31 066 Belastingdienst

26 643 Informatie- en communicatietechnologie (ICT)

AR1 VERSLAG VAN EEN SCHRIFTELIJK OVERLEG

Vastgesteld 17 februari 2026

De vaste commissie voor Digitalisering2 heeft schriftelijk overleg gevoerd met de Staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane over de overstap van de Belastingdienst, Douane en Toeslagen naar Microsoft365 (M365). Bijgaand brengt de commissie hiervan verslag uit. Dit verslag bestaat uit:

  • De uitgaande brief van 2 december 2025.

  • De antwoordbrief van 12 februari 2026.

De griffier van de vaste commissie voor Digitalisering, Van Dooren

BRIEF VAN DE VOORZITTER VAN DE VASTE COMMISSIE VOOR COMMISSIE VOOR DIGITALISERING

Aan de Staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane

Den Haag, 2 december 2025

De vaste commissie voor Digitalisering heeft met belangstelling kennisgenomen van uw brief van 2 oktober 2025 over de Overstap van de Belastingdienst, Douane en Toeslagen naar Microsoft365 (M365)3, waarin u een zorgvuldige afweging van alle onderzochte scenario’s toelicht. Naar aanleiding hiervan hebben de leden van de fracties van GroenLinks-PvdA en BBB nog enkele vragen aan u. De fractie van GroenLinks-PvdA heeft daarnaast naar aanleiding van uw brief nog enkele vragen gesteld aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties.

Vragen en opmerkingen van de leden van de fractie van GroenLinks-PvdA

De Belastingdienst heeft na een lang proces de keuze gemaakt op grond van functionaliteit, veiligheid en continuïteit en dit traject is voltooid of bijna voltooid. Uit de drie voornoemde criteria waarop de Belastingdienst heeft geselecteerd blijkt dat strategische autonomie geen selectiecriterium was.

De leden van de fractie van GroenLinks-PvdA lezen dat op basis van een zorgvuldige afweging alle onderzochte scenario’s die beoordeeld zijn op de genoemde criteria de overstap naar M365, ook gezien de huidige volwassenheid van Europese cloudoplossingen, op dit moment volgens u de meest geschikte optie is. Deze leden lezen eveneens dat er een noodoplossing is in het geval de dienst per direct niet meer kan worden gebruikt.

De leden van de fractie van GroenLinks-PvdA vragen u of zij hierin kunnen lezen dat als de Belastingdienst op eenzelfde manier wordt behandeld door de leverancier als het Internationale Strafhof recent is overkomen, deze dienst op een aanvaardbaar niveau kan blijven functioneren? Daarbij merken deze leden op dat het Internationale Strafhof ervoor heeft gekozen geen gebruik te maken van M365 en kennelijk voldoende vertrouwen heeft in een Europees alternatief.

Vragen en opmerkingen van de leden van de fractie van BBB

Ondanks de conclusie uit uw brief dat M365 met aandacht voor een exit-strategie op dit moment de meest geschikte optie is roepen de geopolitieke risico’s en de afhankelijkheid van een niet-Europese leverancier bij de leden van de fractie van BBB vragen op. Zij hebben met name vragen over de afweging van alternatieven, de rol van externe adviseurs, ervaringen van andere organisaties en de borging van een exit-mogelijkheid. Deze vragen zijn bedoeld om de transparantie en robuustheid van het besluitvormingsproces te vergroten.

In uw brief schrijft u dat «de Belastingdienst in 2021 is begonnen aan het vervangen van de werkplekken bij de Belastingdienst, Douane en Toeslagen. De Belastingdienst heeft daarvoor de nieuwe werkplek, in de vorm van nieuwe laptops, grotendeels uitgerold met het voornemen om daarbij voor de kantoorautomatisering de overstap te maken naar M365.»4 en dat «In verband met de (geo)politieke en maatschappelijke ontwikkelingen rondom het gebruik van de cloud door overheidsorganisaties heeft de Belastingdienst gewacht met de definitieve implementatie van M365. De Belastingdienst heeft eerst een aantal alternatieve scenario’s uitgewerkt en zorgvuldig afgewogen.»5

Tussen het oorspronkelijke besluit van 2021 en heden ligt vier jaren, waarin heel veel zaken geopolitiek zijn veranderd.

  • 1. De leden van de fractie van BBB vragen in hoeverre het besluit van 2021 met de kennis van nu nog hetzelfde zou luiden?

  • 2. Daarnaast willen deze leden weten hoeveel er sinds 2021 is geïnvesteerd in de nieuwe kantooromgeving. In welke mate heeft het overgaan tot alternatieve omgevingen en daarom afschrijven van gedane investeringen een rol gespeeld bij het uiteindelijke besluit om de weg van M365 te vervolgen?

U schrijft dat «[...] hieruit blijkt dat geen van de onderzochte alternatieven op afzienbare termijn hetzelfde niveau van functionaliteit, veiligheid, continuïteit en efficiëntie kan bieden als het initiële scenario om de overstap naar M365 te maken»6

  • 3. De leden van de BBB-fractie vragen wat «op afzienbare termijn» betekent. De ontwikkelingen zowel geopolitiek als technologisch verlopen namelijk bijzonder snel. Heeft u gekeken naar een scenario waarin de huidige situatie voor korte tijd, bijvoorbeeld één of twee jaar, bevroren wordt totdat nieuwe en in de praktijk bewezen oplossingen zich hebben aangediend?

U geeft aan dat doorwerken in de huidige setting leidt tot productiviteitsverlies: «Medewerkers geven aan dat dit hen veel tijd kost. Een schatting is dat het wegvallen van deze workaround 15 tot 30 minuten per medewerker per dag kan besparen».7 De medewerkers vallen onder de CAO Rijk met een werkweek van 36 uur. Uit algemene analyses in de publieke sector blijkt volgens de leden van de fractie van de BBB dat de productiviteit rond de 80% van de werkweek ligt, oftewel 28,8 uur. Het vermelde verlies aan productiviteit van gemiddeld 22,5 minuten per dag is 112,5 minuten per week oftewel 1,9 uur per week (6,6%). Bij de drie diensten werken 34.000 fte met een verlies aan productiviteit van 2.245 fte.

  • 4. Begrijpen de leden van de BBB-fractie het goed dat ná implementatie van de kantoorautomatisering het aantal formatieplaatsen met 2.245 zal zijn verminderd? Zo nee, waarom neemt u dan nu een besluit nemen waarmee we onszelf voor lange tijd vastleggen?

U schrijft ook dat «daarnaast de huidige werkomgeving als ongebruiksvriendelijk wordt ervaren. Aangezien de huidige werkomgeving onvoldoende samenwerkingsfunctionaliteiten heeft sluit het niet langer aan bij de eisen van hybride werken.»8

  • 5. Kunnen de leden van de BBB-fractie hieruit afleiden dat naast productiviteit het hybride werken hét argument is om over te gaan tot implementatie? Heeft u overwogen om het hybride werken in het landsbelang aan banden te leggen? Zo nee, waarom niet?

U schrijft dat het «enkel en alleen om de kantoorautomatisering gaat». Het gaat met andere woorden niet om kernprocessen. Omdat het «slechts» kantoorautomatisering betreft, is het gevaar dat een vreemde mogendheid de stekker eruit trekt qua impact niet van belang dus geopolitieke risico’s hebben geen invloed op de performance van deze organisaties. De genoemde diensten staan echter aan de basis van het inkomen van het Rijk en de serviceverlening aan de betalende c.q. ontvangende burger. De diensten vervullen daartoe een administratieve taak waarbij communicatie van groot belang is. De mogelijke impact van het vanwege geopolitieke omstandigheden wegvallen van de kantoorautomatisering kan en zal gigantisch zijn.

  • 6. Hoe ziet u dit? En welke in welke mate heeft dit mogelijk risico in het eindoordeel meegewogen?

U heeft het in uw brief over meerdere scenario’s die grondig zijn verkend, maar u licht niet toe in hoeverre hierbij externe expertise is ingeschakeld. Gezien de complexiteit van cloudmigraties en de strategische belangen is het essentieel dat de afweging onafhankelijk en multidisciplinair is.

  • 7. In welke mate zijn externe adviseurs met expertise in digitale soevereiniteit (bijvoorbeeld op het gebied van het in overeenstemming werken met de Algemene Verordening Gegevensbescherming en geopolitieke risico’s), betrokken bij de beoordeling van de alternatieven? Kunt u een overzicht geven van de ingeschakelde adviseurs, hun rol en eventuele contra-expertise die is verkregen?

  • 8. Welke onafhankelijke audit is uitgevoerd op de risicoanalyse van de alternatieven en hoe is gewaarborgd dat mogelijke belangenconflicten bij adviseurs ten aanzien van Microsoft of andere hyperscalers zijn uitgesloten?

De brief noemt vier scenario’s: een Europese oplossing, een hybride on-premises oplossing, continuering van de huidige werkomgeving en overstap naar M365. Europese alternatieven zoals Nextcloud of OpenDesk kunnen functionaliteiten bieden die aansluiten bij overheidsbehoeften, maar zijn niet als gelijkwaardig beoordeeld.

  • 9. Kunt u een gedetailleerd overzicht geven van de specifieke alternatieven die binnen elk scenario zijn onderzocht, zoals Nextcloud voor de Europese oplossing of Scaleway voor hybride cloud?

  • 10. Welke kwantitatieve en kwalitatieve criteria zijn gebruikt voor de beoordeling en weging (zoals kosten, beveiliging, schaalbaarheid, integratie met bestaande systemen en geopolitieke risico’s)? Hoe zijn deze criteria gewogen in een multicriteria-analyse?

  • 11. Hoe is de weging van criteria gevalideerd tegen recente ontwikkelingen, zoals de Europese Data Act (die vendor lock-in moet verminderen) of initiatieven als het Dutch Cloud Community-platform? Waarom is een gevoeligheidsanalyse niet toegepast om te testen hoe veranderingen in criteria, zoals hogere nadruk op soevereiniteit, de uitkomst beïnvloeden?

Andere overheidsorganisaties, zoals ministeries en gemeenten, hebben ervaring met cloudovergangen, maar de brief gaat niet in op benchmarking. De Algemene Rekenkamer waarschuwt in recente rapporten voor onvoldoende risicoafwegingen bij clouddiensten.9

  • 12. Met welke andere uitvoeringsorganisaties, zoals DUO, SVB of gemeenten via de VNG, is overleg geweest over hun cloudmigraties? Kunt u specificeren welke geleerde lessen, zoals met de overstap van SSC-ICT of de pauze bij Defensie, en beoordelingsmatrices zijn meegenomen in de afweging en hoe deze hebben bijgedragen aan de keuze voor M365?

  • 13. In hoeverre zijn ervaringen van decentrale overheden, zoals de hybride cloudstrategie van Amsterdam, geëvalueerd? Waarom is geen gezamenlijke overheidsbrede pilot met alternatieven opgezet om geleerde lessen collectief te delen?

Een belangrijke, zo niet dé belangrijkste reden, om niet afhankelijk te zijn van buitenlandse invloeden is het beschikbaar hebben van Europese alternatieven. U schrijft: «Daarbij is ook gekeken naar Europese oplossingen. Dit heeft gezien het versterken van de autonomie en het beperken van de afhankelijkheid van niet-Europese aanbieders de voorkeur. Echter, op afzienbare termijn zijn er nog geen Europese alternatieven die een vergelijkbaar niveau van functionaliteit, veiligheid en continuïteit kunnen bieden als M365.»

  • 14. U gaat niet in op welke alternatieven zijn bekeken en waarom deze niet zouden passen. Kunt u dit nader toelichten?

Europese overheidsorganisaties, zoals Kopenhagen en Aarhus in Denemarken, Sleeswijk-Holstein in Duitsland en Franse ministeries stappen deels af van Microsoft-producten ten gunste van open-source alternatieven. De Europese Commissie zelf gebruikt nog M365, maar heeft tegelijkertijd rechtszaken over privacy.

  • 15. Welke Europese overheidsinstanties zijn overgestapt naar alternatieven voor M365 en wat zijn de gemeten ervaringen op het gebied van functionaliteit, kosten en beveiliging? Waarom is een dergelijke overstap niet overwogen als pilot voor de Belastingdienst, ondanks de aanbevelingen van de European Data Protection Supervisor (EDPS) voor meer soevereiniteit?

Volgens de leden van de BBB-fractie zijn er wel degelijk alternatieven beschikbaar. Een populair voorbeeld is Linux in combinatie met Proton. Linux vervangt als gratis, open-source OS daarbij Windows, terwijl Proton (een Zwitsers privacygericht platform) diensten zoals e-mail, opslag en kalender overneemt van Microsoft 365. Proton is end-to-end versleuteld en voldoet aan strenge EU-privacyregels en biedt apps voor Linux. Alternatieven voor Microsoft Office 365 (Word, Excel, PowerPoint, etc.) zijn onder andere LibreOffice uit Duitsland en ONLYOFFICE uit Letland. Outlook alternatieven zijn naast Proton Mail en Calendar uit Zwitserland, Thunderbird en FairEmail. Tegelijkertijd kan Microsoft Teams (communicatie en samenwerking) worden vervangen door Nextcloud Talk (Zwitserland), Jitsi Meet of Element.

  • 16. De leden van de fractie van de BBB willen weten of deze alternatieven bekeken zijn en op welke criteria deze zijn afgevallen?

  • 17. Hoe reageert u op het recente afscheid van het Internationaal Strafhof van M365 ten gunste van Europese oplossingen zoals OpenDesk en in hoeverre is dit meegenomen in de risicobeoordeling voor gevoelige data bij de Belastingdienst?

De brief benadrukt een exit-strategie, maar details ontbreken. Volgens het Rijksbreed cloudbeleid moet een exit altijd contractueel zijn vastgelegd met focus op data-overdracht en continuïteit.

  • 18. Wat zijn de specifieke criteria voor het activeren van de exit-strategie, zoals geopolitieke escalatie of het niet-nakomen van Service Level Agreements, en hoe is dit contractueel geborgd in de M365-overeenkomst?

  • 19. Kunt u de boetebepalingen toelichten, inclusief sancties bij niet-nakoming van data-overdracht of vernietiging?

  • 20. Wordt in de exit-strategie rekening gehouden met de EU Data Act-verplichtingen voor overdraagbaarheid van gegevens en hoe is getest of data inclusief archieven van e-mail en toeslagen binnen de gestelde termijn volledig overdraagbaar is zonder verlies van integriteit?

Een abrupte onderbreking kan disruptief zijn voor kritieke diensten zoals fraudedetectie en burgercommunicatie.

  • 21. Wordt er rekening gehouden met een tussentijdse onderbreking, bijvoorbeeld door acute geopolitieke ontwikkelingen, en is daarvoor een geoormerkt budget gereserveerd in de investeringsagenda? Zo ja, hoeveel en hoe is dit gemotiveerd?

  • 22. Hoe is de financiële voorziening voor een tussentijdse exit gekoppeld aan de bredere overheidsbegroting en is er een calamiteitenplan voor operationele continuïteit tijdens een onderbreking, inclusief terugval naar on-premises systemen?

De US Cloud Act en recente politieke ontwikkelingen in de Verenigde Staten (VS) vergroten risico’s op data-toegang door Amerikaanse autoriteiten, ondanks het EU-US Data Privacy Framework.

  • 23. Hoe worden veranderende politieke mores en juridische wijzigingen in de VS, zoals aanpassingen aan de CLOUD Act of FISA, gemonitord? Hoe worden deze meegenomen in periodieke herbeoordelingen van de M365-overstap? Is er een toegewijde taakgroep of externe monitoring via bijvoorbeeld ENISA ingericht?

  • 24. In hoeverre is de monitoring gekoppeld aan triggers voor exit en welke scenario’s zijn gesimuleerd voor een plotselinge blokkade van diensten door Amerikaanse sancties?

De leden van de vaste commissie voor Digitalisering zien uw reactie – bij voorkeur binnen vier weken – met belangstelling tegemoet. De brief gericht aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties is ter kennisgeving toegevoegd.

Voorzitter van de vaste commissie voor commissie voor Digitalisering, G.V.M. Veldhoen

BRIEF VAN DE STAATSSECRETARIS VAN FINANCIËN – FISCALITEIT, BELASTINGDIENST EN DOUANE

Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 12 februari 2026

Hierbij stuur ik u de beantwoording van het schriftelijk overleg dat uw Kamer heeft ingediend naar aanleiding van mijn brief over de «Overstap kantoorautomatisering naar M365».

De Staatssecretaris van Financiën – Fiscaliteit, Belastingdienst en Douane, E. Heijnen

Vragen van de leden van de fractie GroenLinks-PvdA

De leden van de fractie van GroenLinks-PvdA lezen dat op basis van een zorgvuldige afweging alle onderzochte scenario’s die beoordeeld zijn op de genoemde criteria de overstap naar M365, ook gezien de huidige volwassenheid van Europese cloudoplossingen, op dit moment volgens u de meest geschikte optie is. Deze leden lezen eveneens dat er een noodoplossing is in het geval de dienst per direct niet meer kan worden gebruikt.

Allereerst wil ik graag aangeven dat de drie criteria functionaliteit, veiligheid en continuïteit niet de enige criteria zijn waarop de Belastingdienst de keuze voor M365 heeft gebaseerd. De keuze voor M365 is genomen in 2021 bij de aanvang van het traject om de werkplekken te vervangen en te moderniseren. De (geo)politieke situatie was destijds anders dan nu. Het versterken van de digitale autonomie speelde destijds een beperktere rol in de afwegingen.

De leden van de fractie van GroenLinks-PvdA vragen u of zij hierin kunnen lezen dat als de Belastingdienst op eenzelfde manier wordt behandeld door de leverancier als het Internationale Strafhof recent is overkomen, deze dienst op een aanvaardbaar niveau kan blijven functioneren? Daarbij merken deze leden op dat het Internationale Strafhof ervoor heeft gekozen geen gebruik te maken van M365 en kennelijk voldoende vertrouwen heeft in een Europees alternatief. De leden van GroenLinks-PvdA vragen daarnaast of de Belastingdienst op eenzelfde manier kan functioneren als de organisatie op eenzelfde manier wordt behandeld door Microsoft als het Internationaal strafhof en of de Belastingdienst dan nog op een aanvaardbaar niveau kan functioneren.

Wat betreft de situatie met betrekking tot het Internationaal Strafhof verwijs ik u naar de brief van mijn ambtsgenoten de Minister van Buitenlandse Zaken en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties van 1 juli.10 Het kabinet kan hier geen uitspraken over doen. Voor de Belastingdienst geldt in ieder geval dat er momenteel geen Amerikaanse sanctiemaatregelen bekend zijn die specifiek gericht zijn op de organisatie.

De leden van de fractie van GroenLinks-PvdA vragen daarnaast of de Belastingdienst nog steeds op een aanvaardbaar niveau kan functioneren indien de Belastingdienst op dezelfde wijze zou worden behandeld als het ICC. In de risicoanalyse die de Belastingdienst heeft opgesteld is het risico dat de leverancier diensten beëindigt onder druk van statelijke actoren nadrukkelijk meegewogen. De kans dat dit gebeurt, wordt als klein ingeschat. De Belastingdienst heeft, zoals ook beschreven in eerdergenoemde brief, een exitstrategie opgesteld voor het geval er een (acuut) vertrek uit de cloud-omgeving moet plaatsvinden. In dat geval wordt er teruggevallen op een afgeslankte versie van de huidige HCL-omgeving met beperktere functionaliteiten. Doordat er daarnaast gezorgd wordt voor een lokale back-up functionaliteit kan de Belastingdienst een reservekopie van de data uploaden naar de HCL-omgeving.

Zoals aangegeven in de brief van 2 oktober jl. gaat het om de kantoorautomatisering. De applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing blijven draaien in hun huidige omgeving in de datacenters van de Belastingdienst.

Vragen van de leden van de fractie van BBB

Tussen het oorspronkelijke besluit van 2021 en heden ligt vier jaren, waarin heel veel zaken geopolitiek zijn veranderd.

1.

De leden van de fractie van BBB vragen in hoeverre het besluit van 2021 met de kennis van nu nog hetzelfde zou luiden?

De keuze voor M365 is gemaakt in 2021. De (geo)politieke situatie was destijds anders dan nu, het versterken van de autonomie speelde destijds een beperkte rol in de afwegingen. Bij de aanvang van het traject in 2021 heeft de Belastingdienst, net zoals vele andere (overheids-)organisaties, gekozen voor de toen geldende standaard van M365 en Windows 11. Met de kennis van nu zouden er toen ook andere scenario’s zijn onderzocht. Dat wil niet zeggen dat dit daadwerkelijk tot een andere uitkomst zou hebben geleid.

2.

Daarnaast willen deze leden weten hoeveel er sinds 2021 is geïnvesteerd in de nieuwe kantooromgeving. In welke mate heeft het overgaan tot alternatieve omgevingen en daarom afschrijven van gedane investeringen een rol gespeeld bij het uiteindelijke besluit om de weg van M365 te vervolgen?

Sinds 2021 is er 14,4 miljoen euro geïnvesteerd in de uitrol van M365 binnen de Belastingdienst, Douane en Toeslagen (dit bedrag is inclusief 2026).11 Deze kosten hebben geen rol gespeeld bij het uiteindelijke besluit om de overstap naar M365 voort te zetten.

U schrijft dat «[...] hieruit blijkt dat geen van de onderzochte alternatieven op afzienbare termijn hetzelfde niveau van functionaliteit, veiligheid, continuïteit en efficiëntie kan bieden als het initiële scenario om de overstap naar M365 te maken»

3.

De leden van de BBB-fractie vragen wat «op afzienbare termijn» betekent. De ontwikkelingen zowel geopolitiek als technologisch verlopen namelijk bijzonder snel. Heeft u gekeken naar een scenario waarin de huidige situatie voor korte tijd, bijvoorbeeld één of twee jaar, bevroren wordt totdat nieuwe en in de praktijk bewezen oplossingen zich hebben aangediend?

De Belastingdienst heeft, zoals is aangegeven in de brief van 2 oktober 2025, de start van de overgang naar M365 uitgesteld om eerst een aantal scenario’s nader uit te werken. Het continueren van de huidige werkomgeving was één van de onderzochte scenario’s en is dus onderzocht. Dit scenario is onwenselijk, omdat er wordt doorgewerkt in een verouderde omgeving die de Belastingdienst juist wil vervangen.

Het onderhouden van deze omgeving is complex en kostbaar. Verder is het op orde houden van de informatiehuishouding in deze omgeving ingewikkeld. Daarnaast zijn de functionaliteiten binnen deze werkomgeving voor medewerkers om goed, flexibel en efficiënter samen te kunnen werken zeer beperkt. Omdat bij de uitrol van de nieuwe werkplekken rekening is gehouden met de implementatie van M365 worden medewerkers nu geconfronteerd met workarounds die resulteren in productiviteitsverlies. De Belastingdienst heeft mede op basis hiervan geconcludeerd dat vervangen van de verouderde werkomgeving noodzakelijk is.

In het geval dat er een geschikte Europese oplossing beschikbaar is, moet er een geheel nieuwe werkomgeving worden ontworpen en geïmplementeerd. De doorlooptijd hiervan is aanzienlijk en is afhankelijk van de te configureren oplossing. De verwachting is dat dit in ieder geval enkele jaren zal kosten. Daarnaast kan er niet met zekerheid gezegd worden dat er over één of twee jaar een alternatief beschikbaar is met een vergelijkbaar niveau zoals M365. Het doorwerken in de huidige verouderde omgeving is daarmee vooral het uitstellen van een noodzakelijke keuze.

4.

Begrijpen de leden van de BBB-fractie het goed dat ná implementatie van de kantoorautomatisering het aantal formatieplaatsen met 2.245 zal zijn verminderd? Zo nee, waarom neemt u dan nu een besluit nemen waarmee we onszelf voor lange tijd vastleggen?

Het traject om de werkplekken en de werkomgeving te vervangen, is door de Belastingdienst in 2021 gestart. Inmiddels zijn de nieuwe werkplekken, in de vorm van laptops ingericht op het gebruik van M365, uitgerold. De situatie is nu dat er vanaf deze nieuwe werkplekken wordt doorgewerkt in een verouderde omgeving die hier niet op is ingericht. Daardoor ontstaan de genoemde workarounds en het productiviteitsverlies. Dit huidige productiviteitsverlies wordt opgevangen in de bestaande formatie. Met de overstap corrigeren we het ontstane productiviteitsverlies en krijgen medewerkers toegang tot een moderne werkomgeving waarin zij efficiënter kunnen (samen)werken.

Het traject zelf vormt niet de aanleiding om het aantal formatieplaatsen te verminderen. De Belastingdienst heeft gezien de vele taken en de complexiteit van het werk behoefte aan het creëren van meer efficiëntie. De overstap naar een modernere werkomgeving kan hier een betekenisvolle bijdrage aan leveren.

U schrijft ook dat «daarnaast de huidige werkomgeving als ongebruiksvriendelijk wordt ervaren. Aangezien de huidige werkomgeving onvoldoende samenwerkingsfunctionaliteiten heeft sluit het niet langer aan bij de eisen van hybride werken.»

5.

Kunnen de leden van de BBB-fractie hieruit afleiden dat naast productiviteit het hybride werken hét argument is om over te gaan tot implementatie? Heeft u overwogen om het hybride werken in het landsbelang aan banden te leggen? Zo nee, waarom niet?

Nee, dat is niet het geval. De Belastingdienst volgt hierin het beleid dat geldt voor de hele Rijksoverheid.

U schrijft dat het «enkel en alleen om de kantoorautomatisering gaat». Het gaat met andere woorden niet om kernprocessen. Omdat het «slechts» kantoorautomatisering betreft, is het gevaar dat een vreemde mogendheid de stekker eruit trekt qua impact niet van belang dus geopolitieke risico’s hebben geen invloed op de performance van deze organisaties. De genoemde diensten staan echter aan de basis van het inkomen van het Rijk en de serviceverlening aan de betalende c.q. ontvangende burger. De diensten vervullen daartoe een administratieve taak waarbij communicatie van groot belang is. De mogelijke impact van het vanwege geopolitieke omstandigheden wegvallen van de kantoorautomatisering kan en zal gigantisch zijn.

6.

Hoe ziet u dit? En welke in welke mate heeft dit mogelijk risico in het eindoordeel meegewogen?

De kernprocessen voor de belastingheffing, -inning en opsporing waar u op doelt, blijven inderdaad draaien binnen hun huidige omgeving in de datacenters van de Belastingdienst. Wat betreft de continuïteit van de kantoorautomatisering geldt dat de Belastingdienst de risico’s als gevolg van het verbreken van de M365 dienstverlening door Microsoft laag inschat. Mocht dit wel gebeuren kan via de exitstrategie de kantoorautomatisering hersteld worden via de on-premises HCL-oplossing. De Belastingdienst schat daarentegen het volwassenheidsniveau van de informatiebeveiliging (voor het mitigeren van cyberdreigingen van andere statelijke actoren) bij M365 hoger in dan bij andere (on-premises) varianten.

U heeft het in uw brief over meerdere scenario’s die zijn verkend, maar u licht niet toe in hoeverre hierbij externe expertise is ingeschakeld. Gezien de complexiteit van cloudmigraties en de strategische belangen is het essentieel dat de afweging onafhankelijk en multidisciplinair is.

7.

In welke mate zijn externe adviseurs met expertise in digitale soevereiniteit (bijvoorbeeld op het gebied van het in overeenstemming werken met de Algemene Verordening Gegevensbescherming en geopolitieke risico’s), betrokken bij de beoordeling van de alternatieven? Kunt u een overzicht geven van de ingeschakelde adviseurs, hun rol en eventuele contra-expertise die is verkregen?

Zoals eerder aangegeven is het traject gestart in 2021 en voldoet de implementatie aan de geldende kaders. Het versterken van de digitale soevereiniteit speelde toen een beperktere rol in de afwegingen. Er zijn toen geen externe adviseurs met expertise in digitale soevereiniteit betrokken bij het traject.

In het voorjaar, naar aanleiding van politieke en maatschappelijke aandacht voor het cloudgebruik door overheidsinstanties, heeft de Belastingdienst de overstap getemporiseerd. Toen zijn er alternatieve scenario’s verkend op basis van de situatie waarin de Belastingdienst zich op dat moment bevond.

8.

Welke onafhankelijke audit is uitgevoerd op de risicoanalyse van de alternatieven en hoe is gewaarborgd dat mogelijke belangenconflicten bij adviseurs ten aanzien van Microsoft of andere hyperscalers zijn uitgesloten?

De Belastingdienst is in 2021 met het traject gestart. Er is toen externe expertise geraadpleegd om de totale oplossing voor het vervangen van de werkplekken (DBO en M365) te toetsen. De Belastingdienst heeft het reguliere inkoopprocedures gevolgd dat eerder door SLM Rijk is uit onderhandeld.

De brief noemt vier scenario’s: een Europese oplossing, een hybride on-premises oplossing, continuering van de huidige werkomgeving en overstap naar M365. Europese alternatieven zoals Nextcloud of OpenDesk kunnen functionaliteiten bieden die aansluiten bij overheidsbehoeften, maar zijn niet als gelijkwaardig beoordeeld.

9.

Kunt u een gedetailleerd overzicht geven van de specifieke alternatieven die binnen elk scenario zijn onderzocht, zoals Nextcloud voor de Europese oplossing of Scaleway voor hybride cloud?

Er bestaat geen gedetailleerd overzicht van specifieke alternatieven die binnen elk scenario zijn onderzocht. Begin dit jaar heeft de Belastingdienst naar aanleiding van de (geo)politieke en maatschappelijke ontwikkelingen eerst een aantal alternatieve scenario’s geïnventariseerd alvorens de overstap naar M365 door te zetten. Wat betreft de Europese alternatieven heeft de Belastingdienst zich gebaseerd op reeds bestaande en openbare rapportages over de volwassenheid van Europese cloudoplossingen.12

Ook in het geval dat er een geschikte Europese oplossing beschikbaar zou zijn, dan moet er een geheel nieuwe werkomgeving worden ontworpen en geïmplementeerd. De doorlooptijd hiervan is aanzienlijk en is afhankelijk van de te configureren oplossing. De verwachting is dat dit in ieder geval enkele jaren zal kosten. Dat betekent dat de Belastingdienst gedurende deze periode door blijft werken in een verouderde en inefficiënte werkomgeving via werkplekken die hiervoor niet zijn ingericht.

10.

Welke kwantitatieve en kwalitatieve criteria zijn gebruikt voor de beoordeling en weging (zoals kosten, beveiliging, schaalbaarheid, integratie met bestaande systemen en geopolitieke risico’s)? Hoe zijn deze criteria gewogen in een multicriteria-analyse?

Zoals aangegeven bij vraag 1 is dit traject gestart in 2021. De (geo)politieke situatie was destijds anders dan nu. Het versterken van de digitale autonomie speelde toen een beperktere rol in de afweging. De Belastingdienst heeft destijds, net als veel andere overheidsorganisaties gekozen voor de standaard van Windows 11 en M365.

11.

Hoe is de weging van criteria gevalideerd tegen recente ontwikkelingen, zoals de Europese Data Act (die vendor lock-in moet verminderen) of initiatieven als het Dutch Cloud Community-platform? Waarom is een gevoeligheidsanalyse niet toegepast om te testen hoe veranderingen in criteria, zoals hogere nadruk op soevereiniteit, de uitkomst beïnvloeden?

Ik verwijs u naar het antwoord op vraag 10.

Andere overheidsorganisaties, zoals ministeries en gemeenten, hebben ervaring met cloudovergangen, maar de brief gaat niet in op benchmarking. De Algemene Rekenkamer waarschuwt in recente rapporten voor onvoldoende risicoafwegingen bij clouddiensten.

12.

Met welke andere uitvoeringsorganisaties, zoals DUO, SVB of gemeenten via de VNG, is overleg geweest over hun cloudmigraties? Kunt u specificeren welke geleerde lessen, zoals met de overstap van SSC-ICT of de pauze bij Defensie, en beoordelingsmatrices zijn meegenomen in de afweging en hoe deze hebben bijgedragen aan de keuze voor M365?

Zoals aangegeven in het antwoord op vraag 10 en 11 is het traject gestart in 2021. De Belastingdienst is toen uitgegaan van de standaard voor M365 en Windows 11. De Belastingdienst heeft in de aanloop naar dit traject deelgenomen aan de contractonderhandelingen met het Strategisch Leveranciersmanagement (SLM Rijk) voor de Rijksoverheid. SLM Rijk helpt onderdelen van de rijksoverheid om zich beter te positioneren tegenover leveranciers door middel van de gezamenlijke onderhandelings- en inkoopkracht.

Veel onderdelen van de rijksoverheid maken gebruik van cloudoplossingen. Gedurende het traject heeft de Belastingdienst contact gehad met verschillende overheidsorganisaties contact gehad over de overstap naar M365. Voorbeelden hiervan zijn UWV, SSC-ICT, DICTU en de politie.

13.

In hoeverre zijn ervaringen van decentrale overheden, zoals de hybride cloudstrategie van Amsterdam, geëvalueerd? Waarom is geen gezamenlijke overheidsbrede pilot met alternatieven opgezet om geleerde lessen collectief te delen?

De Belastingdienst heeft niet actief de cloud-strategieën van de decentrale overheden zoals de gemeente Amsterdam geëvalueerd. Een hybride cloud-strategie zorgt daarnaast niet per definitie voor meer digitale autonomie. De leverancier kan in het geval van een hybride cloud-strategie nog steeds diensten intrekken.

De Belastingdienst is niet het enige onderdeel van de overheid dat wordt geconfronteerd met opgaven op het gebied van digitale autonomie en de mate van afhankelijkheid van (niet-Europese) techleveranciers. Dit is nadrukkelijk een rijksbrede opgave. Het versterken van de digitale autonomie is daarom een onderwerp van gesprek in verschillende rijksbrede gremia, waaronder het CIO-beraad onder leiding van BZK.

Een belangrijke, zo niet dé belangrijkste reden, om niet afhankelijk te zijn van buitenlandse invloeden is het beschikbaar hebben van Europese alternatieven. U schrijft: «Daarbij is ook gekeken naar Europese oplossingen. Dit heeft gezien het versterken van de autonomie en het beperken van de afhankelijkheid van niet-Europese aanbieders de voorkeur. Echter, op afzienbare termijn zijn er nog geen Europese alternatieven die een vergelijkbaar niveau van functionaliteit, veiligheid en continuïteit kunnen bieden als M365.»

14.

U gaat niet in op welke alternatieven zijn bekeken en waarom deze niet zouden passen. Kunt u dit nader toelichten?

Ik verwijs u hiervoor naar het antwoord op vraag 9.

Europese overheidsorganisaties, zoals Kopenhagen en Aarhus in Denemarken, Sleeswijk-Holstein in Duitsland en Franse ministeries stappen deels af van Microsoft-producten ten gunste van open-source alternatieven. De Europese Commissie zelf gebruikt nog M365, maar heeft tegelijkertijd rechtszaken over privacy.

15.

Welke Europese overheidsinstanties zijn overgestapt naar alternatieven voor M365 en wat zijn de gemeten ervaringen op het gebied van functionaliteit, kosten en beveiliging? Waarom is een dergelijke overstap niet overwogen als pilot voor de Belastingdienst, ondanks de aanbevelingen van de European Data Protection Supervisor (EDPS) voor meer soevereiniteit?

De Belastingdienst beschikt niet over een gedetailleerd overzicht van welke oplossingen Europese overheidsinstanties gebruiken voor cloud en software en wat daarbij hun ervaringen zijn. Wel onderhoudt de Belastingdienst contacten met andere belastingdiensten in Europa om ervaringen uit te wisselen. In het algemeen geldt dat deze ervaringen niet één op één zijn te vergelijken met de situatie van de Belastingdienst. De Belastingdienst is een grote uitvoeringsorganisatie en beschikt over een complex en groot applicatielandschap. Daarnaast beheert de Belastingdienst ook de werkplekken voor Toeslagen en de Douane.

Zoals benadrukt in onder andere het antwoord op vraag 1 is het traject gestart in 2021. Toen is er uitgegaan van de standaard van Microsoft 365 en Windows 11, de algemeen geldende standaard voor kantoorautomatisering. Het onderzoeken en beproeven van alternatieve soevereine oplossingen kost tijd. Implementatie van een alternatief kost de Belastingdienst zoals eerder aangegeven meerdere jaren. Daarmee is een overstap naar een open-source alternatief gezien de huidige situatie van de Belastingdienst niet mogelijk.

Tot slot wil ik opmerken dat de European Data Protection Supervisor (EDPS) de toezichthouder is voor instellingen van de Europese Unie. De Belastingdienst valt daar niet onder. Dat laat niet onverlet dat de adviezen van de EDPS als referentie voor de Belastingdienst kunnen dienen.

Volgens de leden van de BBB-fractie zijn er wel degelijk alternatieven beschikbaar. Een populair voorbeeld is Linux in combinatie met Proton. Linux vervangt als gratis, open-source OS daarbij Windows, terwijl Proton (een Zwitsers privacygericht platform) diensten zoals e-mail, opslag en kalender overneemt van Microsoft 365. Proton is end-to-end versleuteld en voldoet aan strenge EU-privacyregels en biedt apps voor Linux. Alternatieven voor Microsoft Office 365 (Word, Excel, PowerPoint, etc.) zijn onder andere LibreOffice uit Duitsland en ONLYOFFICE uit Letland. Outlook alternatieven zijn naast Proton Mail en Calendar uit Zwitserland, Thunderbird en FairEmail. Tegelijkertijd kan Microsoft Teams (communicatie en samenwerking) worden vervangen door Nextcloud Talk (Zwitserland), Jitsi Meet of Element.

16.

De leden van de fractie van de BBB willen weten of deze alternatieven bekeken zijn en op welke criteria deze zijn afgevallen?

De Belastingdienst herkent de genoemde alternatieven. Dit wil niet zeggen dat deze ook geschikt zijn voor implementatie in de context en schaal van een grote overheidsorganisatie zoals de Belastingdienst. Deze alternatieven zijn dan ook niet specifiek bekeken als alternatief voor M365. Bij de start van het traject in 2021 was Microsoft de standaard en binnen die standaard is de werkplek uitgerold. Er heeft, zoals eerder aangegeven, geen uitgebreide verkenning naar Europese alternatieven plaatsgevonden. Zoals aangegeven in het antwoord op vraag 9 heeft de Belastingdienst zich op bestaande openbare rapportages gebaseerd die in algemene zin spraken over de Europese markt voor cloud en software.

De complexiteit van de integratie van verschillende losse open source oplossingen om tot één werkomgeving te komen kan niet worden onderschat. M365 is daarentegen één geïntegreerde werkomgeving. Tot slot moet worden opgemerkt dat het gebruik van Linux en een aantal andere OpenSource oplossingen gratis is, maar dat het gemeengoed is voor grote organisaties dat bij implementatie hiervan wel een onderhouds- en beheercontract wordt afgesloten. Deze zijn niet gratis. De complexiteit van de integratie van verschillende losse open source oplossingen om tot één werkomgeving te komen kan niet worden onderschat. M365 is daarentegen één geïntegreerde werkomgeving.

17.

Hoe reageert u op het recente afscheid van het Internationaal Strafhof van M365 ten gunste van Europese oplossingen zoals OpenDesk en in hoeverre is dit meegenomen in de risicobeoordeling voor gevoelige data bij de Belastingdienst?

Ik verwijs u hierbij naar het antwoord op de eerste vraag van de leden van de fractie van GroenLinks-PvdA.

De brief benadrukt een exit-strategie, maar details ontbreken. Volgens het Rijksbreed cloudbeleid moet een exit altijd contractueel zijn vastgelegd met focus op data-overdracht en continuïteit.

18.

Wat zijn de specifieke criteria voor het activeren van de exit-strategie, zoals geopolitieke escalatie of het niet-nakomen van Service Level Agreements, en hoe is dit contractueel geborgd in de M365-overeenkomst?

De leden van de fractie van BBB geven aan dat de details omtrent de exitstrategie ontbreken. Ik wil daarbij graag aangeven dat naar aanleiding van eerdere schriftelijke vragen vanuit de Tweede Kamer deze exitstrategie vertrouwelijk ter inzage is aangeboden aan de Tweede Kamer. Desgewenst kan dat ook voor de Eerste Kamer gebeuren. Inhoudelijk kan ik gezien de vertrouwelijkheid van het document niet ingaan bij de beantwoording van deze vraag.

19.

Kunt u de boetebepalingen toelichten, inclusief sancties bij niet-nakoming van data-overdracht of vernietiging?

Dit is onderdeel van contracten en afspraken tussen de Belastingdienst, SLM Rijk en Microsoft en zijn derhalve contractueel vertrouwelijk.

20.

Wordt in de exit-strategie rekening gehouden met de EU Data Act-verplichtingen voor overdraagbaarheid van gegevens en hoe is getest of data inclusief archieven van e-mail en toeslagen binnen de gestelde termijn volledig overdraagbaar is zonder verlies van integriteit?

Eén van de doelen van de exitstrategie is het veiligstellen van de data in het geval (plotseling) een vertrek uit de cloud-omgeving plaats moet vinden. Er wordt een back-up oplossing ingericht door de Belastingdienst waarmee reservekopieën worden gemaakt zodat de data weer beschikbaar kan worden gemaakt op de huidige omgeving. Omdat in de huidige omgeving, ten opzichte van M365, de informatiehuishouding minder goed is geregeld, zal het wel een terugval in dataverwerking en ordening betekenen (Bij de migratie naar M365 wordt de mail niet gemigreerd en blijft beschikbaar binnen de on-premises HCL omgeving. Mail archieven tot het moment van migratie naar M365 blijven dus beschikbaar binnen de datacenters van de Belastingdienst).

Een abrupte onderbreking kan disruptief zijn voor kritieke diensten zoals fraudedetectie en burgercommunicatie.

21.

Wordt er rekening gehouden met een tussentijdse onderbreking, bijvoorbeeld door acute geopolitieke ontwikkelingen, en is daarvoor een geoormerkt budget gereserveerd in de investeringsagenda? Zo ja, hoeveel en hoe is dit gemotiveerd?

Het scenario dat de diensten worden stopgezet nadat statelijke actoren druk uitoefenen op de leverancier is meegenomen in de risicoanalyse. Voor een dergelijke situatie geldt een exitstrategie en back-up oplossing zoals aangegeven in het antwoord op vraag 20.

22.

Hoe is de financiële voorziening voor een tussentijdse exit gekoppeld aan de bredere overheidsbegroting en is er een calamiteitenplan voor operationele continuïteit tijdens een onderbreking, inclusief terugval naar on-premises systemen?

De financiële voorziening is niet gekoppeld. In het geval van een tussentijdse exit wordt teruggevallen op de huidige on-premises omgeving. Weliswaar een afgeschaalde versie, maar nog steeds een omgeving met de nodige functies voor communicatie, tekstverwerking etc. Zoals aangegeven in mijn brief van oktober jl. blijven de applicaties binnen de primaire processen voor de belastingheffing, -inning en opsporing draaien in hun huidige omgeving in de datacenters van de Belastingdienst.

De US Cloud Act en recente politieke ontwikkelingen in de Verenigde Staten (VS) vergroten risico’s op data-toegang door Amerikaanse autoriteiten, ondanks het EU-US Data Privacy Framework.

23.

Hoe worden veranderende politieke mores en juridische wijzigingen in de VS, zoals aanpassingen aan de CLOUD Act of FISA, gemonitord? Hoe worden deze meegenomen in periodieke herbeoordelingen van de M365-overstap? Is er een toegewijde taakgroep of externe monitoring via bijvoorbeeld ENISA ingericht?

De Belastingdienst volgt het rijksbrede cloudbeleid en de kaders van BZK. Binnen de Belastingdienst wordt daarnaast gemonitord hoe de markt voor cloud en software zich ontwikkelt en of de oplossingen die in gebruik zijn, aan blijven sluiten bij de vraag vanuit de eigen IV-organisatie.

24.

In hoeverre is de monitoring gekoppeld aan triggers voor exit en welke scenario’s zijn gesimuleerd voor een plotselinge blokkade van diensten door Amerikaanse sancties?

Hiervoor verwijs ik u naar het antwoord op vraag 18 en 20. De Belastingdienst heeft een exitstrategie opgesteld, deze kan vertrouwelijk ter inzage worden aangeboden.

X Noot
1

De letters AR hebben alleen betrekking op 31 066.

X Noot
2

Samenstelling:

Baumgarten (JA21), Beukering (Fractie-Beukering), Fiers (GroenLinks-PvdA), Van Gasteren (BBB) (ondervoorzitter), Goossen (BBB), Hartog (Volt), Van Hattem (PVV), Janssen (SP), Kanis (D66), Lievense (BBB), Van der Linden (VVD), Van Meenen (D66), Musa (VVD), Nicolaï (PvdD), Van den Oetelaar (FVD), Prins (CDA), Ramsodit (GroenLinks-PvdA), Recourt (GroenLinks-PvdA), Van Rooijen (50PLUS), Roovers (GroenLinks-PvdA), Van de Sanden (Fractie-Van de Sanden), Talsma (ChristenUnie), Veldhoen (GroenLinks-PvdA) (voorzitter), Visseren-Hamakers (Fractie-Visseren-Hamakers), De Vries (SGP), Walenkamp (Fractie-Walenkamp)

X Noot
3

Kamerstukken I, 2025/26, 31 066/26 643, AO

X Noot
4

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 2.

X Noot
5

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 2.

X Noot
6

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 2.

X Noot
7

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 3.

X Noot
8

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 3.

X Noot
9

Rapport «Het Rijk in de cloud», Algemene Rekenkamer, 15 januari 2025 Het Rijk in de cloud | Algemene Rekenkamer

X Noot
10

Kamerstukken II, 2024/25, nr. 2592

X Noot
12

Kamerstukken II, 2025/26, 31 066, nr. 506

X Noot
1

De letters AR hebben alleen betrekking op 31 066.

X Noot
2

Samenstelling:

Baumgarten (JA21), Beukering (Fractie-Beukering), Fiers (GroenLinks-PvdA), Van Gasteren (BBB) (ondervoorzitter), Goossen (BBB), Hartog (Volt), Van Hattem (PVV), Janssen (SP), Kanis (D66), Lievense (BBB), Van der Linden (VVD), Van Meenen (D66), Musa (VVD), Nicolaï (PvdD), Van den Oetelaar (FVD), Prins (CDA), Ramsodit (GroenLinks-PvdA), Recourt (GroenLinks-PvdA), Van Rooijen (50PLUS), Roovers (GroenLinks-PvdA), Van de Sanden (Fractie-Van de Sanden), Talsma (ChristenUnie), Veldhoen (GroenLinks-PvdA) (voorzitter), Visseren-Hamakers (Fractie-Visseren-Hamakers), De Vries (SGP), Walenkamp (Fractie-Walenkamp)

X Noot
3

Kamerstukken I, 2025/26, 31 066/26 643, AO

X Noot
4

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 2.

X Noot
5

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 2.

X Noot
6

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 2.

X Noot
7

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 3.

X Noot
8

Kamerstukken I, 2025/26, 31 066/26 643, AO, p. 3.

X Noot
9

Rapport «Het Rijk in de cloud», Algemene Rekenkamer, 15 januari 2025 Het Rijk in de cloud | Algemene Rekenkamer

X Noot
10

Kamerstukken II, 2024/25, nr. 2592

X Noot
12

Kamerstukken II, 2025/26, 31 066, nr. 506

Naar boven