Er is een tegenstelling zichtbaar in het overheidsoptreden rond digitale autonomie. De overheid roept harder dan wie ook dat digitale autonomie noodzakelijk is en is tegelijk de organisatie die er het minst klaar voor lijkt te zijn.
Twee recente voorbeelden
In oktober 2025 maakte de Belastingdienst bekend over te stappen naar Microsoft 365 voor de kantoorautomatisering van 46.000 medewerkers, ondanks eerdere kritiek vanuit de Tweede Kamer. De staatssecretaris benadrukte dat de primaire belastingdata in het eigen datacenter in Apeldoorn blijft, en dat klopt: op die gegevens heeft Microsoft geen toegang, en dus heeft de CLOUD Act daar ook geen grip op.
Waar het risico wél ligt, is het e-mailverkeer van medewerkers. Microsoft 365 beheert die communicatie als Online Service Provider, wat betekent dat Microsoft technisch toegang heeft tot de inhoud. Onder de CLOUD Act kan de Amerikaanse overheid die data opvragen wanneer een medewerker in het vizier van de Amerikaanse justitie komt. Dat vereist in principe een concrete aanleiding, een vermoeden van strafbaar handelen. Maar de praktijk laat zien dat de grens tussen strafrechtelijke opsporing en politiek gemotiveerde informatieverzameling niet altijd scherp is.
Begin 2026 laaide de discussie opnieuw op toen berichten circuleerden dat de Sociale Verzekeringsbank (SVB), die pensioenen, AOW, kinderbijslag en PGB uitbetaalt voor miljoenen Nederlanders, haar systemen naar Azure zou verhuizen. Na Kamervragen bleek dat er geen sprake was van een organisatiebrede migratie; de kritische uitbetalingsprocessen bleven buiten de publieke cloud. Maar de rel illustreerde hoe weinig grip politiek en samenleving ervaren op de cloudkeuzes van uitvoeringsorganisaties.
Twee derde van de Rijksdiensten zonder risicoafweging
Deze cases zijn geen incidenten. Ze zijn symptomen van een structureel patroon. De Algemene Rekenkamer constateerde in januari 2025 in het rapport ’Het Rijk in de Cloud’ dat bij 84 van de 126 belangrijkste public cloud-diensten van het Rijk (67%) geen risicoafweging was gemaakt. Twee derde dus. De Rekenkamer waarschuwt expliciet dat dienstverlening aan burgers en bedrijven daardoor te veel risico loopt, en dat de mogelijke schade de samenleving kan ontwrichten.
Digitale monocultuur als sluipend gevaar
Tegelijkertijd tekent zich een patroon af van digitale monocultuur: als grote delen van de overheidskolom op dezelfde infrastructuur draaien, kan één storing, één juridische maatregel of één geopolitieke spanning tegelijk tientallen organisaties raken. Dat is niet alleen een Rijksprobleem; het is een structureel probleem van de hele overheidskolom.
Strategische afhankelijkheden die nooit zijn gekozen
Wat de Belastingdienst- en SVB-cases vooral laten zien, is dat strategische afhankelijkheden zelden bewust zijn gekozen. Ze zijn organisch gegroeid. De technologie, functionaliteit en schaal van de grote Amerikaanse cloudleveranciers is op dit moment ongeëvenaard, het resultaat van jarenlange miljarden-investeringen. Daar ’instappen’ is logisch geweest. Maar het betekent wel dat er afhankelijkheden zijn geaccepteerd die mogelijk nooit bewust zijn afgewogen.
Dat hoeft geen probleem te zijn, mits je weet wat de risico’s zijn en bewust hebt gekozen. Bewust niets doen is óók een keuze, maar dan wel eentje die je over vijf jaar moet verantwoorden: aan de Tweede Kamer, aan gemeenteraden, aan ministers, en aan de burgers die ervan uitgaan dat de overheid hun data beschermt en haar processen niet laat falen.
Dit blog is onderdeel van de Intermax-whitepaper Digitale autonomie voor de overheid (2026). Het volledige whitepaper is hier te downloaden.