NLdigital bij rondetafelgesprek over digitale autonomie: risicoanalyse moet centraal staan

Op 27 januari 2026 nam Jelmer Schreuder namens NLdigital deel aan een rondetafelgesprek in de Tweede Kamer over digitale autonomie en cloudgebruik door de overheid. Onze boodschap: de zorgen over controle zijn terecht, maar het antwoord ligt in gedegen risicoanalyse – niet in het bij voorbaat uitsluiten van leveranciers op basis van herkomst. Bovendien pleitten we voor meer investeringen in eigen Nederlandse capaciteiten, en waarschuwden we dat onbesuisd ingrijpen ons investeringsklimaat schaadt waardoor Nederlandse partijen minder toegang tot kapitaal zullen krijgen om te kunnen groeien.

De rondetafel vond plaats naar aanleiding van de voorgenomen overname van een Nederlandse clouddienstverlener door een Amerikaans bedrijf. In de weken voorafgaand aan het gesprek was de toon in media en politiek al gezet: zijn Nederlandse overheidsdata wel veilig als er een Amerikaanse partij in de keten zit?

Diverse sector, genuanceerde positie

NLdigital vertegenwoordigt ruim 600 bedrijven in de digitale sector: van startups tot multinationals, van lokale IT-dienstverleners tot internationale cloudaanbieders. De achterban van NLdigital is in meerderheid Nederlands en Europees, maar ook bedrijven uit andere regio’s zijn lid. Die diversiteit maakt dat onze leden zeer uiteenlopend in dit vraagstuk staan; we hebben leden die pleiten voor meer Europese alternatieven én leden met mondiale ketens. Juist daarom kunnen wij een genuanceerde positie innemen in een debat dat dreigde te verzanden in zwart-witdenken.

Zorgen over controle zijn terecht

Laat helder zijn: de vraag of Nederland voldoende grip houdt op kritieke digitale voorzieningen verdient serieuze aandacht en waar nodig maatregelen. Geopolitieke spanningen nemen snel toe, en de afhankelijkheid van digitale infrastructuur groeit. Dat Kamerleden hier kritische vragen over stellen, is precies hun taak.

Tegelijk is het van belang dat antwoorden op die vragen gebaseerd zijn op een realistische inschatting van de daadwerkelijke risico’s, niet op puur theoretische.

Juridisch risico is niet gelijk aan praktisch risico

Tijdens de rondetafel benadrukten wij het cruciale onderscheid tussen juridisch risico en praktisch risico. Wetgeving zoals de Amerikaanse CLOUD-Act maakt het juridisch mogelijk dat autoriteiten data opvragen bij bedrijven onder Amerikaanse jurisdictie. Waarbij ook benoemd moet dat Europese partijen die in de VS actief zijn ook het risico lopen op sancties en dataverzoeken, zoals het Department of Justice stelt over de CLOUD-Act: “the more a company has purposefully availed itself of the privilege of conducting activities in the United States or purposefully directed its conduct into the U.S., the more likely a U.S. court is to find that the company is subject to U.S. jurisdiction”.

Dat betekent effectief dat het risico op dataverzoeken of sancties van de VS ook voor Nederlandse en Europese partijen in de Amerikaanse markt geldt. Zowel voor hen als voor Amerikaanse leveranciers betekent dit dat waarborgen en maatregelen noodzakelijk zijn om die in te perken.

Daarom zou de vraag moeten zijn: wat is er in de praktijk voor nodig om die data ook daadwerkelijk te verkrijgen? In het geval van DigiD, het onderwerp dat de rondetafel domineerde, bleek uit de technische briefing dat:

De dienstverlener voert technisch beheer uit, maar is geen eigenaar van systemen of data. De praktische mogelijkheden om onder die omstandigheden heimelijk data te onttrekken, zijn van een fundamenteel andere orde dan het theoretische juridische risico. Het zou bovendien niet uit moeten maken of deze handeling wordt uitgevoerd in opdracht van een ander land of van criminelen: in beide gevallen moeten de systemen zo ingericht zijn dat dit praktisch onuitvoerbaar is.

Rechtszekerheid als fundament van het vestigingsklimaat

Nederland heeft bewust toetsingskaders ingericht, zoals de BTI-toets voor buitenlandse investeringen in vitale sectoren. Die kaders bestaan niet voor niets: ze bieden zowel bescherming als voorspelbaarheid. Investeerders weten daardoor waar ze aan toe zijn, en de overheid houdt grip op wat er in vitale sectoren gebeurt.

Wanneer de politiek lopende de wedstrijd de regels verandert of bestaande toetsen bij voorbaat wantrouwt, ondermijnt dat precies die voorspelbaarheid. En dat heeft consequenties die verder reiken dan één overname.

Nederlandse tech-ondernemers die willen doorgroeien naar Europese of mondiale schaal, hebben toegang tot kapitaal nodig. Dat kapitaal komt nu vaak van buiten Nederland. Niet omdat Nederlandse investeerders niet willen, maar omdat de bedragen die nodig zijn voor snelle groei hier nog onvoldoende beschikbaar zijn. Als het signaal naar buiten is dat investeringen in Nederlandse bedrijven kunnen leiden tot uitsluiting van overheidsopdrachten, dan droogt die kapitaalstroom op.

Wie meer Europese autonomie wil, moet ook willen dat Europese bedrijven kunnen groeien. En groei vergt investeringen. Onze oproep aan de Kamer: laat de ingerichte processen hun werk doen. Beoordeel de uitkomsten en neem niet vooraf aan dat het niet klopt.

Geen simpele antwoorden

De weerbaarheid van Nederland wordt niet groter door oversimplificatie. “Amerikaanse link = onveilig” is geen houdbaar uitgangspunt voor een sector waarin geen enkele leverancier kan bouwen zonder internationale componenten. Dat geldt voor onze Nederlandse leden, net zo goed als voor onze internationale leden.

Wat wél werkt: een methodische benadering waarin je per situatie beoordeelt welke risico’s bestaan, hoe waarschijnlijk ze zijn, en welke maatregelen ze mitigeren. Dat vergt meer werk dan een simpele herkomsttoets, maar het leidt tot betere uitkomsten.

Meer weten over cloudgebruik en autonomie?

Lees onze uitgebreide explainer over hoe je als organisatie risico’s rond cloudgebruik kunt begrijpen, beoordelen en beheersen:

Explainer 4 – Cloudgebruik en autonomie: risico’s begrijpen, beoordelen en beheersen

Digitale autonomie staat hoog op de politieke agenda. De vraag hoe we controle houden over onze digitale infrastructuur staat steeds vaker centraal. Niet alleen in de politiek, maar ook in gesprekken met leden, IT-leveranciers en hun klanten. NLdigital helpt je graag navigeren door deze vraagstukken, begrippen en politieke ontwikkelingen, zodat jij als organisatie strategische keuzes kunt maken met vertrouwen. Er zijn nieuwe beleidskaders, moties en initiatieven zoals GAIA-X en Mijn Bureau. IT-leveranciers moeten voorbereid zijn op strengere eisen. NLdigital pleit in dit artikel voor een pragmatische en haalbare aanpak.
Politiek & wetgeving

Deel via:

Jelmer Schreuder

Public policy manager
Neem contact op met
Jelmer Schreuder

Het laatste nieuws

Europa: geen kopieertaks op Spotify-downloads  

Nederland opnieuw teruggefloten door Hof van Justitie  Het Europese Hof van Justitie oordeelde vandaag dat er geen thuiskopieheffing verschuldigd is voor...
Politiek & wetgeving

Tweede Kamer neemt Cyberbeveiligingswet aan met belangrijke verbeteringen 

De Tweede Kamer heeft op woensdag 15 april de Cyberbeveiligingswet (Cbw) aangenomen. De wet raakt 8.000 tot 10.000 organisaties in...
Cybersecurity

CRA-meldplicht: wat moet je weten vóór 11 september 2026?

De Cyber Resilience Act (CRA) treedt pas volledig in werking op 11 december 2027, maar één onderdeel gaat al eerder gelden: de meldplicht voor actief geëxploite
Cybersecurity

Nieuw whitepaper om Cybersecurity in de bestuurderskamer te krijgen

Hoe krijg je als cyber-verantwoordelijke cybersecurity op de agenda bij het bestuur? NLdigital en CCRC publiceren vandaag het whitepaper: Cybersecurity naar de bestuurderskamer, de…
Cybersecurity

Kamer komt met verbeteringen voor Cyberbeveiligingswet, stemmingen komende 2 weken 

Op 23 maart debatteerde de Tweede Kamer over de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke). Vanuit NLdigital...
Cybersecurity