Digitale afhankelijkheid: hoe Nederland zichzelf vastzette in Amerikaanse technologie

Nederland praat graag over digitale autonomie, veiligheid en grip op data. Maar zodra het concreet wordt, blijkt iets anders: een groot deel van onze digitale overheid draait op technologie, infrastructuur en software van buitenlandse (vaak Amerikaanse) bedrijven.

Dat is niet van de ene op de andere dag gebeurd. Het is het resultaat van twintig jaar politieke keuzes, uitstelgedrag, aanbestedingspraktijken en een diep geloof in het idee dat “de markt het wel oplost”. Vooral de discussie over open source laat zien hoe Nederland kansen heeft laten liggen.

Wat ooit begon als een redelijk en vooruitstrevend idee — publieke software zoveel mogelijk open, controleerbaar en herbruikbaar maken — werd jarenlang afgezwakt, vertraagd of praktisch onuitvoerbaar gemaakt.

De recente zorgen rond DigiD, de overstap van de Belastingdienst naar Microsoft 365 en het brede gebruik van Amerikaanse clouddiensten laten zien dat dit geen theoretische discussie meer is. Het gaat over de vraag wie uiteindelijk de digitale infrastructuur van Nederland beheerst.

Van open source naar cloud-lock-in

De discussie over open source bij de overheid is niet nieuw. Al in 2002 werd de bekende Motie-Vendrik aangenomen. Die motie wees erop dat de softwaremarkt sterk geconcentreerd was, dat overstappen naar een andere leverancier vaak duur was en dat de overheid actief de verspreiding en ontwikkeling van open source software in de publieke sector moest stimuleren.

Ook werd gevraagd dat publieke software in 2006 aan open standaarden zou voldoen. Dat was opvallend vooruitziend. De motie benoemde precies het probleem waar Nederland nu opnieuw mee worstelt: marktmacht, afhankelijkheid, hoge overstapkosten en te weinig concurrentie.

Daarna kwamen programma’s als OSOSS en later Nederland Open in Verbinding. Het actieplan Nederland Open in Verbinding was bedoeld om open standaarden en open source binnen de overheid te stimuleren. Maar afgerond is niet hetzelfde als geslaagd. De praktijk bleef vaak vrijblijvend.

“Pas toe of leg uit” klinkt stevig, maar als uitleggen voldoende is en er weinig consequenties volgen, verandert de markt niet vanzelf.

Wat is digitale afhankelijkheid?

Digitale afhankelijkheid betekent niet alleen dat een overheid software koopt bij een groot buitenlands bedrijf. Dat doet bijna iedere organisatie. Het probleem ontstaat wanneer een overheid zo diep in één ecosysteem zit dat overstappen nauwelijks nog haalbaar is.

Denk aan e-mail, documenten, agenda’s, identiteiten, cloudopslag, toegangsbeheer, beveiliging, werkplekken, koppelingen tussen systemen en historische data. Zodra dat allemaal met elkaar verweven raakt, wordt een leverancier niet zomaar een leverancier, maar een strategische machtsfactor.

Dan gaat het niet meer alleen over prijs of gemak. Dan gaat het over fundamentele vragen:

Wie heeft toegang tot gegevens?
Wie bepaalt de voorwaarden?
Hoe snel kan Nederland overstappen bij juridische of politieke problemen?
Heeft de overheid nog voldoende eigen kennis in huis?
Kunnen publieke diensten blijven draaien bij geopolitieke spanningen?
Is Nederlandse en Europese wetgeving nog doorslaggevend als buitenlandse wetgeving óók invloed heeft?

Precies daarom is de discussie over open source, open standaarden en Europese of Nederlandse digitale infrastructuur zo belangrijk.

De VVD en open source: technologieneutraal in woorden, remmend in effect

De rol van de VVD in deze geschiedenis is belangrijk, maar moet zorgvuldig worden beschreven. Het is te kort door de bocht om te zeggen dat één partij de volledige digitale afhankelijkheid van Nederland heeft veroorzaakt. ICT-beleid is door meerdere kabinetten, partijen, ministeries en uitvoeringsorganisaties gevormd.

Maar het is óók te makkelijk om de politieke verantwoordelijkheid weg te poetsen.

De VVD heeft jarenlang een dominante rol gespeeld in kabinetten, zeker tijdens de lange periode van de kabinetten-Rutte. In die jaren werd digitalisering steeds belangrijker, maar bleef echte sturing op open source, open standaarden en digitale autonomie beperkt.

Het liberale argument was vaak dat de overheid technologieneutraal moest zijn: geen voorkeur voor open source, geen verplichting, geen verstoring van de markt. Op papier klinkt dat redelijk. In de praktijk werkte het vooral in het voordeel van bestaande grote leveranciers.

Want een overheid die “neutraal” blijft in een markt die al sterk geconcentreerd is, kiest feitelijk voor de status quo. En de status quo was: Microsoft, Oracle, SAP, grote systeemintegratoren en grote consultancybedrijven.

Kleine open-sourcepartijen konden vaak niet meedoen, mede door zware aanbestedingseisen, omzetcriteria, referentie-eisen en de neiging om grote totaalcontracten aan te besteden.

Daarmee werd open source niet altijd expliciet verboden, maar wel vaak praktisch kansloos gemaakt.

Aanbestedingen: de stille blokkade

Een belangrijk probleem zat niet alleen in politieke uitspraken, maar in de manier waarop de overheid inkocht. Grote overheidsopdrachten worden vaak zo ingericht dat vooral grote partijen kunnen meedoen.

Denk aan eisen rond minimale omzet, capaciteit, certificeringen, aansprakelijkheid, jarenlange ervaring met vergelijkbare megaprojecten en integrale dienstverlening.

Voor kleine en middelgrote open-sourcebedrijven is dat vaak een onneembare drempel. Niet omdat ze technisch slechter zijn, maar omdat ze niet passen in het inkoopmodel van de overheid.

Dat is een structureel probleem. Als je aanbestedingen zo groot en complex maakt dat alleen de bekende reuzen kunnen inschrijven, moet je niet verbaasd zijn dat je afhankelijk blijft van bekende reuzen.

Open source vraagt vaak om een andere manier van inkopen: modulairder, transparanter, met meer ruimte voor samenwerking, hergebruik en publieke regie. Zolang de overheid dat niet organiseert, blijft “open source stimuleren” vooral een mooie zin in beleidsstukken.

Commissie-Elias: overheid had ICT niet onder controle

De parlementaire commissie-Elias onderzocht grote ICT-projecten bij de overheid en concludeerde dat de rijksoverheid haar ICT-projecten niet goed onder controle had.

Volgens NORA stelde het eindrapport onder meer vast dat de politiek onvoldoende besefte hoe diep ICT overal in verweven was. De commissie leidde tot maatregelen zoals het Bureau ICT-toetsing, later Adviescollege ICT-toetsing.

Dat was nuttig, maar het loste het fundamentelere probleem niet op: de overheid bleef afhankelijk van grote leveranciers en bleef moeite houden om zelf voldoende kennis, regie en technische macht op te bouwen.

Interessant is dat de commissie-Elias werd geleid door VVD-Kamerlid Ton Elias. Dat maakt de politieke geschiedenis wrang. Juist in een periode waarin de overheid had kunnen kiezen voor stevigere publieke regie, open standaarden en open source, bleef de structurele afhankelijkheid grotendeels bestaan.

Open source kwam er uiteindelijk wel — maar laat en voorzichtig

In 2020 kwam er opnieuw beweging. Staatssecretaris Knops stuurde een Kamerbrief over het vrijgeven van broncode van overheidssoftware en het toepassen van “open source by default”.

Inmiddels hanteert de overheid het beleid “Open, tenzij”: software van de overheid moet zoveel mogelijk open source zijn, behalve als er goede redenen zijn om dat niet te doen.

Dat klinkt als een duidelijke koerswijziging. Maar het probleem is dat Nederland deze stap pas zette nadat de afhankelijkheid al diep was ingesleten.

Open source beleid in 2020 is nuttig, maar het verandert niet automatisch twintig jaar aan contracten, werkprocessen, kennisverlies en technische lock-in.

Daarom voelen recente keuzes zo pijnlijk. Ze laten zien dat “open, tenzij” als principe bestaat, maar dat de praktijk nog steeds wordt gedomineerd door bestaande afhankelijkheden.

De Belastingdienst naar Microsoft 365: “de enige realistische optie”

Een van de duidelijkste voorbeelden is de overstap van de Belastingdienst, Dienst Toeslagen en Douane naar Microsoft 365.

In oktober 2025 informeerde staatssecretaris Heijnen de Tweede Kamer over deze overstap. De Rijksoverheid vermeldt dat het ging om kantoorautomatisering bij de Belastingdienst, Dienst Toeslagen en Douane.

Volgens berichtgeving van Binnenlands Bestuur en iBestuur was de kern van de redenering dat er binnen afzienbare termijn geen Europees alternatief beschikbaar zou zijn dat aan de eisen van de Belastingdienst voldeed. Microsoft 365 werd daarom als enige realistische of uitvoerbare optie gezien.

Dat is precies het probleem in één zin samengevat: de overheid kiest voor Microsoft omdat de overheid inmiddels zo afhankelijk is geworden dat alternatieven niet meer realistisch lijken.

Daarmee is Microsoft 365 niet alleen een softwarekeuze. Het is een symptoom van twintig jaar onvoldoende digitale strategie.

Belangrijk voor de politieke duiding: deze specifieke Kamerbrief kwam van staatssecretaris Eugène Heijnen, destijds staatssecretaris van Financiën met de portefeuille Fiscaliteit, Belastingdienst en Douane. Heijnen was verbonden aan BBB, niet aan de VVD.

De VVD is dus niet de directe verantwoordelijke voor deze specifieke brief. Maar de bredere lock-in waar de Belastingdienst nu mee kampt, is wél ontstaan in een lange periode waarin VVD-geleide kabinetten een hoofdrol speelden in het algemene kabinetsbeleid, de digitale koers en het uitblijven van harde keuzes voor publieke digitale autonomie.

DigiD en Solvinity: DigiD blijft Nederlands, maar de infrastructuurvraag blijft

De zorgen rond DigiD zijn een ander voorbeeld. Formeel is DigiD niet verkocht aan een Amerikaans bedrijf. Logius benadrukt dat DigiD Nederlands is en blijft.

DigiD wordt beheerd door Logius, een uitvoeringsorganisatie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties.

Maar daarmee is de discussie niet klaar. De politieke en maatschappelijke zorg draait om Solvinity, een belangrijke leverancier van technische infrastructuur waarop onder meer DigiD draait. Het Amerikaanse bedrijf Kyndryl wil Solvinity overnemen.

De Tweede Kamer beschreef dat Solvinity technische systemen levert aan overheidsdiensten zoals DigiD en MijnOverheid, en dat veel Kamerleden zich zorgen maken over buitenlandse invloed op cruciale digitale systemen.

Logius meldde dat het sinds november 2025 de gevolgen onderzoekt van de mogelijke overname van partner Solvinity door Kyndryl.

Ook hier is nuance nodig. Het is niet juist om simpelweg te zeggen: “DigiD is Amerikaans geworden.” Dat klopt niet.

Maar het is wél terecht om te vragen waarom de technische infrastructuur onder zulke cruciale publieke voorzieningen afhankelijk is van een private leverancier die mogelijk onder Amerikaanse zeggenschap komt.

Ook hier geldt: de verantwoordelijke bewindspersoon in deze casus was staatssecretaris Van Marum van Binnenlandse Zaken en Koninkrijksrelaties, die de Kamer informeerde over de casus Solvinity en de bredere aanpak rond digitale autonomie.

Ook Van Marum is geen VVD-bewindspersoon. Maar opnieuw geldt: de actuele casus speelt onder een ander kabinet, terwijl de onderliggende afhankelijkheid is opgebouwd in de decennia ervoor.

Amerikaanse wetgeving: waarom de CLOUD Act steeds terugkomt

Bij Amerikaanse cloudbedrijven komt vaak de Amerikaanse CLOUD Act ter sprake. De kern van de zorg is dat Amerikaanse autoriteiten onder omstandigheden gegevens kunnen vorderen bij Amerikaanse bedrijven, ook wanneer die gegevens buiten de Verenigde Staten worden opgeslagen.

Dat betekent niet dat elke Amerikaanse cloudoplossing automatisch onveilig of verboden is. Maar het betekent wel dat juridische zeggenschap complexer wordt.

Europese opslag is niet hetzelfde als volledige Europese autonomie wanneer de leverancier onder Amerikaanse jurisdictie valt.

In Kamervragen over de overstap van de Belastingdienst naar Microsoft 365 werd expliciet gevraagd naar Amerikaanse wetgeving zoals de CLOUD Act en FISA, en naar de vraag of opslag in Microsoft-datacentra binnen de Europese Economische Ruimte voldoende is om risico’s voor autonomie en nationale veiligheid weg te nemen.

Ook bij Solvinity en Kyndryl kwamen vergelijkbare vragen op. Kamerleden vroegen onder meer naar de juridische reikwijdte van de CLOUD Act, FISA Section 702 en andere Amerikaanse bevoegdheden, en naar het onderscheid tussen toegang tot gegevens en operationele zeggenschap over systemen.

Dat onderscheid is belangrijk. Het gaat niet alleen om de vraag: “Kan iemand data lezen?” Het gaat ook om vragen als:

Wie heeft operationele macht over infrastructuur?
Wie kan dienstverlening beïnvloeden?
Hoe snel kan Nederland ingrijpen als geopolitieke omstandigheden veranderen?
Wie bepaalt uiteindelijk de continuïteit van cruciale digitale diensten?

Nederland hangt breed aan Amerikaanse clouddiensten

De discussie beperkt zich niet tot DigiD of de Belastingdienst. Uit onderzoek waarover de NOS berichtte, bleek dat van 16.500 onderzochte domeinnamen van Nederlandse overheden, zorginstellingen, scholen en vitale bedrijven 67 procent gekoppeld was aan minimaal één Amerikaanse clouddienst.

Dat kan gaan om websites, e-mail of tools zoals Microsoft Teams.

Security.nl beschreef hetzelfde onderzoek en meldde daarbij dat Microsoft onder de onderzochte domeinnamen een marktaandeel van 49 procent had.

Dit maakt duidelijk dat het probleem groter is dan één leverancier of één ministerie. Nederland heeft een digitale infrastructuur gebouwd waarin Amerikaanse techbedrijven een centrale rol spelen.

Soms is dat praktisch, efficiënt en goedkoop. Maar strategisch is het kwetsbaar.

De VVD: niet de enige schuldige, wel een hoofdrol in de geschiedenis

De vraag naar de rol van de VVD is politiek gevoelig, maar terecht. Wie twintig jaar digitaliseringsbeleid bekijkt, ziet dat de VVD vaak een remmende houding had tegenover harde verplichtingen voor open source.

Niet altijd door open source frontaal af te wijzen, maar door te hameren op technologieneutraliteit, marktwerking, veiligheid en keuzevrijheid. Dat zijn op zichzelf legitieme begrippen. Maar in een scheve markt kunnen ze verkeerd uitpakken.

Technologieneutraliteit klinkt alsof de overheid boven de partijen staat. Maar als de markt al gedomineerd wordt door een paar grote commerciële leveranciers, betekent neutraliteit vaak dat de overheid die dominantie ongemoeid laat.

Marktwerking klinkt alsof de beste oplossing vanzelf wint. Maar als aanbestedingen zijn ingericht op grote partijen, winnen vooral de partijen die al groot zijn.

Veiligheid klinkt als een reden om voorzichtig te zijn met open source. Maar open source kan juist veiligheid, transparantie en controleerbaarheid vergroten, mits goed georganiseerd.

De VVD heeft dus niet in haar eentje “de cloudafhankelijkheid veroorzaakt”. Maar de partij heeft wel jarenlang bijgedragen aan een bestuurscultuur waarin publieke digitale regie ondergeschikt bleef aan marktlogica.

Onder VVD-geleide kabinetten werd veel gesproken over efficiëntie, kostenbeheersing en samenwerking met marktpartijen, maar veel minder hard gestuurd op publieke digitale soevereiniteit.

Het resultaat zien we nu: bewindspersonen van latere kabinetten moeten uitleggen waarom overstappen niet kan, waarom Microsoft 365 de enige realistische optie is, waarom Logius afhankelijk is van externe infrastructuur en waarom Europese alternatieven onvoldoende beschikbaar zijn.

Dat zijn geen natuurwetten. Dat zijn gevolgen van beleid.

Waarom open source geen hobby is, maar publieke infrastructuur

Open source wordt soms weggezet als iets voor hobbyisten, idealisten of kleine softwareclubjes. Dat beeld is achterhaald. Moderne digitale infrastructuur draait overal op open source componenten. Ook grote commerciële cloudbedrijven gebruiken massaal open source.

Het verschil is: wie heeft de regie?

Als de overheid open source serieus neemt, kan zij:

software laten controleren door onafhankelijke experts;
publieke code hergebruiken tussen gemeenten, uitvoeringsorganisaties en ministeries;
leveranciersafhankelijkheid verminderen;
overstapkosten beperken;
kennis opbouwen binnen de publieke sector;
transparanter werken;
publieke infrastructuur behandelen als publiek bezit.

Dat betekent niet dat alles open source moet zijn. Niet elke toepassing leent zich ervoor. Er kunnen veiligheidsredenen, privacyredenen of praktische redenen zijn om broncode niet openbaar te maken. Daarom is “open, tenzij” op zichzelf een verstandig uitgangspunt.

Maar “open, tenzij” werkt alleen als de “tenzij” niet de standaardvluchtroute wordt.

De kernfout: Nederland heeft te weinig eigen digitale spierkracht opgebouwd

De overheid heeft jarenlang ICT vooral gezien als iets wat je inkoopt. Maar digitale infrastructuur is niet hetzelfde als kantoorstoelen of catering.

Wie ICT volledig uitbesteedt, besteedt uiteindelijk ook kennis, macht en strategische wendbaarheid uit.

Dat betekent niet dat de overheid alles zelf moet bouwen. Dat is onrealistisch. Maar de overheid moet wel voldoende kennis, architectuurmacht en technische regie in huis hebben om leveranciers aan te sturen, alternatieven te beoordelen en desnoods te kunnen overstappen.

Juist daar ging het vaak mis. Grote leveranciers leverden niet alleen software, maar ook advies, implementatie, beheer, strategie en soms zelfs de feitelijke kennis waarop de overheid beslissingen baseerde.

Dan ontstaat een cirkel: de overheid heeft externe partijen nodig om te begrijpen hoe afhankelijk zij is van externe partijen.

Wat moet er nu gebeuren?

Als Nederland digitale autonomie serieus neemt, zijn halve maatregelen niet genoeg. Dan zijn ten minste vijf stappen nodig.

1. Maak open source de echte standaard

Niet alleen in beleidsstukken, maar in aanbestedingen, budgetten en projectplannen. Nieuwe software die met publiek geld wordt ontwikkeld, moet in principe publiek beschikbaar komen, tenzij er zwaarwegende redenen zijn om dat niet te doen.

2. Knip aanbestedingen kleiner op

Zolang opdrachten zo groot zijn dat alleen megaleveranciers kunnen inschrijven, verandert er weinig. Kleinere, modulaire aanbestedingen geven open-sourcebedrijven, Europese aanbieders en gespecialiseerde mkb-partijen meer kans.

3. Bouw publieke technische kennis op

De overheid moet weer zelf kunnen begrijpen wat zij koopt, bouwt en beheert. Dat vraagt om goede technische functies, loopbaanpaden, salarissen en waardering binnen de overheid.

4. Maak exitstrategieën verplicht

Bij iedere grote cloud- of softwarekeuze moet vooraf duidelijk zijn hoe Nederland weer kan vertrekken. Niet als theoretische bijlage, maar als praktisch getest plan.

5. Behandel digitale infrastructuur als vitale infrastructuur

DigiD, MijnOverheid, belastingcommunicatie, zorgsystemen en gemeentelijke basisdiensten zijn geen gewone IT-projecten. Ze vormen de digitale ruggengraat van de samenleving. Daar hoort publieke regie bij.

Conclusie: de rekening van twintig jaar uitstel

De discussie over DigiD, Solvinity, Microsoft 365 en Amerikaanse clouddiensten laat vooral zien dat Nederland te laat wakker is geworden.

Jarenlang werd open source gezien als sympathiek maar niet urgent. Digitale autonomie werd pas belangrijk toen de afhankelijkheid al diep in de systemen zat.

De VVD heeft daarin een belangrijke historische rol gespeeld. Niet als enige partij, en niet als enige verantwoordelijke, maar wel als partij die jarenlang de toon zette in kabinetten waarin marktwerking, technologieneutraliteit en uitbesteding dominant waren.

De gevolgen daarvan worden nu zichtbaar.

Dat maakt de huidige discussie ongemakkelijk. Want de vraag is niet alleen: “Is Microsoft veilig?” of “Blijft DigiD Nederlands?”

De echte vraag is groter:

Waarom heeft Nederland zichzelf in een positie gebracht waarin het nauwelijks nog realistische alternatieven heeft?

Zolang die vraag niet eerlijk wordt beantwoord, blijft digitale autonomie vooral een mooie term voor debatten, Kamerbrieven en conferenties.

Echte autonomie begint pas wanneer de overheid weer de kennis, macht en moed heeft om haar eigen digitale toekomst vorm te geven.