NLdigital bij rondetafelgesprek over digitale autonomie: risicoanalyse moet centraal staan

Op 27 januari 2026 nam Jelmer Schreuder namens NLdigital deel aan een rondetafelgesprek in de Tweede Kamer over digitale autonomie en cloudgebruik door de overheid. Onze boodschap: de zorgen over controle zijn terecht, maar het antwoord ligt in gedegen risicoanalyse – niet in het bij voorbaat uitsluiten van leveranciers op basis van herkomst. Bovendien pleitten we voor meer investeringen in eigen Nederlandse capaciteiten, en waarschuwden we dat onbesuisd ingrijpen ons investeringsklimaat schaadt waardoor Nederlandse partijen minder toegang tot kapitaal zullen krijgen om te kunnen groeien.

De rondetafel vond plaats naar aanleiding van de voorgenomen overname van een Nederlandse clouddienstverlener door een Amerikaans bedrijf. In de weken voorafgaand aan het gesprek was de toon in media en politiek al gezet: zijn Nederlandse overheidsdata wel veilig als er een Amerikaanse partij in de keten zit?

Diverse sector, genuanceerde positie

NLdigital vertegenwoordigt ruim 600 bedrijven in de digitale sector: van startups tot multinationals, van lokale IT-dienstverleners tot internationale cloudaanbieders. De achterban van NLdigital is in meerderheid Nederlands en Europees, maar ook bedrijven uit andere regio’s zijn lid. Die diversiteit maakt dat onze leden zeer uiteenlopend in dit vraagstuk staan; we hebben leden die pleiten voor meer Europese alternatieven én leden met mondiale ketens. Juist daarom kunnen wij een genuanceerde positie innemen in een debat dat dreigde te verzanden in zwart-witdenken.

Zorgen over controle zijn terecht

Laat helder zijn: de vraag of Nederland voldoende grip houdt op kritieke digitale voorzieningen verdient serieuze aandacht en waar nodig maatregelen. Geopolitieke spanningen nemen snel toe, en de afhankelijkheid van digitale infrastructuur groeit. Dat Kamerleden hier kritische vragen over stellen, is precies hun taak.

Tegelijk is het van belang dat antwoorden op die vragen gebaseerd zijn op een realistische inschatting van de daadwerkelijke risico’s, niet op puur theoretische.

Juridisch risico is niet gelijk aan praktisch risico

Tijdens de rondetafel benadrukten wij het cruciale onderscheid tussen juridisch risico en praktisch risico. Wetgeving zoals de Amerikaanse CLOUD-Act maakt het juridisch mogelijk dat autoriteiten data opvragen bij bedrijven onder Amerikaanse jurisdictie. Waarbij ook benoemd moet dat Europese partijen die in de VS actief zijn ook het risico lopen op sancties en dataverzoeken, zoals het Department of Justice stelt over de CLOUD-Act: “the more a company has purposefully availed itself of the privilege of conducting activities in the United States or purposefully directed its conduct into the U.S., the more likely a U.S. court is to find that the company is subject to U.S. jurisdiction”.

Dat betekent effectief dat het risico op dataverzoeken of sancties van de VS ook voor Nederlandse en Europese partijen in de Amerikaanse markt geldt. Zowel voor hen als voor Amerikaanse leveranciers betekent dit dat waarborgen en maatregelen noodzakelijk zijn om die in te perken.

Daarom zou de vraag moeten zijn: wat is er in de praktijk voor nodig om die data ook daadwerkelijk te verkrijgen? In het geval van DigiD, het onderwerp dat de rondetafel domineerde, bleek uit de technische briefing dat:

• het systeem draait in een Nederlands overheidsdatacentrum
• het platform eigendom is van de Nederlandse overheid
• de applicatie los wordt ontwikkeld en eveneens overheidseigendom is
• alle beheeractiviteiten worden gemonitord door de overheid zelf

De dienstverlener voert technisch beheer uit, maar is geen eigenaar van systemen of data. De praktische mogelijkheden om onder die omstandigheden heimelijk data te onttrekken, zijn van een fundamenteel andere orde dan het theoretische juridische risico. Het zou bovendien niet uit moeten maken of deze handeling wordt uitgevoerd in opdracht van een ander land of van criminelen: in beide gevallen moeten de systemen zo ingericht zijn dat dit praktisch onuitvoerbaar is.

Rechtszekerheid als fundament van het vestigingsklimaat

Nederland heeft bewust toetsingskaders ingericht, zoals de BTI-toets voor buitenlandse investeringen in vitale sectoren. Die kaders bestaan niet voor niets: ze bieden zowel bescherming als voorspelbaarheid. Investeerders weten daardoor waar ze aan toe zijn, en de overheid houdt grip op wat er in vitale sectoren gebeurt.

Wanneer de politiek lopende de wedstrijd de regels verandert of bestaande toetsen bij voorbaat wantrouwt, ondermijnt dat precies die voorspelbaarheid. En dat heeft consequenties die verder reiken dan één overname.

Nederlandse tech-ondernemers die willen doorgroeien naar Europese of mondiale schaal, hebben toegang tot kapitaal nodig. Dat kapitaal komt nu vaak van buiten Nederland. Niet omdat Nederlandse investeerders niet willen, maar omdat de bedragen die nodig zijn voor snelle groei hier nog onvoldoende beschikbaar zijn. Als het signaal naar buiten is dat investeringen in Nederlandse bedrijven kunnen leiden tot uitsluiting van overheidsopdrachten, dan droogt die kapitaalstroom op.

Wie meer Europese autonomie wil, moet ook willen dat Europese bedrijven kunnen groeien. En groei vergt investeringen. Onze oproep aan de Kamer: laat de ingerichte processen hun werk doen. Beoordeel de uitkomsten en neem niet vooraf aan dat het niet klopt.

Geen simpele antwoorden

De weerbaarheid van Nederland wordt niet groter door oversimplificatie. “Amerikaanse link = onveilig” is geen houdbaar uitgangspunt voor een sector waarin geen enkele leverancier kan bouwen zonder internationale componenten. Dat geldt voor onze Nederlandse leden, net zo goed als voor onze internationale leden.

Wat wél werkt: een methodische benadering waarin je per situatie beoordeelt welke risico’s bestaan, hoe waarschijnlijk ze zijn, en welke maatregelen ze mitigeren. Dat vergt meer werk dan een simpele herkomsttoets, maar het leidt tot betere uitkomsten.

Meer weten over cloudgebruik en autonomie?

Lees onze uitgebreide explainer over hoe je als organisatie risico’s rond cloudgebruik kunt begrijpen, beoordelen en beheersen:

Explainer 4 – Cloudgebruik en autonomie: risico’s begrijpen, beoordelen en beheersen

Digitale autonomie staat hoog op de politieke agenda. De vraag hoe we controle houden over onze digitale infrastructuur staat steeds vaker centraal. Niet alleen in de politiek, maar ook in gesprekken met leden, IT-leveranciers en hun klanten. NLdigital helpt je graag navigeren door deze vraagstukken, begrippen en politieke ontwikkelingen, zodat jij als organisatie strategische keuzes kunt maken met vertrouwen. Er zijn nieuwe beleidskaders, moties en initiatieven zoals GAIA-X en Mijn Bureau. IT-leveranciers moeten voorbereid zijn op strengere eisen. NLdigital pleit in dit artikel voor een pragmatische en haalbare aanpak.

Politiek & wetgeving

Jelmer Schreuder

Public policy manager

Neem contact op met
Jelmer Schreuder

Het laatste nieuws

Rapport Wennink: digitale sector ziet weer hoop voor Nederlandse innovatie 

16 december 2025

Het kabinet-Schoof vroeg Peter Wennink om een onafhankelijk advies uit te brengen over het toekomstige verdienvermogen van Nederland. Dit leidde afgelopen week...

Politiek & wetgeving

Beveiliging, hacks en verzekeringen: lessen uit de praktijk

18 november 2025

In een recent gepubliceerde uitspraak oordeelt de rechtbank dat een IT-leverancier zelf opdraait voor schade door een hack. Ook de...

Cybersecurity

NLdigital stuurt inbreng digitale sector aan informateurs

13 november 2025

De kabinetsformatie is een nieuwe fase ingegaan, waarbij Hans Wijers (D66) en Sybrand Buma (CDA) zijn benoemd als informateurs. Ze...

Politiek & wetgeving

NLdigital en overheid starten dialoog over soevereine cloud voor Nederland

7 november 2025

Ontdek hoe de Nederlandse Digitaliseringsstrategie (NDS) samen met NLdigital en cloudleveranciers werkt aan een soevereine overheidscloud. Lees meer over de open dialoogsessies, samenwerking en Europese kaders.

Politiek & wetgeving

ABRO: Nieuwe beveiligingseisen voor leveranciers aan Rijksoverheid en Politie

5 november 2025

Vanaf 2026 geldt met ABRO één uniform stelsel van beveiligingseisen voor leveranciers aan de Rijksoverheid en Politie, gericht op het beschermen van de nationale veiligheid tegen onder andere spionage en sabotage. Leveranciers moeten rekening houden met strengere, proportioneel toegepaste eisen op gebieden als cyber, cloud en ketenbeveiliging, waarbij het Nationaal Bureau Industrieveiligheid toeziet op de naleving.

Politiek & wetgeving