De overstap van de Belastingdienst naar Microsoft

Schriftelijke vragen

Nummer: 2025D51127, datum: 2025-12-10, bijgewerkt: 2025-12-10 13:08, versie: 1

Directe link naar document (.docx), link naar pagina op de Tweede Kamer site.

Gerelateerde personen:

Eerste ondertekenaar: B.C. Kathmann, Tweede Kamerlid (GroenLinks-PvdA)
Mede ondertekenaar: L.A.J.M. Dassen, Tweede Kamerlid (Volt)
Mede ondertekenaar: S. El Boujdaini, Tweede Kamerlid

Onderdeel van zaak 2025Z21613:

Gericht aan: E. van Marum, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties
Gericht aan: E.H.J. Heijnen, staatssecretaris van Financiën
Indiener: B.C. Kathmann, Tweede Kamerlid
Medeindiener: L.A.J.M. Dassen, Tweede Kamerlid
Medeindiener: S. El Boujdaini, Tweede Kamerlid
Voortouwcommissie: TK

Preview document (🔗 origineel)

2025Z21613

(ingezonden 10 december 2025)

Vragen van de leden Kathmann (GroenLinks-PvdA), El Boujdaini (D66) en Dassen (Volt) aan de staatssecretarissen van Binnenlandse Zaken en Koninkrijksrelaties en van Financiën over de overstap van de Belastingdienst naar Microsoft

Vraag 1Bent u nog steeds van mening dat de overstap van de Belastingdienst naar Microsoft[1] slechts is voorzien van “een zeer magere onderbouwing”?[2]

Vraag 2Staat u nog steeds achter uw stelling dat de Belastingdienst niet heeft onderbouwd dat er geen Europese alternatieven voor Microsoft zouden zijn?

Vraag 3Voldoet de onderbouwing voor de overstap van de Belastingdienst aan het geldende cloudbeleid?[3] Kunt u hard maken dat tijdig aan alle eisen is voldaan?

Vraag 4Heeft de Belastingdienst, door zich in 2021 te committeren aan de overstap naar Microsoft, het onmogelijk gemaakt om alsnog af te wijken van dit besluit en tijdig een Europees alternatief te implementeren?

Vraag 5Deelt u de mening dat, gezien (geo)politieke ontwikkelingen en de duidelijke wens van de Kamer om de digitale autonomie van Nederland te bevorderen, de overstap van de Belastingdienst naar Microsoft alsnog heroverwogen dient te worden?

Vraag 6Bent u op de hoogte van het rapport van de Cyber Safety Review Board uit 2024 over de beveiliging van Microsoft, waaruit blijkt dat het bedrijf de cyberveiligheid structureel niet op orde heeft?[4][5] Hoe beoordeelt u het argument dat Microsoft de beste beveiliging biedt in het licht van de conclusies uit dit rapport?

Vraag 7Bent u bereid om, in samenwerking met de Belastingdienst, duidelijk te maken welke aanvullende middelen, expertise of capaciteit nodig zijn om alsnog af te zien van de overstap naar Microsoft en zo snel mogelijk een Europees alternatief te realiseren?

Vraag 8Welke ‘workarounds’ worden nu gebruikt door ambtenaren in hun digitale werkomgeving? Bent u bereid om te onderzoeken of deze belemmeringen weg te nemen zijn zonder de overstap naar Microsoft te maken?

Vraag 9Waarom zijn de CIO Rijk en de overige IT-dienstverleners van het Rijk “pas in een zeer laat stadium” betrokken in het proces van de Belastingdienst? Wanneer is dit gebeurd, en waarom pas op dat zeer late moment?[6]

Vraag 10Deelt u de mening dat de Belastingdienst in 2021, door uit te gaan van Microsoft 365 en Windows 11 als “gouden standaard,” geen gedegen verkenning heeft gedaan van Europese alternatieven?

Vraag 11Deelt u de mening dat de scenario’s van de Belastingdienst, zoals die in de (beslis)nota van 28 juni 2025 zijn beschreven,[7] onvolledig zijn omdat ze in de basis uitgaan van een werkomgeving die is ingericht voor Microsoft?

Vraag 12Wanneer heeft de Belastingdienst precies besloten om deze scenario’s uit te werken? Welke specifieke “(geo)politieke en maatschappelijke ontwikkelingen” gaven hier aanleiding toe?[8]

Vraag 13Acht u de keuze van de Belastingdienst om voor de werkomgeving over te stappen naar Microsoft inmiddels onafhankelijk en voldoende onderbouwd?

Vraag 14In het geval u de mening deelt van de indieners dat er geen degelijke onafhankelijke verkenning is uitgevoerd naar Europese alternatieven, kunt u er op toezien dat deze alsnog op korte termijn wordt uitgevoerd met als doel om een alternatieve Europese route voor de cloudmigratie van de Belastingdienst te schetsen?

Vraag 15Waarop baseert de Belastingdienst de aanname dat de onderzochte scenario’s “naar verwachting binnen het aangepaste cloudbeleid passen dat momenteel door BZK wordt herzien”?[9] Kunt u duidelijk uitleggen waar dit uit blijkt, aangezien dit beleid nog niet is vastgesteld en er sindsdien ook Kamermoties[10] zijn aangenomen om de eisen voor soevereiniteit verder aan te scherpen?

Vraag 16Kunt u per scenario, uitgewerkt door de Belastingdienst, een realistische schatting maken van de aanvullende kosten die hier bij gemoeid zouden zijn? Welk scenario acht u vanuit het soevereiniteitsbelang het meest geschikt?

Vraag 17Wat bedoelt u met uw antwoord dat “de Belastingdienst de ontwikkelingen van Europese en soevereine alternatieven [volgt]” en “[actief] kijkt naar de mogelijkheden van soevereine en of Europese cloudoplossingen”? Zijn er afspraken gemaakt over wat dit concreet betekent en welke verwachtingen heeft u precies van de Belastingdienst?[11][12]

Vraag 18Waarom “volgt” de Belastingdienst enkel de ontwikkeling van een soeverein alternatief als MijnBureau, in plaats van dat zij dit met overtuiging afneemt? Ziet u mogelijkheden voor een schaalbare pilot binnen de Belastingdienst om een soeverein alternatief voor Microsoft op de werkvloer uit te proberen?

Vraag 19Deelt u de mening dat meer departementen en uitvoerders MijnBureau moeten afnemen om het project levensvatbaar te maken en waardevolle inzichten op te doen voor soevereine werkplekken?

Vraag 20Welke aanvullende afspraken zijn met Microsoft gemaakt om de risico’s in het voorkeursscenario van de Belastingdienst “zo beheersbaar mogelijk” te maken?[13] Beaamt de CIO Rijk dat de risico’s zo veel als mogelijk zijn beheerst?

Vraag 21Acht u het acceptabel dat het mailverkeer van de Belastingdienst, waarin fiscale informatie en informatie over ‘rulings’ wordt gecommuniceerd, straks afhankelijk wordt van Microsoft?[14]

Vraag 22Acht u het acceptabel dat het mailverkeer van de Belastingdienst onder Amerikaanse surveillancewetgeving zoals de CLOUD Act, sectie 702 van de Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333 komt te vallen? Hoe verhoudt dit zich tot de fiscale geheimhoudingsplicht?[15]

Vraag 23Deelt u de mening dat het rapport uit 2022 van GreenbergTraurig, waarin wordt gesteld dat het risico dat de VS gebruik maakt van de CLOUD Act klein is, achterhaald is door de geopolitieke ontwikkelingen nu ook de AIVD en de MIVD minder informatie met de Amerikanen delen?[16]

Vraag 24Beschikt Microsoft in het geval er ‘double key encryption’ wordt toegepast over een sleutel naar deze data? Zo ja, hoe is het versleutelen van data dan een geschikte mitigerende maatregel?

Vraag 25Klopt het dat de exitstrategie, waarin binnen negen maanden data uit de Microsoft-cloudomgeving wordt gehaald, “met hulp van Microsoft” wordt uitgevoerd?[17] Is de exitstrategie om wég te komen van Microsoft daardoor niet ook afhankelijk geworden van Microsoft?

Vraag 26Kunt u de garantie van Microsoft, dat zij zich tegen alle vormen van politieke druk vanuit de VS zullen verzetten, hard maken? Welke concrete afspraken zijn hierover gemaakt? Kunt u bijpassende documentatie met de Kamer delen?

Vraag 27Zijn er nog meer nota’s of notities met betrekking tot de overstap naar Microsoft die gebruikt zijn om de afweging te maken, maar nog niet gedeeld zijn met de Kamer? Kunt u deze alsnog openbaar maken?

Vraag 28Kunt u deze vragen afzonderlijk van elkaar beantwoorden en toezeggen dat u, tot deze beantwoord zijn, zich ten volste in zal spannen om een Europees alternatief voor de kantoorautomatisering van de Belastingdienst alsnog mogelijk te maken?

[1] Hiermee verwijzen de indieners naar de overstap van de Belastingdienst naar Microsoft voor de kantoorautomatisering van 40.000 werkplekken.

[2] Bijlage bij Aanhangsel Handelingen, vergaderjaar 2025-2026, nr. 506 (beslisnota van 3 november 2025): “Ondanks dat het traject rondom de migratie in 2021 gestart is, is er weinig documentatie voor onderbouwing van de afweging om over te stappen op MS365 beschikbaar. Ook is er, zoals aangegeven in de beantwoording van de Kamervragen, in 2021 geen (onafhankelijk) onderzoek gedaan naar mogelijke Europese alternatieven. Dit is niet in lijn met hetgeen de BD eerder, gedurende het traject rondom de Kamerbrief d.d. 2 oktober 2025, heeft aangegeven bij CIO Rijk. Ondanks de zeer magere onderbouwing is de BD al in een dusdanig ver stadium dat er volgens de BD geen alternatief meer mogelijk is.”

[3] Aanhangsel Handelingen, vergaderjaar 2025-2026, nr. 506, antwoord op vraag 14: “De Belastingdienst […] baseert zijn keuzes op zorgvuldige afwegingen en de kaders en richtlijnen die door BZK worden gesteld.”

[4] Cyber Safety Board, 20 mei 2024, geraadpleegd via www.cisa.gov/sites/default/files/2025-03/CSRBReviewOfTheSummer2023MEOIntrusion508.pdf.

[5] The Washington Post, 2 april 2024, Microsoft faulted for ‘cascade’ of failures in Chinese hack, geraadpleegd via www.washingtonpost.com/national-security/2024/04/02/microsoft-cyber-china-hack-report.

[6] Aanhangsel Handelingen, vergaderjaar 2025-2026, nr. 506 (beslisnota van 3 november 2025): “CIO Rijk is deze zomer betrokken geraakt bij de migratie van de BD, waarbij dit de facto als een voldongen feit is neergezet. Het is hierbij aannemelijk gemaakt dat de BD geen andere keuze meer had […] Ook zijn de overige ICT-dienstverleners pas in een zeer laat stadium door de BD om advies gevraagd inzake de migratie van de BD of het bieden van een alternatief voor deze migratie.”

[7] Bijlage bij Kamerstuk 31066, nr. 1520 (beslisnota van 18 juni 2025).

[8] Bijlage bij Kamerstuk 31066, nr. 1520 (beslisnota van 18 juni 2025).

[9] Bijlage bij Kamerstuk 31066, nr. 1520 (beslisnota van 18 juni 2025).

[10] O.a. de motie-Bruyning en Thijssen (Kamerstuk 36 574, nr. 13) en de motie-Kathmann en Six Dijkstra (Kamerstuk 36 740 VII, nr. 20].

[11] Aanhangsel Handelingen, vergaderjaar 2025-2026, nr. 506, antwoord op vragen 4 en 7.

[12] Bijlage bij Aanhangsel Handelingen, notavergaderjaar 2025-2026, nr. 506 (beslisnota van 26 november 2025): “Met het oog op het versterken van de digitale autonomie verwacht BZK van de Belastingdienst dat de organisatie een constructieve houding inneemt richting de toekomst.”

[13] Bijlage bij Kamerstuk 31066, nr. 1520 (beslisnota van 18 juni 2025), “Noodzakelijk bij dit scenario is wel dat er vertrouwen moet zijn in de leverancier. Er vinden momenteel gesprekken plaats tussen Microsoft en de Belastingdienst over hoe scenario kan worden vormgegeven en hoe de risico’s zo beheersbaar mogelijk zijn.”

[14] Aanhangsel Handelingen, vergaderjaar 2025-2026, nr. 506, antwoord op vraag 17: “Communicatie over casuïstiek tussen de Belastingdienst en ondernemingen en/of hun gemachtigden en tussen medewerkers onderling met betrekking tot ruling verzoeken vindt via diverse wijzen plaats waaronder e-mail. Dit is ook het geval bij rulings.”

[15] Kamerbrief 31066, nr. 1510.

[16] NOS, 18 oktober 2025, AIVD en MIVD delen minder info met VS en meer met Europa, zeggen directeuren, geraadpleegd via nos.nl/artikel/2586859-aivd-en-mivd-delen-minder-info-met-vs-en-meer-met-europa-zeggen-directeuren.

[17] Bijlage bij Kamerstuk 31066, nr. 1510, (beslisnota van 18 juni 2025): “Er is een exit strategie waarmee de Belastingdienst als dat gewenst of noodzakelijk is de cloud-omgeving weer kan verlaten. Er zijn contractuele afspraken met Microsoft dat de Belastingdienst maanden de tijd heeft om de gegevens met de hulp van Microsoft uit de cloud omgeving te kunnen halen.”