Logo
Data+

Trump heeft vrij spel over Nederlandse overheidsdata

Nederland leunt zwaar op Amerikaanse IT-dienstverleners zoals Microsoft, Google en Amazon voor de opslag en verwerking van overheidsdata.

Published on February 13, 2025

Microsoft
Mt

Door: Merien ten Houten

Merien richtte in 2015 samen met Bart E52 op en bedacht onze AI-tool Laio. Hij schrijft columns over waterstof, mobiliteit en het openbaar vervoer.

De Nederlandse overheid is voor haar digitale infrastructuur grotendeels afhankelijk van Amerikaanse techgiganten als Microsoft, Google en Amazon. Deze afhankelijkheid wordt een acuut veiligheidsrisico met Donald Trump aan de macht en Elon Musk aan zijn zijde. Waar de VS voorheen een betrouwbare bondgenoot was, zorgen groeiende handelsspanningen en verschillende standpunten over Oekraïne voor nieuwe risico's. De Amerikaanse overheid heeft eerder bewezen niet terug te deinzen voor het bespioneren van bondgenoten - zoals bleek uit het afluisteren van Angela Merkels telefoon. Nu cruciale Nederlandse overheidscommunicatie via systemen van Amerikaanse bedrijven loopt hebben we een accuut probleem.

Volledige afhankelijkheid van Amerikaanse techgiganten

De Nederlandse overheid leunt voor vrijwel al haar digitale dienstverlening op Amerikaanse technologiebedrijven. Alle Nederlandse gemeenten gebruiken Microsoft-producten zoals Office 365, Teams en Azure voor hun dagelijkse werkzaamheden. Deze afhankelijkheid is zo diep dat slechts 9% van de gemeenten een overstap naar andere leveranciers als haalbaar beschouwt, schrijft Binnenlands Bestuur. Vooral het gebruik van Microsoft clouddiensten is wijdverbreid - van email tot opslag van gevoelige documenten. De recente hack bij de politie, mogelijk gemaakt door een zwakke beveiliging in Microsoft Outlook, toont aan hoe kwetsbaar deze afhankelijkheid ons maakt. Bij deze hack werden de gegevens van 65.000 politiemedewerkers buitgemaakt. Het gebrek aan eigen IT-expertise binnen de overheid maakt het moeilijk om alternatieven te ontwikkelen. Bovendien zijn er weinig SaaS-oplossingen die 'bring your own cloud' ondersteunen, wat de adoptie bij (semi)overheden beperkt. Deze situatie is niet ontstaan door een bewuste keuze, maar door jarenlang gebrek aan investeringen in digitale infrastructuur, zo schrijft Tweakers.

data-1590455_1280.jpg

Wachtwoorden toen, nu en in de toekomst: ‘Admin123 kan echt niet meer’

In de serie Cracked by Jordens kijken we naar de cyberveiligheid van consumenten en bedrijven in Nederland. Vandaag behandelen we de evolutie van wachtwoorden.

Geen controle over eigen data

De afhankelijkheid van Amerikaanse cloudtechnologie betekent dat veel cruciale overheidsdata buiten Nederlandse controle valt. Microsoft kan weliswaar claimen dat data binnen de EU blijft, maar dat biedt geen enkele garantie tegen toegang door Amerikaanse autoriteiten. De situatie is ontstaan door een gebrek aan lokale kennis en middelen om een eigen infrastructuur op te zetten. Het probleem wordt verergerd doordat er geen volwaardig Europees alternatief bestaat voor de Amerikaanse cloudgiganten. De gemeente Delft noemt een volwassen Europees alternatief zelfs “een utopie”. Deze situatie maakt Nederland kwetsbaar voor zowel legale als illegale toegang tot gevoelige overheidsdata.

Wettige toegang via CLOUD Act

De CLOUD Act, ingevoerd in 2018, geeft Amerikaanse autoriteiten verregaande bevoegdheden om data op te eisen bij Amerikaanse bedrijven, ongeacht waar deze is opgeslagen. Dit betekent dat zelfs data die fysiek in Nederlandse datacenters staat, opgevraagd kan worden door Amerikaanse autoriteiten. De wet werd specifiek ontworpen om juridische obstakels te omzeilen die voortkwamen uit de verouderde Stored Communications Act van 1986. Voor de Nederlandse overheid betekent dit dat gevoelige beleidsdocumenten, bijvoorbeeld over handelstarieven of strategische positie tegenover de VS, toegankelijk kunnen zijn voor Amerikaanse autoriteiten. Het NCSC waarschuwt dat ook Europese bedrijven met dataverwerkingen in Europa onder de CLOUD Act kunnen vallen. Deze extraterritoriale werking van Amerikaanse wetgeving maakt het steeds moeilijker om te voldoen aan Europese wet- en regelgeving op het gebied van informatiebeveiliging. De wet heeft steun gekregen van grote technologiebedrijven zoals Microsoft, AWS, Apple en Google.

Nieuwe dreiging onder Trump en Musk

Met Donald Trump opnieuw aan de macht en Elon Musk als hoofd van het nieuwe Department of Government Efficiency (DOGE) is er een acute dreiging ontstaan. DOGE heeft vergaande toegang gekregen tot federale datasystemen en werkt met jonge, onervaren medewerkers die zich niet gebonden achten aan normale overheidsprotocollen. Musk's teams hebben toegang gevraagd tot gevoelige overheidsdatabases en betalingssystemen. Er is grote bezorgdheid onder politici over de geheimhouding en mogelijke onwettigheid van deze acties. De VS heeft in het verleden al bewezen niet terug te deinzen voor het bespioneren van bondgenoten. Zo zou het onder andere Angela Merkels telefoon hebben afgeluisterd in 2021. Die hack werd nooit officieel bewezen, maar leidde wel tot een diplomatieke crisis. Met DOGE's ongecontroleerde toegang tot overheidssystemen is het risico op misbruik van Nederlandse data nu groter dan ooit.

Korte termijn oplossingen

Voor de meest gevoelige overheidsinformatie moeten per direct alternatieve oplossingen worden gezocht. Dit kan betekenen dat sommige systemen tijdelijk minder gebruiksvriendelijk worden, maar veiligheid moet voorop staan. Open source alternatieven zoals OpenStack en Proxmox zijn beschikbaar, maar vereisen wel technische kennis die vaak onvoldoende aanwezig is. De VNG pleit voor een landelijke onderzoeksagenda rond digitale afhankelijkheid en steunt het zoeken naar alternatieven. Frameworkafspraken met meerdere cloudleveranciers kunnen de afhankelijkheid van Microsoft verminderen. Het is cruciaal dat we onze soevereiniteit behouden als het gaat om gegevens die we beheren. Voor zeer gevoelige data moet overwogen worden deze offline op te slaan of alleen op servers onder directe Nederlandse controle. Dit vergt extra inspanning maar is noodzakelijk voor de nationale veiligheid.

Autoscriber-management-team-Jacco-Schutte-CCO-Jacqueline-Kazmaier-Cofounder-CEO-Danny-van-Rijn-COO-Koen-Bonenkamp-Cofounder-CTO.png

Autoscriber krijgt steun van Microsoft voor zijn clinical intelligence platform

Met de ondersteuning van Autoscriber wil Microsoft zijn klanten in de zorg ondersteunen. “De administratieve last van gezondheidswerkers is een groot bekende probleem.”

Europese samenwerking essentieel

Op lange termijn is een gezamenlijke Europese aanpak noodzakelijk om de afhankelijkheid van Amerikaanse technologie te verminderen. Ongeveer 37% van de Nederlandse gemeenten zou de voorkeur geven aan een Europees alternatief voor Microsoft. De Europese Toezichthouder voor Gegevensbescherming ziet de CLOUD Act als strijdig met de AVG. Er lopen al verschillende projecten om een gefedereerde Europese cloud op te zetten, zoals ECOFED. Zonder serieuze investeringen in Europese alternatieven zullen deze er volgens experts simpelweg niet komen. De keuzes die nu gemaakt worden bepalen onze digitale autonomie voor de komende decennia. De EU moet als mega-economie haar achterstand op het gebied van tech inlopen. Europese samenwerking is essentieel om schaalgrootte te bereiken die kan concurreren met Amerikaanse techgiganten.

Fundamentele heroriëntatie

Nederland moet zich fundamenteel heroriënteren op zijn digitale infrastructuur. De huidige situatie, waarin overheidsorganisaties volledig afhankelijk zijn van Microsoft, is onhoudbaar. Er moet geïnvesteerd worden in het opleiden van IT-personeel en het opbouwen van eigen expertise. De overheid moet durven kiezen voor minder gebruiksvriendelijke maar veiligere systemen waar nodig. Samenwerking met lokale aanbieders moet worden onderzocht, ook al zijn de kosten mogelijk hoger. De digitale soevereiniteit van Nederland mag niet afhankelijk zijn van de grillen van buitenlandse mogendheden. Dit vergt politieke moed en significante investeringen. Maar de kosten van niets doen zijn op termijn veel hoger.