijk waardoor het nog makkelijker is om met hen in zee te gaan. Het
volledig uitbesteden van kennis en kunde over clouddiensten beïnvloedt ook de manier
waarop aanbestedingen worden geschreven. Als «de cloud» alleen nog maar herkenbaar
is als Microsoft Azure, worden in aanbestedingen niet-noodzakelijke eisen gesteld
die alleen hyperscalers kunnen leveren. Daardoor wordt de vendor lock-in nog groter.

Op de achtergrond spelen de logische gevolgen van monopolievorming ook een rol. Vanaf
de basisschool tot aan het volwassenonderwijs wordt men opgeleid in de taal, vorm
en applicaties van Microsoft Office. Zowel in het bedrijfsleven als het privéleven
spreken we van Microsoft Word als we een tekstverwerker bedoelen en noemen we spreadsheetprogramma’s
Excel. De makkelijke aansluiting op de Azure Cloud zorgt voor eenzelfde gebrek aan
kennis en ervaring met alternatieve clouddiensten. Het totaalpakket wat hyperscalers
daardoor aan kunnen bieden, is aantrekkelijk voor publieke organisaties waar kostenefficiëntie
en ontzorging de belangrijkste criteria zijn waarop ICT-inkoop wordt beoordeeld. De
kans is immers groot dat de nieuwe medewerker die een overheidsorganisatie net heeft
aangenomen als student gebruikmaakte van de studentenkorting voor Microsoft 365 en
alle applicaties goed kent, of bij haar vorige baan in het bedrijfsleven ook alleen
maar deze software gebruikte.

Dat wil volgens de initiatiefnemers niet zeggen dat de diensten slecht functioneren.
Dat is het probleem niet, en in afzonderlijke casussen is het gebruik van Microsoft
Azure of Microsoft 365 goed uitlegbaar. Het gaat initiatiefnemers om het langetermijnrisico
van een te grote marktconcentratie bij één partij of slechts enkele partijen, wanneer
een zeer groot deel van de overheidsdepartementen haar werkprocessen heeft uitbesteed
aan Microsoft (of een andere hyperscaler). De nota doet daarom aanbevelingen om de
marktconcentratie op zowel de korte termijn als de lange termijn terug te dringen.
Amerikaanse hyperscalers blijven bestaan en leveren goede producten; maar om op termijn
een Nederlandse techsector te behouden en afhankelijkheden te verminderen, kan actie
niet uitblijven en moet de afhankelijkheid doorbroken worden.

6

Onder «Amerika» en «Amerikaanse» worden de Verenigde Staten verstaan. De initiatiefnemers
spreken uit dat een stabiele regering aldaar in de toekomst allerminst zeker is. Kunnen
de initiatiefnemers duiden wat zij met deze uitspraak bedoelen?

Antwoord

Met de stabiliteit van de regering verwijzen de initiatiefnemers naar de voorspelbaarheid
van de Verenigde Staten, vooral in haar relatie met de Europese Unie. Ervaringen met
eerdere regeringen én met de nieuw aangetreden regering leren dat de Verenigde Staten
haar marktmacht inzet om druk uit te oefenen op andere landen. Denk hierbij aan de
manier waarop de huidige president heeft aangekondigd een «handelsoorlog» met Europa
te willen beginnen.5 CEO’s van Amerikaanse big tech-bedrijven, waaronder Amazon, Apple, Meta, OpenAI en X hebben indirect of openlijk
steun uitgesproken richting diens administratie.6 De politieke belangen van de regering-Trump en de economische belangen het Amerikaanse
bedrijfsleven zijn vervlochten; allebei leidt het tot het onder druk zetten van Europa.
Zo is zeer recent nieuw beleid aangekondigd om forse tarieven te heffen op Europese
afnemers van Amerikaanse techbedrijven,7 een keuze die nog een jaar geleden ondenkbaar was. De Europese afhankelijkheid van
Amerikaanse big tech lijkt dus haar vruchten af te werpen in het voordeel van de Verenigde Staten.

Technologie is (geo)politiek. Digitale afhankelijkheden zijn gevaarlijk voor de nationale
veiligheid en leiden ertoe dat digitalisering als politiek drukmiddel kan en zal worden
ingezet. Dit is mede te danken aan de verstrekkende bevoegdheden die de Verenigde
Staten zich via haar techgiganten kan toe-eigenen. Het kabinet bevestigt in haar reactie
op deze nota dat geforceerde toegang tot persoonsgegevens die opgeslagen staan in
de Amerikaanse cloud mogelijk is, óók als de servers op Europees grondgebied staan.8 De afhankelijkheid van Microsoft-diensten is voor het Internationaal Strafhof, in
het licht van de door de VS aangekondigde sancties, ook reden tot zorg.9 De bijzondere interesse van de Amerikaanse regering in het ondermijnen van Europees
techbeleid werd nogmaals duidelijk in de kritische speech van Vice-President JD Vance
op de Veiligheidsconferentie in München.10 Dit is de zoveelste keer dat de regering-Trump openbaar de autonomie van Europa ondermijnt.
Zolang Europa geen stappen zet naar meer strategische autonomie om vertrouwelijke
gegevensverwerking en communicatie door overheden te garanderen, zullen dit soort
dreigementen onbeantwoord blijven vanuit de EU en verwordt digitalisering tot een
geopolitiek wapen. Deze nota hoopt bij te dragen aan een stevige Nederlandse inzet
in dit complexe krachtenveld.

7

Door innige samenwerking tussen het Rijk en Microsoft zet Nederland volgens de initiatiefnota
lokale alternatieven buitenspel. In hoeverre zijn lokale alternatieven nu in staat
om hetzelfde niveau van dienstverlening te leveren?

Antwoord

Omdat er zo weinig gebruik wordt gemaakt van lokale alternatieven, is het moeilijk
te zeggen of zij diensten van een dergelijke kwaliteit kunnen leveren. Het ligt voor
de hand dat een partij als Microsoft hier een flink voordeel heeft gezien de schaal.
Echter, deze schaal is niet altijd nodig voor alle werkzaamheden. Door in eerste instantie
de focus te leggen op communicatie en data-opslag binnen de Rijksoverheid zonder enige
tussenkomst van de Verenigde Staten, ligt er een duidelijke en realistische vraag
op tafel. Het leveren van deze diensten is behapbaar en aantoonbaar mogelijk, kijkende naar de voorbeelden van overheidsorganisaties die al gebruikmaken
van Nederlandse leveranciers voor dit deel van hun werkzaamheden. Denk aan het Standaard
Platform van Logius11 of de opensource werkplek met MijnBureau die wordt ontwikkeld door het Ministerie
van Binnenlandse Zaken.12

De initiatiefnemers zijn zich er goed van bewust dat een totale overstap van Amerikaanse
naar Europese diensten niet over één dag gaat. Wel is het essentieel om een stip op
de horizon te zetten: minimaal 30% van de clouddiensten die de overheid gebruikt worden
belegd bij Nederlandse en Europese partijen. Een helder doel stellen doet investeringen
lonen en dwingt af dat het Rijk centraal de regie voert. Door de binding met de Nederlandse
sector te vergroten, het cloudlandschap van de overheid goed in beeld te brengen en
het bevorderen van de autonomie als harde eis op te nemen bij aanbestedingen, komt
er een samenhangende aanpak. Door het commitment aan te gaan zullen vraag en aanbod
naar elkaar toegroeien, wat op termijn zorgt voor een Nederlandse techsector waarvoor
het überhaupt het proberen waard is om haar diensten aan de overheid aan te bieden.

Dit zal de nodige creativiteit vergen. Innovatieve samenwerkingen, zoals de «Bijenkorf
Cloud Megascaler» die is voorgesteld door onderzoeker Maaike Okano-Heijmans van het
Clingendael Instituut,13 heeft de bijzondere interesse van de initiatiefnemers. Als de schaal van binnenlandse
aanbieders een drempel blijkt, kan een techsector die kleine partijen goed verenigt
rondom een gezamenlijke opdracht alsnog leveren, zeker als het Rijk dit aanmoedigt
in aanbestedingen. De initiatiefnemers benadrukken dat het Rijk als grootste IT-afnemer
van Nederland een verantwoordelijkheid heeft om zulke innovatie te faciliteren, met
oog op de diensten die zij zelf op termijn van Nederlandse partijen zal moeten afnemen.

8

De initiatiefnota stelt dat zonder ingrijpen het denkbaar is dat er op termijn zelfs
geen Nederlandse of Europese cloudindustrie overblijft. Welke rol heeft de Digitalemarktenverordening
(DMA) hierin?

Antwoord

De Digitalemarktenverordening (DMA) speelt geen rol in het stimuleren van een Nederlands-Europese
cloudindustrie. Hoewel clouddiensten onder de DMA genoemd zijn als «kernplatformdiensten»
en in theorie onder de regelgeving vallen, is er geen enkele cloudaanbieder benoemd
als «poortwachter.» Er valt dus niks te handhaven. Daarmee geeft de DMA niet de juiste
instrumenten om in te grijpen op oneerlijke praktijken in de cloudsector. Een analyse
van Copenhagen Economics benoemt terecht dat de DMA op dit punt niet duidelijk is.14

De DMA Working Group, de groep die namens het Europees Parlement heeft onderhandeld
over de verordening, heeft de Europese Commissie in januari ook op deze tekortkoming
gewezen.15 De oproep om met spoed te bezien of cloudaanbieders tóch onder de DMA kunnen vallen,
ondersteunen de initiatiefnemers van de nota volledig. Brussel zal, hoe het ook wendt
of keert, een rol moeten spelen in het bestrijden van digitale afhankelijkheden en
het versterken van de interne markt. Het aanscherpen van de DMA, het maken van aanvullende
regelgeving specifiek gericht op clouddiensten, én het aanpassen van Europees mededingingsrecht
zijn alledrie betekenisvolle maatregelen die ook nationaal effect zullen hebben.

9

Hoe zeker kan worden gesteld dat de dataveiligheid groeit, wanneer de afhankelijkheid
van Amerikaanse megabedrijven afneemt? Zijn de veiligheidsstandaarden van deze aanbieders
mogelijk van een hoger niveau dan van de kleinere alternatieven?

Antwoord

Linksom of rechtsom, Nederlands-Europese aanbieders die diensten willen leveren aan
het Rijk zullen moeten voldoen aan de geldende veiligheidsstandaarden. De initiatiefnemers
vragen van het Rijk dat zij transparant communiceert over de voorwaarden waar cloudaanbieders
aan moeten voldoen en op basis van welke standaarden dat moet. Het Rijk moet Nederlands-Europese
aanbieders beter op weg helpen om eerlijk mee te kunnen doen aan aanbestedingen en
inkooptrajecten. Geïnteresseerde nationale cloudaanbieders laten weten dat deze trajecten
vaak stroef en ondoorzichtig verlopen; andere techbedrijven moeten er niet eens aan
denken om aan de overheid te leveren. De kloof tussen de overheid en de techsector
moet kleiner. Niet door eisen af te zwakken, maar door de kennis waar nodig te bundelen
en samenwerkingen tussen aanbieders te faciliteren.

Op het gebied van dataveiligheid is het een enorm voordeel dat Nederlandse en Europese
leveranciers onder het Europese recht vallen. Omdat Europese en Amerikaanse wetgeving
fundamenteel verschillen op het gebied van dataveiligheid, hebben de Europese Unie
en de Verenigde Staten meermaals een juridisch raamwerk met elkaar moeten opstellen
om het afnemen van Amerikaanse digitale diensten mogelijk te maken. Alleen onder voorwaarde
van die afspraken is werken met Amerikaanse big tech rechtmatig. In 2020 heeft het Europees Hof van Justitie besloten het destijds geldende
«privacyschildbesluit» nietig te verklaren, nadat bleek dat het Amerikaanse recht
onrechtmatige toegang gaf tot gevoelige informatie van Europese burgers.16 Het EU-VS Data Privacy Framework (DPF) dat nu van kracht is, is er gekomen op de
voorwaarde dat het onafhankelijke toezicht aan de kant van de Amerikanen gewaarborgd
is. Nu de regering-Trump heeft besloten de toezichthouder af te schalen, is ook het
DPF geweld aangedaan, waardoor de houdbaarheid van deze afspraken allerminst zeker
is. Uit nieuwe rechtspraak zal moeten blijken wat hiervan de gevolgen zijn, maar volgens
de initiatiefnemers is de kans aanzienlijk dat Europese rechters wederom zullen concluderen
dat de privacy van Europese burgers niet meer beschermd is.17

Gezien deze ontwikkelingen en het feit dat de regering-Trump meermaals de pijlen heeft
gericht op het verzwakken van democratisch tot stand gekomen Europese techwetgeving,
durven de initiatiefnemers met zekerheid te stellen dat het bestrijden van de afhankelijkheid
van Amerikaanse bedrijven de veiligheid van burgerdata bevordert.

10

Behoren de veiligheidsstandaarden ook niet tot de uitlegbare voordelen van het kiezen
voor grote cloudaanbieders?

Antwoord

Eén van de schaalvoordelen van Amerikaanse big tech is het gemak waarmee zij kunnen voldoen aan veiligheidsstandaarden met de ervaring
die is opgedaan door de vele contracten die met het Rijk zijn afgesloten. De innige
samenwerking tussen overheid en big tech, gefaciliteerd door het Strategisch Leveranciersmanagement Microsoft-Rijk, maakt
dit mogelijk. De initiatiefnemers bepleiten dat de toegang tot het Rijk voor Nederlandse
en Europese aanbieders minstens zo laagdrempelig moet zijn als dat voor grote techbedrijven.
Zolang de afhankelijkheid van grote aanbieders groeit, krimpt ook het aandeel alternatieve
aanbieders dat – met de nodige ondersteuning die grote bedrijven wel wordt geboden
– eenzelfde dienst had kunnen bouwen en leveren. Door lokale aanbieders proactief
te helpen worden de schaalvoordelen van hyperscalers overkomelijk gemaakt. Verder
wijzen de initiatiefnemers op het antwoord op vraag 9 voor een duiding waarom de dataveiligheid
bij Amerikaanse big tech niet verzekerd is.

11

De initiatiefnemers schrijven op pagina 5 van de initiatiefnota: «Door de grootschalige
verhuizing van persoonsgegevens naar landen waar bedrijven geen loyaliteit hebben
richting Nederlanders, raken burgers grip over hun eigen leven kwijt.» Op pagina 8
wordt in dat verband nog verwezen naar de Amerikaanse CLOUD Act, maar ook naar de
spionage-activiteiten van de VS. Ook andere landen kunnen verzoeken om toegang tot
data te verkrijgen. In de EU wordt gewerkt aan de E-evidence regulation die eenzelfde
werking heeft, ook wanneer de data op Nederlandse servers staat. Dit staat niet op
zichzelf en Nederland kan ook verzoeken indienen. Daarnaast heeft ook Nederland inlichtingendiensten
met verregaande bevoegdheden. Hebben initiatiefnemers de risico’s voor clouddiensten
op Europese servers in verhouding tot deze ontwikkelingen meegewogen, maar ook in
verhouding tot EU-landen waar de EU-wetgeving niet prevaleert boven de constitutionele
wetgeving van dat land?

Antwoord

De initiatiefnemers erkennen dat vergaande tapmogelijkheden zowel in Europa als andere
landen altijd reden zijn tot zorg. Vertrouwelijkheid van communicatie, de privacy
van burgers en de veiligheid van data zijn in een digitale wereld essentiële grondrechten.
Bevoegdheden die raken aan deze rechten moeten altijd proportioneel zijn en onderhevig
aan sterk en onafhankelijk toezicht.

Echter zien de initiatiefnemers wezenlijke verschillen tussen de Amerikaanse CLOUD
Act en de Europese e-Evidence-verordening, waardoor de vergelijking volgens hen onterecht
is. Ten eerste benadrukken de initiatiefnemers dat de e-Evidence-verordening binnen
de invloedssfeer van Nederland ligt. Zowel de regering als het verkozen Europarlement
zijn betrokken bij de verordening. Bovendien gaat Nederland over de werking van haar
eigen geheime diensten en is het aan het parlement om deze te voorzien van de nodige
tegenmacht.

Ten tweede is de e-Evidence-verordening enkel van toepassing op verstrekkings- en/of
bewaringsbevelen die worden uitgevoerd tijdens een strafprocedure en het uitvoeren
van een vrijheidsstraf of een aanhoudingsbevel van ten minste vier maanden. Dit betreft
altijd zaken over individuele rechtspersonen, waarbij het opvragen van informatie
per casus op proportionaliteit wordt beoordeeld door een rechter.18 Het opvragen van overheidsinformatie door een andere EU-lidstaat zou alleen kunnen
in het hypothetische geval dat de desbetreffende lidstaat een strafrechtelijke procedure
tegen Nederland aanspant. Zoiets is nog nooit voorgekomen; het strafrecht betreft
immers in vrijwel alle gevallen individuen.

12

Was de conclusie van de Stichting Internet Domeinregistratie Nederland (SIDN) dat
het in Nederland aan arbeidsaanbod ontbreekt onjuist?

Antwoord

De initiatiefnemers hebben publiekelijk en in gesprekken achter de schermen met SIDN
hun twijfels geuit over haar keuze om een deel van het domeinregistratiesysteem onder
te brengen in de cloud van Amazon Web Services (AWS). Uit de openbare samenvatting
van de AIVD-risicoanalyse blijkt dat het onderbrengen van het (registratiesysteem van het) .nl-domein
bij AWS een risico vormt voor de kritische digitale infrastructuur van Nederland.
Volgens de initiatiefnemers geeft dat aan dat het .nl-domein wel degelijk in handen
thuishoort van een Nederlandse partij. Tegelijkertijd zien ze ook dat er na de politieke
betrokkenheid aanvullende waarborgen en een exitstrategie zijn afgedwongen, waardoor
de risico’s van de cloudmigratie enigszins ingeperkt zijn. Uiteraard is de SIDN-casus
slechts één voorbeeld van een Nederlandse dienst die (deels) naar Amerikaanse big tech dreigt te verdwijnen en hebben veel andere organisaties de overstap al gemaakt of
staan zij voor dezelfde keuze.

Of de conclusie van SIDN over het ontbreken van arbeidsaanbod juist is, kunnen de
initiatiefnemers niet met zekerheid stellen. Nationale cloudaanbieders geven aan dat
er binnen de sector interesse en voldoende kennis is om het domeinregistratiesysteem
van het .nl-domein in Nederland onder te brengen. SIDN geeft anderzijds aan geen aanbod
te hebben gekregen dat aan de door hun opgestelde eisen voldoet. Naar aanleiding van
deze casus is er in de QuickScan die is uitgevoerd naar de Nederlandse cloudsector
ook gekeken naar de situatie van SIDN. In die analyse blijkt dat er criteria zijn
waar Nederlands-Europese leveranciers lager scoren dan Amerikaanse hyperscalers, maar
wordt niet duidelijk welke criteria randvoorwaardelijk zijn en welke slechts «nice-to-have.»
Zo vragen de initiatiefnemers zich af of criteria zoals «de beschikbaarheid van Serverless-functionaliteit»
en «Everything as Code» onoverbrugbaar zijn voor het functioneren van het .nl-domeinregistratiesysteem.
Zoals het kabinet in de Kamerbrief van 16 januari j.l. opmerkt, «[was] een reflectie
op de criteria die SIDN heeft opgesteld voor de migratie van haar domeinnaamregistratie
geen onderdeel van de opdracht.»19 De initiatiefnemers kunnen niet beoordelen of de arbeidsvraag doorslaggevend is voor
de keuze om voor een deel naar AWS te gaan, zolang een reflectie op de gestelde criteria
ontbreekt.

In algemene zin stellen de initiatiefnemers dat enige tekortkomingen in het arbeidsaanbod
mede te danken zijn aan de afhankelijkheid van Amerikaanse hyperscalers. De zoveelste
overstap naar een hyperscaler draagt bij aan het probleem. Zolang de drempel voor
lokale alternatieven om diensten te leveren aan (semi-)publieke instanties te hoog
is, blijven investeringen in de nodige expertise ook uit en groeit de afhankelijkheid
van Amerikaanse hyperscalers verder. Dit kip-ei verhaal is alleen te doorbreken als
vraag én aanbod elkaar tegemoetkomen in het algemene belang. Aan de vraagkant zullen
aanbestedingen zodanig herzien moeten worden dat de technische eisen voorop staan
en autonomie zwaarder meeweegt in de keuze voor een leverancier. Hierin moet de keuze
om bepaalde diensten niet te verhuizen naar de cloud nadrukkelijk worden overwogen. Aan de aanbodkant zal de
Nederlandse cloudsector ervaring moeten opdoen met diensten verlenen aan overheidsinstanties.
Dat gaat alleen gebeuren als het Rijk een concreet doel stelt voor het vergroten van
het aandeel clouddiensten dat wordt afgenomen van Nederlandse en Europese partijen.
Er zúllen nationale techbedrijven moeten zijn die kritische cloud-infrastructuur kunnen
bouwen en beheren als Nederland haar autonomie en verdienvermogen nu en in de toekomst
wil waarborgen.

Op 18 maart heeft de Kamer unaniem uitgesproken dat de hele DNS-keten in Nederland
dient te blijven. Het Ministerie van Economische Zaken moet nu het initiatief nemen
om samen met SIDN een geschikte Nederlandse leverancier te vinden.20

13

Het onderzoek van de Autoriteit Consument & Markt (ACM), waarnaar verwezen op pagina’s
5 en 6, stelt dat Nederland in de top 5 van landen staat waarin het meest wordt besteed
aan clouddiensten als percentage van de totale IT-kosten. Dit gaat dan om een wereldwijd
beeld, immers verwijst de ACM naar een grafiek van Techzine. Het gaat dan om, voor
wat Nederland betreft, 7,2% van de totale IT-kosten. In het Indexverslag over de digitale
economie en samenleving 2022 – Digitale overheidsdiensten van DESI scoort Nederland
hoog.1 Wanneer we dan naar het verslag kijken van de ACM, op pagina 23, zien we bij
figuur 2 het gebruik van clouddiensten per land (EU-breed).

Hebben de initiatiefnemers de overeenkomst tussen deze grafiek en de scores op digitale
economie en samenleving van DESI meegewogen? Wat zal de impact zijn op de huidige
kwaliteit van de dienstverlening indien het huidige beleid wordt omgegooid conform
de gedane voorstellen? Tevens de vraag hoe die 7,2% ten opzichte van de totale IT-kosten
zich verhoudt tot de budgetten per land. Indien Duitsland € 100 miljoen investeert
in IT en Nederland € 70 miljoen, waarvan Duitsland € 7 miljoen investeert in de cloud
en Nederland € 5,4 miljoen, dan staat dat niet in verhouding. Hebben de initiatiefnemers
dit meegewogen in hun voorstel?

Antwoord

De relatief goede score van Nederland op de index van de digitale economie en samenleving
(DESI) staat volgens de initiatiefnemers los van de data over het cloudgebruik in
de private sector. De genoemde grafiek uit het onderzoek van de ACM en de 7,2% van
de totale IT-kosten zijn gebaseerd op cijfers die slaan op bedrijven en zeggen weinig
over het soort clouddiensten en van welke aanbieders deze worden afgenomen. Omdat
deze nota zich nadrukkelijk richt op overheden en vitale sectoren, zien de initiatiefnemers
geen direct verband tussen de cijfers. De vergelijking is dus niet meegewogen in de
nota.

De voorstellen uit de nota zullen niet leiden tot slechtere dienstverlening. De nota
stelt niet voor om in één keer alle diensten van big tech-bedrijven op te geven. Het Rijk heeft tijd nodig om cloudmigraties te herzien en
nationale aanbieders hebben tijd nodig om expertise op te bouwen. Het stellen van
een doel op de langere termijn – 30% aandeel van clouddiensten binnen het Rijk bij
Nederlands-Europese partijen beleggen per 2029 – moet deze beweging van beide kanten
aanjagen. Daarin wordt met voorrang gekeken naar communicatie binnen de overheid en
de opslag van gevoelige data, aspecten die op afstand staan van dienstverlening aan
burgers. Hooguit zullen ambtenaren moeten wennen aan werken in een nieuwe digitale
omgeving.

14

Welke lidstaten beschikken thans over een eigen cloudservice op overheidsniveau?

Antwoord

De initiatiefnemers hebben geen overzicht kunnen vinden van lidstaten die over een
cloudservice op overheidsniveau beschikken. Zij hebben dit nagevraagd bij het Rathenau
Instituut. Rathenau merkt op dat er vooral private clouddiensten zijn waar overheden
gebruik van maken, hoewel het aantal krimpt. Er zijn echter voorbeelden die in de
buurt komen, zoals het Duitse overheidsproject ZenDis. Deze maakt gebruik van de Europese
NextCloud-dienst en levert open source software aan publieke sectoren.21

Op 18 maart heeft de Kamer uitgesproken dat er een beperkte Rijkscloud moet worden
gebouwd,22 in navolging op het initiatief Cloud Kootwijk bedacht doort techexpert Bert Hubert.23

15

Inzake de wezenlijke risico’s voor de nationale veiligheid, zoals benoemd op pagina’s
10 en 11, de vraag of de initiatiefnemers enkele concrete voorbeelden hebben waar
de Algemene verordening gegevensbescherming (AVG) onvoldoende toereikend is.

Antwoord

De initiatiefnemers zien geen aanwijzingen dat de AVG ontoereikend is in het kader
van de initiatiefnota. Zoals ook aanbevolen in het rapport «Het Rijk in de cloud:
Donkere wolken pakken samen» van de Algemene Rekenkamer,24 zullen er in EU-verband afspraken moeten worden gemaakt om AVG-voorwaarden af te
dwingen in de inkoopvoorwaarden van IT-diensten. Dit gebeurt nu onvoldoende en dat
brengt risico’s met zich mee. Zoals de initiatiefnemers ook schrijven in het antwoord
op vraag 9, is de samenwerking met Microsoft, Google en Amazon momenteel afhankelijk
van afspraken met de Amerikaanse regering die op z’n zachtst gezegd kwetsbaar zijn.
Zie ook argumenten 4 en 6 in de appendix van de initiatiefnota. Het volledig uitbesteden
van kritieke onderdelen van de digitale overheid brengt in de kern al privacy-risico’s
met zich mee. Door (delen van) werkprocessen volledig neer te leggen bij een derde
partij, in dit geval vrijwel uitsluitend Amerikaanse big tech-bedrijven, worden naast cruciale taken ook publieke verantwoordelijkheden weggegeven.
Het Rijk verliest de regie over dataverwerking en kan niet met zekerheid zeggen dat
de AVG wordt nageleefd, omdat ze noch de kennis noch de inzage heeft om dit te controleren.

16

Wat is de reden dat de overheid als «launching customer» de op pagina’s 10 en 11 genoemde
diensten zou moeten afnemen? Kan dit niet door een derde partij in Nederland worden
gedaan?

Antwoord

De nota is gericht aan het kabinet als eindverantwoordelijke van de strategische autonomie
van Nederland. Naast keuzes in wetgeving, kan het Rijk het publieke belang ook dienen
door strategisch inkoop- en aanbestedingsbeleid. Als grootste IT-afnemer van Nederland
heeft de overheid een ongekende positie om mede vorm te geven aan de nationale techsector.
Als de overheid zich committeert aan het afnemen van meer lokale clouddiensten, komen
ondernemers in actie om deze diensten te bouwen en aan te bieden. Volgens de initiatiefnemers
is daar een uitgesproken ambitie voor nodig: om per 2029 30% van alle clouddiensten
binnen de overheid bij Nederlandse en Europese leveranciers te beleggen. Zoiets kan
het parlement in een vrijemarkteconomie niet van een derde partij vragen, het is aan
de overheid om als lancerende klant aan te geven welke diensten nodig zijn om autonoom
te functioneren.

17

Waarop is de harde deadline voor het uitfaseren van de niet-Nederlandse cloud gebaseerd?

Antwoord

Uit gesprekken met de Nederlandse cloudsector is deze deadline tot stand gekomen.
Een periode van vijf jaar tussen het schrijven van de nota en het behalen van een
30%-aandeel voor clouddiensten in Nederlands-Europese handen schept volgens de betrokken
leveranciers een goed balans tussen realisme en urgentie. De initiatiefnemers stellen
voor om in deze periode met voorrang te kijken naar clouddiensten voor (vertrouwelijke)
communicatie en data-opslag. Daar is op het gebied van veiligheid van (burger)informatie
de grootste winst te boeken. Zodra er voor deze onderdelen een lokale clouddienst
is ingericht en in eigen beheer is gebracht, kunnen de mailservers en data-opslag
van de overheid met spoed worden losgeweekt van enige tussenkomst van de Verenigde
Staten. Het is aan het kabinet om te komen met een tegenvoorstel voor een harde deadline
en een concrete doelstelling als zij deze niet uitvoerbaar acht.

18

Hoe reëel is de ambitie dat overheidsdepartementen het liefst binnen drie maanden
in staat moeten zijn hun gehele omgeving te migreren tussen clouddiensten?

Antwoord

Op het moment is het überhaupt op orde hebben van een exitstrategie al uitdaging genoeg,25 maar zodra deze is opgesteld is een snelle overstap goed mogelijk. De initiatiefnemers
stellen voor om drie maanden als norm te stellen, tenzij volgens het «pas-toe-of-leg-uit»-principe
wordt uitgelegd waarom een langere migratietijd noodzakelijk is. Verder benadrukken
de initiatiefnemers dat een snelle migratietijd vraagt om vooraf de juiste standaarden
te verplichten: met name interoperabiliteit en dataportabiliteit zijn van belang.
Als het Rijk in een aanbesteding afdwingt dat zowel de primaire dienst als de secundaire
«plan B»-dienst kunnen samenwerken met andere systemen binnen het werkproces en alle
data makkelijk overgezet kan worden naar een nieuwe leverancier, is het mogelijk om
snel over te stappen. Het Rijk kan dit momenteel niet waarmaken, daarom pleiten de
initiatiefnemers ervoor zo snel mogelijk alle diensten die worden afgenomen van big tech-bedrijven van een exitstrategie te voorzien en daarin standaarden voor interoperabiliteit
en dataportabiliteit op te nemen. In een onvoorspelbare geopolitieke context moet
de overheid snel kunnen overschakelen zonder in te leveren op kritieke dienstverlening.

Op 18 maart heeft de Kamer uitgesproken dat alle big tech-diensten die de overheid afnemen moeten worden voorzien van een risicoanalyse en
een exitstrategie bij Nederlandse of Europese leveranciers.26 Er moet een Rijksbrede formulering komen voor wanneer de exitstrategieën in werking
treden.

19

Waarom gaan de initiatiefnemers uit van een kostenplaat vergelijkbaar met de huidige,
wanneer er beperkt inzicht is in de huidige cijfers?

Antwoord

De initiatiefnemers delen de frustratie over het gebrek aan transparantie over het
cloudgebruik van de overheid. Het verzorgen van een betrouwbaar, centraal overzicht
van de staat van de overheids-ICT is een essentiële aanbeveling in de nota. Ook verwijzen
de initiatiefnemers naar de unaniem aangenomen motie-Koekkoek27 die vraagt om jaarlijks inzichtelijk te maken hoeveel het Rijk uitgeeft aan diensten
van grote niet-Europese techbedrijven. Met dit inzicht kan er een meer realistische
inschatting gemaakt worden van het nodige budget. Uit de Kamerbrief van de Staatssecretaris
van 12 maart 202528 blijkt dat het kabinet niet meer voornemens is om dit centrale overzicht aan te leveren.
Dit bemoeilijkt de besluitvorming over ICT-uitgaven nog verder en benadrukt volgens
de initiatiefnemers de bittere noodzaak van een integrale behandeling van digitale
zaken op de Rijksbegroting.

De inschatting dat de voorstellen uit de nota kostenneutraal uitpakken, is voor nu
slechts te baseren op de volgende aannames:

1. Centrale inkoop en centrale onderhandelingen leidt tot kostenbesparing. De decentrale,
individuele afspraken tussen overheden en leveranciers leidt tot onnodig hoge kosten,
die bij een gezamenlijke inkoopstrategie omlaag onderhandeld hadden kunnen worden.

2. Monopoliepositie van big tech leidt tot wurgcontracten. De totale afhankelijkheid
van enkele bedrijven maakt ons kwetsbaar voor verhogingen in de licentiekosten. Een
ecosysteem waarin ook kleinere lokale aanbieders meeconcurreren, doorbreekt het monopolie
en dwingt eerlijkere prijzen af van alle leveranciers.

3. Recente geopolitieke ontwikkelingen leiden tot onvoorziene hogere kosten. De aangekondigde
handelsoorlog van de regering-Trump zal naar alle waarschijnlijkheid ook de digitale
sector raken. Nieuw beleid van de Amerikaanse regering belooft forse tarieven te heffen
op Amerikaanse IT-diensten die in de EU worden afgenomen.29

4. Investeringen betalen zichzelf terug. Het is aannemelijk dat in zee gaan met lokale
alternatieven op de korte termijn duurder uitpakt. De prijzen zullen vervolgens omlaaggaan
zodra meer lokale aanbieders meedingen bij aanbestedingen, gezond met elkaar concurreren
en de kans krijgen om op te schalen.

20

Hoe verhoudt het feit dat de Nederlands-Europese cloudmarkt eerst zodanig gevormd
moet zijn dat dit aan de aanbodkant mogelijk is, tot de aanname dat de kostenplaat
vergelijkbaar zal blijven, in de wetenschap dat er eerst grote investeringen noodzakelijk
zullen zijn?

Antwoord

Zoals ook beschreven in het antwoord op vraag 19, veronderstellen de initiatiefnemers
dat investeringen op korte termijn zullen leiden tot besparingen op de lange termijn.
De huidige situatie maakt al pijnlijk duidelijk dat decentrale inkoop en de problematische
afhankelijkheid van big tech leidt tot onnodig hoge kosten. Tegelijkertijd is het aannemelijk dat een concurrerende
markt van kleinschalige Nederlandse en Europese alternatieven op termijn voor lagere
prijzen, vooral als de kosten van hyperscalers in vergelijking met grote vaart omhoogschieten.
De initiatiefnemers benadrukken dat in de financiering ook een grote rol is weggelegd
voor de Europese Unie. Nu de geopolitieke context vraagt om EU-brede digitale industriepolitiek,
verwachten de initiatiefnemers dat er aanvullende middelen komen voor publieke en
private initiatieven die de strategische autonomie in het digitale domein vergroten.

21

Op pagina 16 refereren initiatiefnemers aan een exit-strategie. Vooralsnog worden
deze per departement geregeld. Hebben de initiatiefnemers ook de mogelijkheid onderzocht
om dit centraal aan te sturen?

Antwoord

Zoals ook blijkt uit het recente rapport van de Algemene Rekenkamer,30 staat Nederland voor een grote uitdaging om goede exitstrategieën te formuleren.
De initiatiefnemers zijn groot voorstander om deze uitdaging centraal aan te pakken
en hebben expliciet nagedacht over deze mogelijkheid. Dit sluit volgens hen aan bij
de aanbevelingen uit de nota om een stevig mandaat te beleggen bij de coördinerende
bewindspersoon en het CIO Rijk. Centrale aansturing raakt echter aan de ministeriële
verantwoordelijkheid, waardoor samenhang in het naleven van digitaal beleid – waaronder
het verplichten van een exitstrategie – binnen de overheid wel vaker wordt bemoeilijkt.
De initiatiefnemers dringen het kabinet aan om drempels die in de weg staan voor een
centrale regie over het opstellen van exitstrategieën zo veel mogelijk weg te nemen.
Uiteraard heeft de Tweede Kamer als medewetgever een taak om dit mandaat te bekrachtigen,
indien nodig per wet.

De aangenomen Kamermotie, waar de initiatiefnemers ook naar verwijzen in het antwoord
op vraag 18, stelt voor om Rijksbreed te formuleren wanneer de exitstrategieën in
werking moeten treden. Dit zorgt voor een meer centrale regie.

22

Op pagina 27 halen de initiatiefnemers het Europa-argument aan, waarin zij indirect
stellen dat Nederland ook toonaangevend zou moeten zijn op het gebied van cloudtechnologie.
Nu is er eind 2023 door het Ministerie van EZK de Nationale Technologiestrategie gepubliceerd
waarin benoemd wordt waar Nederland toonaangevend is. Cloudtechnologie werd hierin
niet genoemd als kansrijk. Kunnen de initiatiefnemers dit duiden?

Antwoord

De initiatiefnemers stellen dat een nationale cloudinfrastructuur een randvoorwaarde
is voor de prioriteit «artificial intelligence and data science.» De afhankelijkheid
van big tech-bedrijven uit het buitenland wordt in de Nederlandse Technologiestrategie expliciet
genoemd als barrière voor het benutten van deze sleuteltechnologie.31 Het kabinet geeft terecht aan dat er behoefte is aan een nationale cloudinfrastructuur
om het innovatiebeleid waar te maken volgens Nederlandse waarden. Dit zal tegelijkertijd
de strategische autonomie van Nederland verbeteren, zodra er een gezond ecosysteem
is van lokale alternatieven die ook diensten aan de overheid kunnen leveren.