Nederland lijkt zich eindelijk te realiseren hoe kwetsbaar het is geworden door de toenemende afhankelijkheid van Big Tech. In een scherpe brief aan de minister van Economische Zaken waarschuwt de Autoriteit Persoonsgegevens (AP) dat vitale digitale processen van de overheid en samenleving te sterk leunen op een klein aantal grote, niet-Europese technologiebedrijven.
Volgens de AP vormt deze afhankelijkheid een direct risico voor privacy, continuïteit en digitale soevereiniteit. Uitval of politieke druk via digitale infrastructuur kan ertoe leiden dat essentiële overheidsdiensten, zoals uitkeringen, communicatie met burgers en identificatiesystemen als DigiD, niet meer functioneren.
Wat staat er in de brief van de Autoriteit Persoonsgegevens?
De AP constateert dat Nederlandse overheden en vitale sectoren in hoog tempo zijn overgestapt op cloud- en ICT-diensten van grote buitenlandse spelers, vaak afkomstig uit de Verenigde Staten. Deze Big Tech-bedrijven leveren gemak en schaal, maar brengen ook structurele risico’s met zich mee.
De toezichthouder stelt vast dat risicoafwegingen rond cloudgebruik onvoldoende zijn uitgewerkt, beleid rond digitale autonomie versnipperd en vrijblijvend is, er nauwelijks exit-strategieën bestaan bij overnames of geopolitieke spanningen en dat de concentratie van digitale macht bij enkele Big Tech-partijen nauwelijks wordt gemonitord.
Volgens de AP is dit geen abstract toekomstscenario meer, maar een concreet en groeiend probleem.
Digitale afhankelijkheid als geopolitiek risico
In de brief wordt expliciet verwezen naar recente voorbeelden waarbij Amerikaanse sancties ertoe leidden dat medewerkers van internationale organisaties plotseling geen toegang meer hadden tot hun digitale werkomgeving. Dit onderstreept dat digitale infrastructuur inmiddels kan worden ingezet als politiek machtsmiddel.
Voor Nederland betekent dit dat de afhankelijkheid van Big Tech niet alleen een economisch of technisch vraagstuk is, maar ook een geopolitiek en maatschappelijk risico. Privacybescherming en continuïteit van dienstverlening komen daarmee onder druk te staan.
Wat vraagt de AP van het kabinet?
De Autoriteit Persoonsgegevens roept het kabinet op om met urgentie in te grijpen. Onder meer door het verplicht toepassen van het EU Cloud Sovereignty Framework bij overheidsinkoop, afdwingbare exit-clausules in IT-contracten, centrale regie op cloudgebruik in plaats van versnipperd beleid, structurele monitoring van de macht en concentratie van Big Tech en gerichte investeringen in Europese en Nederlandse alternatieven, waaronder een Rijkscloud onder Europese wetgeving.
De AP maakt duidelijk dat bestaande visies en beleidsdocumenten tekortschieten zolang zij niet worden vertaald naar concrete en afdwingbare maatregelen.
Waarom dit zo belangrijk is
Deze brief markeert een kantelpunt in het Nederlandse debat over Big Tech, cloud en digitale autonomie. Jarenlang kwamen waarschuwingen vooral van journalisten, onderzoekers en privacy-activisten. Nu stelt de officiële privacy-toezichthouder dat de situatie acuut en zorgelijk is.
Het gaat daarbij niet alleen om gegevensbescherming, maar om fundamentele vragen. Wie heeft uiteindelijk de controle over onze digitale infrastructuur? Wat gebeurt er als commerciële of geopolitieke belangen botsen met publieke waarden? En hoe weerbaar is Nederland in een digitale crisis?
Dat de brief werd verstuurd op de Europese Dag van de Privacy is veelzeggend: zonder digitale soevereiniteit blijft privacy afhankelijk van de goede wil van Big Tech.
Boodschap
De boodschap van de Autoriteit Persoonsgegevens is helder: Nederland moet minder afhankelijk worden van Big Tech en sneller werk maken van digitale autonomie. De vraag is niet langer of dit nodig is, maar of de politiek bereid is om daadwerkelijk door te pakken.
Nederland lijkt wakker te worden. Nu is het zaak om niet weer in slaap te vallen.
Brief
Onderstaand de brief van 28-1-2026 van Autoriteit Persoonsgegevens – Oproep tot aanvullende maatregelen voor digitale autonomie en soevereiniteit, brief aan de minister van Economische Zaken
Oproep AP tot treffen aanvullende maatregelen ter bescherming van de continuïteit van vitale processen
Geachte heer Karremans,
Inleiding
Nederland is de afgelopen jaren voor haar vitale processen sterk afhankelijk geworden van een beperkt aantal grote buitenlandse cloud- en ICT-dienstenproviders. Deze afhankelijkheid en de snel veranderende geopolitieke verhoudingen, maken dat de Autoriteit Persoonsgegevens (AP) niet anders kan dan haar grote zorgen over de continuïteit van vitale processen in Nederland met u te delen. Vitale processen, zoals het elektronisch berichtenverkeer met burgers via DigiD, zijn processen waarvan uitval, verstoring of manipulatie tot grote maatschappelijke ontwrichting kan leiden. Nagenoeg alle burgers en bedrijven in Nederland ondervinden in zo’n situatie ernstig economisch en maatschappelijk nadeel, bijvoorbeeld doordat uitkeringen dan niet meer kunnen worden uitbetaald. De Nederlandse overheid en vitale aanbieders zijn, mede op grond van de Algemene Verordening Gegevensbescherming (AVG), verplicht om passende maatregelen te nemen om grootschalige en langdurige niet-beschikbaarheid van en toegang tot persoonsgegevens en mogelijk verlies of schade of andere kwetsbaarheden die de beschikbaarheid en integriteit van (persoons)gegevens aantasten te allen tijde te voorkomen. De AP heeft het kabinet eerder opgeroepen tot meer maatregelen om deze vitale processen beter te beschermen.1
De AP constateert op basis van de bij haar beschikbare toezichtinformatie en uit publicaties van onder meer de Algemene Rekenkamer en het Adviescollege ICT-toetsing, dat Nederlandse vitale processen over de hele linie veel te kwetsbaar zijn om grootschalige en langdurig niet-beschikbaarheid te voorkomen.2 Nederland zou in zo’n situatie tot stilstand kunnen komen, met onoverzienbare, en mogelijk onherstelbare, maatschappelijke, economische en vooral persoonlijke schade als gevolg. De AP roept het kabinet daarom op om met de hoogst mogelijke urgentie nationaal aanvullende maatregelen te treffen ten behoeve van digitale soevereiniteit, om de continuïteitsrisico’s voor vitale processen te ondervangen. Om deze maatregelen een succes te kunnen maken zijn er vanuit Europees perspectief bezien ook aanpassingen benodigd, waaronder aan de Aanbestedingsrichtlijnen. Hiervoor is breed gedragen overeenstemming binnen de EU noodzakelijk.
Toelichting op de risico’s
Het risico dat de AP als meest zorgwekkend signaleert – en ons aanleiding geeft om hier deze brief aan te wijden – betreft het risico van grootschalige afhankelijkheid van buiten de EER-gevestigde ICT-dienstverleners voor de continuïteit van de verwerking van persoonsgegevens. De AP signaleert in dit verband de volgende deelrisico’s:
- grote afhankelijkheid van een beperkt aantal buitenlandse buiten de EER gevestigde commerciële cloud- en ICT-dienstenproviders;
- niet-toereikende uniforme afwegingkaders, waardoor er te weinig oog is voor de beheersing van risico’s, bijvoorbeeld door contractuele en technische waarborgen, gedurende de volledige leveranciersmanagementcyclus;
- ontoereikende wetgeving waarmee digitale soevereiniteit voor vitale processen formeel kan worden afgedwongen;3
- het ontbreken van in place exit-strategieën bij overnames door bedrijven van buiten de EER.
Op basis van het bovenstaande ziet de AP dat er vooralsnog onvoldoende sprake is van adequate risicobeheersing. Zo schetst de recent gepubliceerde Visie digitale autonomie en soevereiniteit van de overheid voornamelijk strategische uitgangspunten en bevat deze nog geen concrete maatregelen die op korte termijn kunnen worden geïmplementeerd.4 Dit ondersteunt het beeld dat de rijksoverheid momenteel nog bezig is met visievorming, terwijl de strategische afhankelijkheden in de tussentijd steeds meer toenemen door ontwikkelingen in de markt, zoals de voorgenomen overname van Solvinity door Kyndryl. Deze visie legt de verantwoordelijkheid voor de risicoafweging en de te nemen maatregelen nadrukkelijk bij organisaties zelf. Hiermee blijft de invulling van maatregelen afhankelijk van decentrale besluitvorming.
Dit terwijl de beoogde versterking van digitale soevereiniteit juist om een gezamenlijke inzet en sturing vraagt. De continuïteitsrisico’s voor vitale processen zijn momenteel onvoldoende zijn gemitigeerd. Dit werd kortgeleden ook nog door de Minister van VWS gesignaleerd m.b.t. de vitale processen in de zorg.5 Deze problematiek is inmiddels ook onderdeel van het debat in de Tweede Kamer.6
Welke impact deze afhankelijkheid kan hebben toont bijvoorbeeld het decreet van de VS aan, waarmee sancties werden ingesteld tegen functionarissen van het Internationaal Strafhof (ICC).7 Omdat Amerikaanse bedrijven zich aan de sanctiemaatregelen van de VS moeten houden, betekende dit voor vier rechters en de hoofdaanklager van het ICC dat zij geen toegang meer hadden tot hun mailbox bij Microsoft. Hierdoor konden zij hun werkzaamheden voor het ICC niet langer uitvoeren.8 Situaties zoals deze maken pijnlijk duidelijk dat het inzetten van de digitale afhankelijkheid als politiek drukmiddel door landen zoals de VS in Nederland inmiddels geen theoretisch risico meer is.9
Mede in dit verband heeft de AP regelmatig uit haar toezichtsveld de vraag gekregen wat de implicaties van de veranderende geopolitieke verhoudingen voor de bescherming van persoonsgegevens van Nederlandse burgers zijn. Zo bestaat er sinds juli 2023 tussen de EU en de VS een data doorgifte verdrag dat de internationale doorgifte van persoonsgegevens naar de VS (het zogenoemde EU-US Data Privacy Framework) regelt.10 Het DPF biedt tot op heden nog een juridische grondslag voor de doorgifte van persoonsgegevens naar de VS en lijkt voorlopig (nog) stand te houden.11
Adviezen AP
De AP roept het huidige en toekomstige kabinet op om zo snel mogelijk aanvullende maatregelen te treffen om risico’s voor de continuïteit van vitale processen en strategische afhankelijkheid te mitigeren. De hieronder volgende maatregelen acht de AP op korte termijn minimaal noodzakelijk.
1. Betrek het EU Cloud Sovereignty Framework op de Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT).12
Dit door de Europese Commissie vastgestelde framework biedt een ex ante beoordelingskader voor (de conformiteit van) de (digitale) soevereiniteit bij het contracteren van clouddiensten, waarmee de IT-afhankelijkheid van niet-Europese cloudleveranciers kan worden verminderd. Het framework definieert een achttal sovereignty objectives (SOV) en een viertal sovereignty effectiveness assurance levels (SEAL) op o.a. strategisch, juridisch, operationeel en technologisch vlak. Aan de hand daarvan kan een soevereiniteitsscore worden toegekend aan cloudleveranciers, waarmee inzichtelijker kan worden gemaakt in hoeverre leveranciers vatbaar zijn voor invloeden van buiten de EER. De AP adviseert om na te denken over een minimum SOV-score en dit op te nemen als kick-out criterium. Vanuit haar rol als toezichthouder op de AVG vraagt de AP specifiek aandacht voor sovereignty objectives 3 (Data & AI sovereignty) en 7 (Security & Compliance).13
2. Borg continuïteit van gegevensverwerkingen door exit-maatregelen in IT-overeenkomsten.
Nederlandse overheden hebben meermaals te maken gehad met de overname van een IT-leverancier door een leverancier van buiten de EER. Momenteel biedt de ARBIT te weinig handvatten om contracten in zo’n geval op te zeggen. Dit geldt evenzeer wanneer de overname plaatsvindt door een partij afkomstig uit een land waarvoor (niet langer) een adequaatheidsbesluit van de Europese Commissie geldt of indien de hostinglocatie (gedeeltelijk) wijzigt naar buiten de EER. Om te voorkomen dat persoonsgegevens van burgers hierdoor onvoldoende worden beschermd, acht de AP het wenselijk om over een duidelijke exit-strategie bij IT-overeenkomsten te beschikken.14 Hiervoor zijn verschillende oplossingen denkbaar. Zo kan een clausule in de ARBIT worden opgenomen die de mogelijkheid biedt om, bij een wijziging in de vestiging en/of verwerkingslocatie van een leverancier, het contract eenzijdig, kosteloos en met onmiddellijke ingang op te zeggen. Hierbij is het van belang dat de leverancier verplicht wordt om de afnemer zo spoedig mogelijk te informeren. Dit geeft de afnemer de tijd om een nieuwe beoordeling uit te voeren (zie advies 1) en waar nodig maatregelen en voorbereidingen voor een daadwerkelijke overstap te treffen. Hierbij is ook van belang dat de IT-oplossingen zodanig zijn ingericht dat overstappen naar een andere leverancier op korte termijn ook daadwerkelijk (technisch) mogelijk is. Dit vereist meer aandacht voor dataportabiliteit en interoperabiliteit. Ten slotte kan ook worden nagedacht over een clausule die specifiek ziet op wijze waarop de terug levering van data, waaronder persoonsgegevens plaatsvindt. Bijvoorbeeld dat hierbij voldaan moet worden aan open standaarden.
3. Bevorder structurele monitoring van marktontwikkelingen van ICT-diensten en ICT-leveranciers.
Voor strategisch management van ICT-diensten is proactieve monitoring van de markt cruciaal.15 Daarmee kan worden geanticipeerd op ontwikkelingen die risico’s vormen voor de continuïteit van vitale processen. Dit vraagt tevens om de verdere uitbreiding van kennis en capaciteit op het gebied van ICT-risicomanagement binnen de overheid. Een structurele en overheidsbrede aanpak van marktmonitoring draagt bij aan beter inzicht in afhankelijkheden, concentratierisico’s en kwetsbaarheden binnen de keten van leveranciers en (potentiële) dienstverleners.
4. Zorg voor een uniforme aanpak rondom het verbeteren van de digitale soevereiniteit.
De voorgenoemde aanbevelingen vragen om een uniforme en centraal gecoördineerde aanpak. Organisaties binnen het Rijk geven allemaal te veel nog naar eigen inzicht invulling aan hun cloudbeleid. Deze verschillen kunnen een negatieve invloed hebben op risicobeheersing van clouddiensten doordat deze onvoldoende bekend zijn. Een uniforme aanpak, waarbij ook monitoring van de markt en centraal toezicht op uitvoering van beleid wordt meegenomen, kan dit helpen mitigeren.16
5. Investeer gericht in schaalbare Europese alternatieven.
De afhankelijkheid van niet-EER leveranciers en het ontbreken van onvoldoende Europese alternatieven vormt een risico voor de digitale soevereiniteit van Nederland. Het is van belang om gericht te investeren in schaalbare Europese alternatieven die een vergelijkbare kwaliteit leveren, ook binnen de rijksoverheid. De AP steunt in dit verband ook het initiatief van een Rijkscloud in volledig Nederlands beheer.17
Afsluiting
In deze brief heeft de AP haar grote zorgen over de continuïteit van vitale processen in Nederland met u gedeeld en heeft zij een aantal concrete oplossingen aangedragen waarmee deze risico’s in de toekomst kunnen worden afgebouwd. De AP is van harte bereid om aan de voorkant met u mee te denken over concrete oplossingen met het oog op compliance en de verbetering van de bescherming van persoonsgegevens.
Deze brief wordt vandaag, op de Europese Dag van de Privacy, verzonden aan de Minister van Economische Zaken, de staatssecretaris voor Digitalisering, de informateur van het nieuwe kabinet en de Vaste Kamercommissie voor Digitale Zaken. Een afschrift zal worden gedeeld met de Autoriteit Consument en Markt (ACM), de Algemene Rekenkamer en het Adviescollege voor ICT-Toetsing. De brief zal tevens openbaar worden gemaakt op de website van de AP.
Hoogachtend,
Autoriteit Persoonsgegevens – Monique Verdier vicevoorzitte
1 Zie: Inzet van Cloud Service Providers (brief AP van 18 oktober 2022 en met kenmerknummer z2022-00846), Den Haag: 2022. en Rijksbreed cloudbeleid 2022 (brief AP van 11 november 2022 en met kenmerknummer 2022-05319), Den Haag: 2022.
2 Zie: Algemene Rekenkamer, Het Rijk in de Cloud, Den Haag: 2025 en Adviescollege ICT-toetsing, Een gewaarschuwd mens telt voor twee (handreiking strategische digitale veiligheid van Adviescollege ICT-toetsing van 13 januari 2026), Den Haag: 2026.
3 Digitale soevereiniteit houdt in het hebben van juridische en bestuurlijke controle over digitale infrastructuren, data en systemen. Definitie overgenomen uit: Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, Visie digitale autonomie en soevereiniteit van de overheid, Den Haag: 2025, p. 7.
4 Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, Visiedigitaleautonomieensoevereiniteitvandeoverheid, Den Haag: 2025. Zie ook de gesignaleerde risico’s in het rapport van: Algemene Rekenkamer, Het Rijk in de Cloud, Den Haag: 2025, p. 49-51.
5 Informatieveiligheid in de zorg (brief Minister van VWS van 4 december 2025), Den Haag: 2025, p. 11. En: Ministerie van Binnenlandse Zaken en Koninkrijkrelaties, Digitale autonomie en soevereiniteit van de overheid, Den Haag: 2025 en ABDTOPConsult, Van kwetsbaar naar weerbaar (rapport geschreven in opdracht van de Algemene Bestuursdienst van BZK van 25 februari 2025), Den Haag: 2025.
6 Nederlandse cloud ‘binnen handbereik’, Tweede Kamer wil haast maken
7 Trump stelt per decreet sancties in tegen Internationaal Strafhof
8 Kamerstukken II 2024/25, 2057, p. 2-3 (Antwoord op vragen van het lid Kathmann over de rol van Microsoft bij Amerikaanse sancties richting het Internationaal Strafhof) en zie: Ministerie van BZK, ”Beantwoording vragen van de leden Bontenbal, Krul en Boswijk (CDA) over het bericht “Wake-up call: Microsoft sluit e-mail ICC zonder pardon af” (brief Ministerie van BZK van 1 juli 2025), Den haag: 2025, p. 1-2. Zie verder: Internationaal Strafhof hard geraakt door sancties VS: ‘Ik schrik hiervan’
9 Ministerie van BZK, “DerolvanMicrosoftbijAmerikaansesanctiesrichtinghetInternationaalStrafhof”(beantwoording Kamervragen door staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 1 juli 2025), Den Haag: 2025.
10 Doorgifte persoonsgegevens naar de VS | Autoriteit Persoonsgegevens. De voorganger van dit verdrag, het EU-US Privacyshield, is door het Hof van Justitie van de EU ongeldig verklaard. Zie: HvJ EU 16 juli 2020, C-311/18, ECLI:EU:C:2020:559 (Schrems II). Het DPF geldt alleen voor organisaties in de VS die zich vrijwillig hebben aangesloten (self-certified) bij het programma dat wordt beheerd door de US Department of Commerce.
11 Vgl. GC EU 3 september 2025, T-553/23, ECLI:EU:T:2025:831 (Latombe/Commissie).
12 Het framework is raadpleegbaar via: https://commission.europa.eu/document/09579818-64a6-4dd5-9577-446ab6219113_en.
13 Deze objectives gaan o.a. in op wie er toegang heeft tot (persoons)gegevens; het hebben van inzicht in wanneer, waar en door wie gegevens worden geraadpleegd; een strike beperking van de opslag en verwerking van gegevens tot Europese rechtsgebieden; beperking van security operations centers en responsteams tot EU-jurisdictie en transparantie rondom beveiligingsinbreuken of kwetsbaarheden.
14 De AP acht het wenselijk om de voorgestelde aanpassingen ook in de huidige (nog) lopende contracten door te voeren. Bijvoorbeeld door ter handstelling van de herziene ARBIT-voorwaarden aan de leveranciers (indien van toepassing verklaard).
15 Vgl. ABDTOPConsult, Van kwetsbaar naar weerbaar (rapport geschreven in opdracht van de Algemene Bestuursdienst van BZK van 25 februari 2025), Den Haag: 2025, p. 20.
16 Vgl. Algemene Rekenkamer, Het Rijk in de cloud, Den Haag: 2025, p. 53-54.
17 Motie van het lid Kathmann over een aanbesteding voor een Rijkscloud in volledig Nederlands beheer. De AP merkt op dat deze volledig en alleen onder Europese wetgeving dient te vallen.
Bron: AP