Nieuws

keerpunt regering in vertrouwen Amerika

De keuze van Staatssecretaris van Economische Zaken en Klimaat Willemijn Aerdts om de overname van Solvinity door Kyndryl te verbieden is opmerkelijk.

"Het BTI heeft op 21 november 2025 een melding ontvangen van de voorgenomen koper (Kyndryl) en besloten een onderzoek in te stellen conform de WOZT. Door BTI is geconcludeerd dat deze beoogde overname van Solvinity mogelijk een risico vormt voor het publieke belang op basis van toetsing aan de wettelijke criteria in de WOZT.

Het BTI heeft mij geadviseerd om over te gaan tot een volledig verbod van deze overname. Dit advies heb ik mij eigen gemaakt en heb ik overgenomen."

Hiermee geeft de regering voor het eerst aan dat ze geen vertrouwen meer hebben in ICT diensten van een Amerikaans bedrijf. En het gaat hier niet om een specifiek probleem met Kyndryl omdat Kyndryl b.v. een belangrijke leverancier is voor defensie.

Belangrijkste conclusie is dan ook het belang van goede risico analyses die worden beoordeelt door een onafhankelijke partij. Je kun ook stellen dat in het geval van Solvinity er in het verleden geen goede risico analyses zijn uitgevoerd.

Ik heb daarom ook Woo-verzoeken ingediend bij diverse ministeries met het verzoek om informatie omtrent risico analyse, verwerkersovereenkomst en exit -strategie bij gebruik van clouddiensten van een externe partij. Conclusie hiervan was dat ze er niet zijn of de kwaliteit hiervan ver onder de maat. Maar je komt hiermee wel weg want er is geen controle door een onafhankelijke partij en geen handhaving.

Tot nu toe was bij het uitbesteden van ICT diensten aan Amerikaanse partijen door topambtenaren nog de gedachte Amerika is een betrouwbare bondgenoot. Dus we accepteren vendor lock-in en we accepteren de mitigerende maatregelen van de leverancier om gevoelige gegevens te beschermen (encryptie). En we creëren een politieke werkelijkheid waarmee we zeggen dat de Amerikaanse privacy wetgeving equivalent is aan de Europese privacy wetgeving (adequaatheidsbesluit voor het EU-VS Data Privacy Framework). Via dit adequaatheidsbesluit mogen Amerikaanse bedrijven Europese persoonsgegevens verwerken (zelfs zonder encryptie door verwerkingsverantwoordelijke).

De keuze van Willemijn Aerdts om de overname van Solvinity door Kyndryl te verbieden zet dit nu op z’n kop. Hoe nu verder?

vertrouwen in "AI"

Ook de huidige regering geeft voor elk probleem wel aan dat "AI" een mogelijke oplossing is. Maar de "AI" bedrijven zijn zwaar overgewaardeerd. Nu willen ook nog vier "AI" bedrijven cashen door dit jaar naar de beurs te gaan (OpenAI, Anthropic, Databricks and spaceX-xAI). Ik hoop niet dat mijn pensioenfonds hierin gaat investern. De DNB en AFM waarschuwen hier nu ook voor en spreken van een giftige cocktail.

• 'Giftige cocktail' bedreigt economie: AI is nieuwe zwakke plek

Solvinity

De regering neemt het advies over van BTI m.b.t. voorgenomen overname Solvinity door Amerikaans bedrijf. "Door BTI is geconcludeerd dat deze beoogde overname van Solvinity mogelijk een risico vormt voor het publieke belang" Hiermee geeft de Nederlandse regering aan dat Donald Trump een ongewenst persoon is met mogelijke intentie van misbruik of uitval van dienstverlening door Amerikaanse bedrijven aan Nederland.

Deze uitspraak heeft vergaande consequenties. Hiermee geeft de Nederlandse regering aan geen vertrouwen meer te hebben in de dienstverlening van Amerikaanse bedrijven m.b.t. telecommunicatie/clouddiensten. Hoe nu verder....

• Rijkscloud

politieke woordspelletjes

Ook het huidige kabinet kiest niet voor datasoevereiniteit. Ze kiest voor data autonomie. We moeten toch echt streven naar datasoevereiniteit. Het streven naar digitale soevereiniteit moet er ook zijn voor Europa, maar dit is op korte termijn niet te realiseren. Dan krijg je immers de discussie over het in handen moeten hebben van cruciale digitale infrastructuur, technologieën en data.

Ok, wat is er nodig voor datasoevereiniteit? De data moet staan op digitale infrastructuur en in een datacenter met de Nederlandse overheid als eigenaar. En dit is niets nieuws. Uit het programma compacte Rijksdienst (2011):

Het kabinet kiest er daarom voor een gesloten Rijkscloud in eigen beheer in terichten als een voorziening die generieke diensten levert binnen de Rijksdienst. Deze voorziening wordt ingericht binnen een eigen beveiligd netwerk en beheerd door een eigen, rijksbrede organisatie, zoals aangekondigd in het Uitvoeringsprogramma Compacte Rijksdienst.

• Rijks Computer Centrum

spanje als voorbeeld

Groene partijen geven vaak het energietransitie succes van Spanje als voorbeeld. Maar dan moet je ook accepteren dat je dagen zonder stoom kunt komen te zitten. En bij problemen moet de stroom van kerncentrales uit Frankrijk ze helpen het net weer stabiel te krijgen. Ook behoort Spanje tot de landen met de meeste energiearmoede binnen de Europese Unie. Vertel dan wel het eerlijke verhaal.

• Spaanse stroomstoring legt een zwakte van energietransitie bloot
• Steeds meer Spaanse huishoudens kunnen energierekening niet meer betalen

netcongestie

Ook Nederland heeft zich helemaal vastgezet door de ondoordachte elektriciteitstransitie. De grootste problemen zijn nu op het transportnetwerk van TenneT. De groene partijen willen gewoon doorgaan met de elektriciteitstransitie en de midden partijen zijn wat reëler en willen een pas op de plaats. Als je nu gewoon doorgaat met elke CV ketel vervangen door een warmtepomp weet je zeker dat de problemen van netcongestie alleen maar groter worden. Grootste probleem is de beschikbaarheid van voldoende stoom in de wintermaanden als er geen zonneenergie is en mogelijk geen windenergie. Voor de wintermaanden heb je dus gewoon gascentrales (of kolen, kerncentrales) nodig. Volgens een berekening van groene partijen heb je in Nederland 80 kerncentrales nodig om te kunnen voorzien in de elektriciteitsbehoefte. Dit zijn 240 gascentrales of 80 kolencentrales. We hebben nu ongeveer 40 gascentrales met een beetje vermogen. Als we dus gewoon doorgaan met de elektriciteitstransitie moeten we zo snel mogelijk 200 extra gascentrales bijbouwen!

We kunnen voorlopig dus niet van het gas af. Dat betekent reële keuzes maken b.v.. Alleen warmtepompen voor nieuwbouwhuizen, om de woningnood op te lossen. Huizen met zonnepanelen moeten aan een thuisaccu (b.v. geen BTW hierop). De kolencentrales achter de hand houden voor de wintermaaanden (niet al in 2023 sluiten). En zo snel mogelijk kleine gascentrales bijplaatsen in de probleemgebieden.

het kan wel

En deze is voor de staatssecretaris van Digitale Economie en Soevereiniteit Willemijn Aerdts. Dus geen wederzijdse afhankelijkheid maar open standaarden!

Offene Standards statt neuer Abhängigkeiten

• Europa, schau auf Frankreich!

Frankreich macht bei der digitalen Souveränität gerade das, woran Deutschland und weite Teile Europas seit Jahren scheitern: Es handelt.

Ein souveräner Markt entsteht nicht von allein, wenn der Staat weiter einkauft wie bisher und nur auf das Wunder eines sich plötzlich materialisierenden europäischen Ökosystems hofft.

het kan wel

De Nederlandse overheid praat veel over soevereiniteit en kiest voor afhankelijkheid van Amerika. Met de VVD Ministers Vincent Karremans en Eelco Heinen voorop, die aangeven dat we absoluut niet zonder Amerika kunnen en dat we met respect moeten spreken over president Trump.... Ik denk dat deze VVD'ers maar moeten emigreren naar Amerika. Nederland moet kiezen voor een sterk Europa waarbij we meer moeten samenwerken met Frankrijk. Frankrijk heeft alles wat we nodig hebben en geeft het goede voorbeeld.

• Frankreich will sich schneller von außereuropäischen IT-Anbietern lösen.

praten over digitale autonomie

Wat doet dit kabinet? Praten over digitale autonomie en strategische autonomie en dan komt de staatssecretaris van Digitale Economie en Soevereiniteit Willemijn Aerdts met de oplossing: wederzijdse afhankelijkheid. Volgens mij heeft ze het hier over een begrip uit de managementliteratuur. In de samenhang van digitale autonomie moet ik dan denken aan chantage. In het tijdperk van president Biden de chantage om in te stemmen met het EU-US Data Privacy Framework of anders geen gas. In het tijdperk van president Trump om niet af te zien van Amerikaanse digitale diensten en wapens want anders geen gas. Moet je je toch nog eens afvragen als staatssecretaris waarom hebben we digitale soevereiniteit nodig?

Rijkswerkplek 2.0

Volgens de staatssecretaris van BZK Eric van der Burg is de nieuwe Rijkswerkplek privacy vriendelijk... Dus persoonsgegevens van Rijksambtenaren in de Amerikaanse cloud is privacy vriendelijk? Het begint al met de keuze voor Windows 11 waarvoor geen goede DPIA is uitgevoerd en dan kiezen ze voor Microsoft intune om via gebruikers management in Microsoft EntraID cloud software zoals Office 365 en Teams op de werkplek te gebruiken. Feitelijk heb je dan een Microsoft cloud werkplek met alleen Microsoft Exchange nog in je eigen datacenter. Komt helemaal goed met onze digitale autonomie en dit kabinet.

• Onderzoek datalekken DWR 2 0 Privacy Company

En dan ook gewoon liegen dat alle aanbevelingen die technisch mogelijk zijn, zijn geïmplementeerd.

Alle aanbevelingen (die technisch mogelijk zijn) uit het onderzoek zijn overgenomen en geïmplementeerd.

Het kan wel

Staatssecretaris van Financiën Eelco Eerenberg geeft aan dat netcongestie zwaard van Damocles is voor digitale autonomie…. Netcongestie onbeheersbaar en onafwendbaar? Nee, gewoon politieke keuzes.

Voor de zomervakantie wil de staatssecretaris nog een brief sturen naar de Tweede Kamer om aan te geven hoe de Belastingdienst een voorloper wil zijn in digitale autonomie. Moet niet zo moeilijk zijn want ze hebben al het meest autonome Rijksdatacenter. Nu alleen nog maar even het probleem oplossen met het stroomtekort. En de afhankelijkheid van IBM/Microsoft afbouwen door zo veel mogelijk gebruik de maken van white label hardware en open standaarden en Open Source software.

Blind vertrouwen

De Nederlandse overheid heeft nog altijd blind vertrouwen in Microsoft clouddiensten. Waar is dit vertrouwen op gebaseerd? Niet op feiten in ieder geval. Dan moet het wel zijn dat er nog altijd blind vertrouwen is in de Amerikaanse Overheid....

• Federal Cyber Experts Thought Microsoft’s Cloud Was “a Pile of Shit.” They Approved It Anyway.

While the team was able to work through only two of the many services included in GCC High, Exchange Online and Teams, that was enough for it to identify “issues that are fundamental” to risk management, including “timely remediation of vulnerabilities and vulnerability scanning,” according to a summary of the team’s findings reviewed by ProPublica.

Beantwoording schriftelijke vragen Eerste Kamer over M365 Belastingdienst

De Belastingdienst moet zich diep, diep schamen dat ze in hun eigen datacenter niet een mailserver en kantoorautomatiseringssoftware kunnen laten draaien. En dan hebben ze een miljarden budget voor ICT en meer dan 4000 ICTers in dienst.

• Antwoorden op Kamervragen (VSO) over 'Overstap kantoorautomatisering M365 Belastingdienst'

Voor de Belastingdienst geldt in ieder geval dat er momenteel geen Amerikaanse sanctiemaatregelen bekend zijn die specifiek gericht zijn op de organisatie.

Duh...

Bij de aanvang van het traject in 2021 heeft de Belastingdienst, net zoals vele andere (overheids-)organisaties, gekozen voor de toen geldende standaard van M365 en Windows 11.

Hoezo geldende standaard? We kennen alleen maar de open standaard ODF (Format documentbewerking). En met deze echt verplichte standaard doen we dus niets. ODF -> 'Pas toe leg uit' standaarden (verplicht). Wie is hier nu gek?

Sinds 2021 is er 14,4 miljoen euro geïnvesteerd in de uitrol van M365 binnen de Belastingdienst,

Uitrol van het inkopen van SAAS clouddienst 14,4 miljoen euro?? Wat gaat hier mis. Je kunt hiervoor een eigen cloud bouwen.

De Belastingdienst schat daarentegen het volwassenheidsniveau van de informatiebeveiliging (voor het mitigeren van cyberdreigingen van andere statelijke actoren) bij
M365 hoger in dan bij andere (on-premises) varianten.

Mag ik even lachen. Met die nieuwe AI shit werken ze niet echt aan de beloofde focus op beveiliging.

De Belastingdienst heeft het reguliere inkoopprocedures gevolgd dat eerder door SLM Rijk is uitonderhandeld.

En daar zaten/zitten fouten in. Kijk maar naar de DPIA M365 van de politie.

Kunt u de boetebepalingen toelichten, inclusief sancties bij niet-nakoming van data-overdracht of vernietiging?
Dit is onderdeel van contracten en afspraken tussen de Belastingdienst, SLM Rijk en Microsoft en zijn derhalve contractueel vertrouwelijk

Er is geen boetebepaling! Als er een algemene M365 storing is, dan is De Belastingdienst een van velen en moet gewoon wachten tot Microsoft de boel weer aan de praat krijgt. Hierbij zijn we ook afhankelijk van storingen in Amerika!

De Belastingdienst heeft het enige echte soevereine Rijksdatacenter en heel veel ICT geld en ICTers in dienst. Maar kantoorautomatiseringsoftware kunnen ze hier niet draaien.... Geen woorden voor...

Beantwoording schriftelijke vragen Tweede Kamer over M365 Belastingdienst

Als kamerlid kun je goede vragen stellen aan de regering. De antwoorden daarentegen, er zitten gewoon leugens tussen. De antwoorden komen van DG Belastingdienst Concerndirectie IV&D. De Belastingdienst moet zich diep, diep schamen dat ze in hun eigen datacenter niet een mailserver en kantoorautomatiseringssoftware kunnen laten draaien. En dan hebben ze een miljarden budget voor ICT en meer dan 4000 ICTers in dienst. En ze zijn ook te trots om het door SSC-ICT van BZK te laten doen, dan liever naar de Microsoft cloud...

• Antwoord op vragen van de leden Kathmann, El Boujdaini en Dassen over de overstap van de Belastingdienst naar Microsoft

vraag 3.
Voldoet de onderbouwing voor de overstap van de Belastingdienst aan het geldende cloudbeleid? Kunt u hard maken dat tijdig aan alle eisen is voldaan?

Antwoord 3.
Ja, de overstap voor de kantoorautomatisering van de Belastingdienst naar M365 voldoet aan het rijksbrede cloudbeleid (2022)

Ik heb hiervoor nog een Woo-verzoek uitstaan maar kan nu al aangeven dat ze liegen dat ze zelf een DPIA hebben uitgevoerd. Ze maken gebruik van de M365 DPIA SLMMicrosoftrijk en deze is van 2019! Volgens het geldende rijksbrede cloudbeleid van 2022 moet je elke 3 jaar een DPIA uitvoeren. En dan wel van het niveau zoals Privacy Company hem in 2019 heeft uitgevoerd. En voor het gebruik van Windows 11 is al helemaal geen DPIA uitgevoerd.

Vraag 6.
Bent u op de hoogte van het rapport van de Cyber Safety Review Board uit 2024 over de beveiliging van Microsoft, waaruit blijkt dat het bedrijf de cyberveiligheid structureel niet op orde heeft? Hoe beoordeelt u het argument dat Microsoft de beste beveiliging biedt in het licht van de conclusies uit dit rapport?

Antwoord 6.
In reactie op het rapport heeft Microsoft onder de naam ‘Secure Future Initiative’ de verantwoordelijkheid voor de incidenten geaccepteerd en actie ondernomen om zowel de producten en diensten als de operatie van Microsoft 365 te verbeteren.

Volgens mij heeft Microsoft juist meer security problemen door introductie van AI componenten in m365 en Windows 11.

Vraag 23.
Deelt u de mening dat het rapport uit 2022 van GreenbergTraurig, waarin wordt gesteld dat het risico dat de VS gebruik maakt van de CLOUD Act klein is, achterhaald is door de geopolitieke ontwikkelingen nu ook de AIVD en de MIVD minder informatie met de Amerikanen delen?[16]

Antwoord 23.
Ik erken dat de geopolitieke situatie ten opzichte van 2022 is veranderd, dat heeft een ander risicobeeld met zich meegebracht. De Belastingdienst heeft dit meegenomen in de opgestelde risicoanalyse en dit expliciet meegewogen. Deze risicoanalyse heb ik vertrouwelijk aan uw Kamer ter inzage aangeboden.

Maar ze vertrouwen nog volledig op Microsoft en het adequaatheidsbesluit voor het laten verwerken van gevoelige persoonsgegevens door een Amerikaanse clouddienst.staatssecretaris

Vraag 24.
Beschikt Microsoft in het geval er ‘double key encryption’ wordt toegepast over een sleutel naar deze data? Zo ja, hoe is het versleutelen van data dan een geschikte mitigerende maatregel?

Antwoord 24.
U doelt daarmee op een maatregel zoals is voorgesteld in de nota ‘Scenario’s overstap kantoorautomatisering naar cloud’ van 27 juni 2025 bij een specifiek product van Microsoft. De maatregel van ‘double key encryption’ wordt niet toegepast. Door gebruik te maken van ‘double key encryption’ zijn verschillende functionaliteiten niet meer mogelijk. Zo kunnen bijvoorbeeld verschillende bestanden dan niet langer geïndexeerd worden. Deze maatregel is tevens afgewogen in de eerdergenoemde risicoanalyse.

De Belastingdienst is continu op zoek naar nieuwe oplossingen die een betere bescherming van de data mogelijk maken en het risico van het ongeautoriseerd toegang hebben tot data mitigeren.

Huh.... We hebben het volste vertrouwen in Microsoft en Donald Trump........

Uit het "Scenario's uitrol M365" document blijkt dat voor het gekozen voorkeur scenario 1 de Belastingdienst gevoelige data en persoonsgegevens verwerkt in de Microsoft cloud.....

Scenario la: Hybride oplossing M365 met “fiscale”/V=3 data On Premise
Scenario laa: Hybride oplossing M365 met “fiscale” persona's On Premise

Debat over cloudmigraties naar Amerikaanse techgiganten

11 februari 2026 was het dan eindelijk zover, een debat in de Tweede Kamer over cloudmigraties naar Amerikaanse bedrijven. Wat viel mij op in dit debat? Alle aanwezige kamerleden waren vrij duidelijk in het belang van digitale soevereiniteit, met als negatieve uitzondering Daniël van den Berg (Ja21). Zelfs een rechtse partij als de SGP met Chris Stoffer was zeer uitgesproken over het belang van soevereiniteit en encryptie. Maar dan het antwoord van de tussenpaus minister van Economische Zaken Vincent Karremans (VVD).... Volgens hem komt het erop neer dat het aan de Europese marktpartijen ligt dat de Nederlandese overheid wel alles moet uitbesteden aan Amerikaanse clouddiensten....

Neeee......, de regering moet weer gaan regeren.

Als soeverein land kun je kritische digitale dienstverlening niet uitbesteden. En voor de VVDers kijk eens waarom een supermarkt als Lidl ook zijn eigen cloud heeft.

• kamerdebat cloudmigraties naar Amerikaanse techgiganten

Ernaar acteren

Je moet je niet alleen durven uitspreken maar er ook naar acteren. Uit het jaarverslag van de Rechtspraak.

• Rechtspraak Jaarplan 2026

Als we uit angst voor eventuele represailles – ook de Rechtspraak
draait voor een groot deel op Amerikaanse software en servers – ons niet meer
uitspreken, dan heeft de rechtsstaat die we zo lief hebben de slag verloren.

Stasi praktijken Amerikaanse overheid

Amerika is al geen democratie meer. Ze onderdrukken de bevolking met Stasi praktijken.

• Homeland Security is targeting Americans with this secretive legal weapon

“Beyond my personal situation, is the bigger question of how they misuse their powers to target innocent victims across the board,” he wrote one attorney. “If this goes unchallenged, we are all complicit or vulnerable in allowing the Government to abuse its powers.”

Microsoft datacenter en stroomtekort OverheidsDataCenter

De Nederlandse Overheid geeft ruim baan aan de Amerikaanse cloud. De Overheid kiest er dus voor dat ondanks al het gepraat over digitale soevereiniteit, onze schaarse stroom gaat naar Amerikaanse datacenters. Het is dus Amerika first bij de Nederlandse Overheid.....

• In Amsterdam komt een hyperscale voor Microsoft, ondanks het verbod op hyperscales

De Belastingdienst gebruikt het stroomtekort probleem van hun datacenter als argument om de kantoorautomatisering te migreren naar de Microsoft clouddiensten Exchange Online en M365. Dus de Nederlandse overheid kiest ervoor om het stroomtekort van het enige soevereine Rijksoverheid twin datacenter niet op te lossen. In plaats hiervan gaan we gebruik maken van Microsoft datacenters die ook voor heel andere dingen worden gebruikt.......

• heeft de Belastingdienst gekozen voor Microsoft365
• Israel relying on Microsoft cloud for expansive surveillance of Palestinians
• Irish authorities asked to investigate Microsoft over alleged unlawful data processing by IDF

Op lange termijn zal het rekencentrum uitgebreid moeten worden, dan speelt ook in dit scenario de raming van €50 miljoen (enkel stroomuitbreiding).

The leaked Microsoft files suggest that a large proportion of the unit’s sensitive data may now be sitting in the company’s datacentres in the Netherlands and Ireland.

politie en cloudbeveiliging

In de zomer van 2023 had Microsoft Exchange Online te maken met een ernstig beveiligingsincident. Dankzij een rapport van de Amerikaanse overheid weten we dat Microsoft de beveiliging van hun cloud producten niet op orde heeft. Alle alarmbellen hadden toen moeten afgaan bij alle Overheidsorganisaties die Microsoft clouddiensten gebruiken. Maar helaas wat zien we de politie is in september 2024 gehackt op juist een Microsoft O-365 account....
En dit ondanks alle waarschuwingen en dat iedereen zogenaamd op scherp stond voor de NAVO summit juni 2025. Dankzij FTM weten we nu dat de politie ernstig in gebreke is gebleken met de eigen verantwoordelijkheid bij gebruik van clouddiensten. Ook dankzij mijn Woo-verzoek kunnen we zien dat de politie op de hoogte was van de gevaren van het toepassen van publieke clouddiensten. Kijk maar we ze allemaal in Microsoft Entra ID zetten.

• Review of the Summer 2023 Microsoft Exchange Online Intrusion
• The proof-of-concept demonstrates how session hijacking can grant unauthorized access to Microsoft 365 applications
• Politie liet ondanks waarschuwing deur op voor Russische hackers

Bij de Nederlandse politie kregen de hackers toegang tot een Office 365-account waar het vergaderprogramma Teams op draaide.

politie en public cloud

Via een besluit op mijn WOO verzoek over cloud beleid/gebruik bij de politie.

• Op 28 april 2025 heeft de korpschef een besluit genomen op een Woo-verzoek over het gebruik van publieke clouddiensten.

zijn o.a. de volgende documenten openbaar geworden:

1. Met de benen op de grond op weg naar de cloud -> Visie, strategie en kaders
2. GEB/DPIA Microsoft M365 MVP Teams/OneDrive/SharePoint door Expertisecentrum Privacy

Enkele opmerkelijke stukken uit deze documenten:

Beleid:

Beleid en strategie, alles naar de pulic cloud:
Alle informatie m.b.t. het uitvoeren van de politietaak, eigen medewerkers en eigen bedrijfsgegevens die
gerubriceerd zijn in een categorie tot en met Politie GEHEIM4, mag in een externe private of public cloud
worden opgeslagen en verwerkt.

En dit:
Het gegeven dat alleen de korpschef verwerkingsverantwoordelijkheid heeft binnen de Wpg

We zien hier het probleem en nemen maatregelen (encryptie):
De Amerikaanse overheid stelt zich op het standpunt dat zij jurisdictie heeft over alle bedrijven - waar ook
gevestigd - die verbonden zijn met Amerika en dat zij bij die bedrijven informatie over individuen mag vorderen
(de Cloud Act). De Europese Commissie en het Nederlandse kabinet stellen zich op het standpunt dat EU-
wetgeving voorgaat op EU-grondgebied. Dit juridische dispuut is vooralsnog niet opgelost. In de praktijk houdt dit
in dat de leveranciers, vrijwel allemaal Amerikaanse bedrijven, hierdoor in een spagaat terecht komen. Een
oplossing hiervoor is nog niet gevonden, maar we zijn ons bewust van dit risico en proberen zo veel mogelijk
maatregelen te nemen om het risico te beperken.

Encryptie:
De encryptiesleutel is in handen van de politie.

En dit is mogelijk door eigen encryptie:
De politie biedt in beginsel meer ruimte voor het gebruik van public cloud dan het Rijk. Het afwegingskader van
het Rijk geeft ruimte om informatie die lager is gerubriceerd dan Departementaal Vertrouwelijk in een externe
cloud te zetten. Het kader van de Politie geeft ruimte om informatie tot en met de rubricering geheim in een
externe cloud te zetten.

GEB/DPIA:

Wpg is strenger dan de AVG:
Diensten die dienen voor operationele politiediensten
In dit geval betreft het diensten die naast AVG ook Wpg-data bevatten. Dat
heeft de nodige juridische consequenties ten aanzien van privacy en security
omdat het Wpg-regime geldt. De rijksoverheid heeft met een aantal
cloudleveranciers overeenkomsten gesloten waar de politie van gebruik kan
maken. Bij deze overeenkomsten is de AVG het uitgangspunt. Ten aanzien
van de Wpg dienen dan ook separate afspraken gemaakt te worden.

We nemen privacy/security echt serieus:
Voor het maken van de GEB/DPIA kreeg het Expertisecentrum Privacy van de politie 2 maanden voor de AVG en 1 maand voor de Wpg door
1 privacy adviseur. Dus geen volledig overzicht.

Dit komt toch in een heel ander licht te staan nu Trump president is:
Hoewel het de verwachting is dat het DPF juridisch zal worden aangevochten, worden in de VS waardevolle en belangrijke stappen gezet om de rechten en vrijheden van betrokkenen in lijn te brengen met de normen die gehanteerd worden binnen de EU.

Wat kost videobellen software per jaar?
Microsoft Enterprise E5 licenties € 22.000.000,-

Verwerkersovereenkomst is de SLM Rijks MBSA:
Verwerkersovereenkomst in Data Protection Terms van Online Service Terms in Enterprise Enrollment / Rijks MBSA en de Rijks Enterprise Agreement
Opvallend hieraan is dat Microsoft de klantgegevens mag gebruiken voor het doeleinde: improving the Online Services.

Voldoen sub-verwerkers aan de AVG? Jammer dan bedrijfsgeheim:
Microsoft heeft op 20 februari in een gesprek met de politie mondeling aangegeven over DTIA's te beschikken met betrekking tot India, China en Servie, maar heeft aangegeven deze niet te willen delen omdat deze DTIA's bedrijfsgeheim zouden zijn. Op verzoek van het ECP is schriftelijk de vraag bij Microsoft uitgezet om deze alsnog te verstrekken, aangezien zij volgens het ECP als verwerker verplicht zijn om aan de verwerkingsverantwoordelijke aan te tonen dat de doorgifte aan hun sub-verwerkers voldoet aan de AVG. Microsoft heeft dit schriftelijk geweigerd om dezelfde reden als die zij modeling hebben gedaan.

verwerker/verwerkingverantwoordelijke:
Er zijn een aantal factoren die zonder enige twijfel erop wijzen dat Microsoft verwerkingsverantwoordelijke is met betrekking tot de verwerking ten behoeve van het verbeteren van de geleverde diensten, ook al bepaalt de overeenkomst het tegenovergestelde.
In een op 25 november 2022 gepubliceerd rapport heeft de Duitse Datenschutzkonferenz (DSK) geconcludeerd dat het gebruik van Microsoft 365 onrechtmatig is. Een van de redenen hiervoor is dat Microsoft onvoldoende transparant zou zijn over welke persoonsgegevens verwerkt worden, en voor welke doeleinden. Op 14 december 2022 heeft SLM Rijk in een reactie op dit rapport gesteld dat SLM namens de Rijksoverheid in de MBSA vergaande afspraken met Microsoft heeft vastgelegd die de actuele kritiek van de DSK voldoende ondervangen. Zo bindt de verwerkersovereenkomst Microsoft volgens SLM aan strikte instructies voor de verwerking van persoonsgegevens van overheidsorganisaties die onder de reikwijdte van de MBSA vallen. Deze afspraken beschrijven volgens SLM helder wat Microsoft wel, en wat Microsoft niet met deze gegevens mag doen. Volgens het ECP zijn deze instructies in tegenstelling tot wat SLM Rijk stelt in het geheel niet strikt en helder, omdat de instructie met betrekking tot verbeteren van de geleverde diensten zeer ruim geformuleerd is en daardoor voor meerdere interpretatie open staat.

Geen eigen encryptie.
Geen enkel persoonsgegeven wordt momenteel met dubbele versleuteling (Double Key Encryption) versleuteld.
Bij het versleutelen van persoonsgegevens met een eigen key kunnen bepaalde functionaliteiten niet meer worden gebruikt,
zoals DSAR-tooling. De politie heeft daarom nog niet definitief bepaald of Double Key Encryption zal worden gebruikt.

Geen exit-strategie.
Het Microsoft 365 projectteam van de politie heeft bij nadere vragen van het ECP hierover aangegeven toch nog geen exit-strategie te hebben ontwikkeld.

De belangrijkste risico's zijn:
De politie is niet in staat om (tijdig) verzoeken om de uitoefening van rechten van betrokkenen met betrekking tot verwerkingen in Microsoft
Teams/OneDrive/SharePoint te beantwoorden. -> Risiconiveau voorafgaand aan het nemen van maatregelen -> ZEER HOOG

Zeer hoog: Het verlies van controle over persoonsgegevens omdat deze in een gebied zijn gebracht waar een inadequaat niveau van gegevensbescherming wordt geboden is een erstige inbrek op de rechten en vrijheden van de betrokkenen.
De impact is nog hoger wanneer de persoonsgegevens bijzondere persoonsgegevens of politiegegevens betreffen, omdat de risico's voor de betrokkenen met betrekking tot dit soort gegevens van tevoren niet valt te voorzien. Dat is met name geval voor zaken rondom de persoonlijke levenssfeer van een persoon die binnen de EU doorgaans als normaal of acceptabel worden beschouwd, maar in de Verenigde Staten strafbaar zijn gesteld of als gevaarlijk worden gezien. Omdat ook bijzondere persoonsgegevens en politiegegevens verwerkt kunnen worden middels het Microsoft 365 MVP. en deze vatbaar zijn voor een vordering, wordt de impact van het verwezenlijken van dit risico op Hoog ingeschat.

Betrokkenen behoeven niet te verwachten dat Microsoft of sub-verwerkers toegang kunnen krijgen tot potentieel gevoelige persoonsgegevens
of politiegegevens om de geleverde diensten te verbeteren, aangezien de betrokkenen hier geen enkele controle op kunnen uitoefenen. Voor de politiegegevens geldt ook nog eens dat dit een verwerking is die niet plaatsvindt voor een bij of krachtens de Wet politiegegevens geformuleerd doeleinde, en daarom onrechtmatig is. -> ZEER HOOG.

SVB ook naar Azure

Een stuurloze Rijksoverheid. Er is geen Rijkscloudbeleid voor ZBO’s zoals de SVB en NZa. De NZa geeft wel aan dat ze zich houden aan het Rijksoverheid cloudbeleid van 2022. Met een Rijksoverheid in de pauzestand is het met veel dossiers wachten op nieuw (cloud)beleid zoals o.a. aangegeven in de NDS. Maar ook de ZBO's moeten zich wel houden aan de AVG. Op dit moment is het niet mogelijk om gebruik te maken van Microsoft clouddiensten omdat Microsoft niet wil/kan voldoen aan b.v. een simpel inzageverzoek. Ook een probleem is het dat bij gebruik van double key encryption de Microsoft DSAR-tooling niet werkt (inzage verzoek dan technisch niet mogelijk) Ik heb hiervoor een klacht ingediend bij de AP. De AP neemt mijn klacht niet in behandeling omdat verder onderzoek niet efficiënt en effectief is. De AP geeft aan dat het een algemeen probleem is.

Nu is het ook interessant om te kijken hoe de AP omgaat met de overname van Solvinity door een Amerikaans bedrijf. De AP neemt immers ook diensten af bij Solvinity. Kijk hiervoor naar het besluit op mijn Woo-verzoek aan de AP over het gebruik van Amerikaanse clouddiensten.

• Besluit op Woo-verzoek aan de AP over gebruik van Amerikaanse clouddienst

De NZa is heel overtuigt dat ze er goed aan hebben gedaan om over te gaan naar Amerikaanse clouddiensten. Ze zijn in ieder geval hier heel open over en hebben naar aanleiding van mijn Woo-verzoek veel openbaar gemaakt.

• NZa kiest voor toekomstbestendige IT

Dat ze zo overtuigt zijn van hoe veilig die Amerikaanse clouddiensten zijn, is dan wel een beetje jammer. En hoe gaan ze voldoen aan de AVG? De Microsoft DSAR tooling werkt niet als je double key encryptie gebruikt.

De NZa gebruikt Snowflake en Microsoft Azure voor de infrastructuur, beveiliging, beheer en onderhoud van haar dataopslagsysteem.

• Review of the Summer 2023 Microsoft Exchange Online Intrusion
• Snowflake at centre of world’s largest data breach

brandbrief aan de minister

De Rijksoverheid maakt gebruik van diensten geleverd door Solvinity. Meestal gaat het hier over de DigiD dienst omdat dit de bekenste applicatie is en noodzakelijk om gebruik te kunnen maken van de digitale dienstverlening van de Rijksoverheid. Zoals ook door FTM onder de aandacht gebracht maakt het ministerie van Justitie en Veiligheid ook gebruik van door Solvinity geleverde diensten. Hierbij gaat het om zeer gevoelige informatie die vallen onder de Wpg, Wjsg en AVG wetgeving. Op dit moment is er veel onrust over de mogelijke overname van Solvinity door een Amerikaans bedrijf. Op zich is dit een beetje raar omdat Solvinity nu ook al gebruik maakt van diensten die worden geleverd door Amerikaanse bedrijven. Een mooi voorbeeld is de Autoriteit Persoonsgegevens. Doe maar eens een nslookup -type=SOA autoriteitpersoonsgegevens.nl. . Solvinity levert ook de toegang tot de JenV Trusted Cloud. Een keer raden wat verstaan ze onder de JenV Trusted Cloud -> Microsoft Azure cloud. Ook de JenV "eigen" Robin AI dienst draait op Azure. Het bijzondere is dat BZK via SSC-ICT wel een eigen AI dienst heeft in hun datacenter, Vlam.ai. Dat het ministerie van Justitie en Veiligheid er hier een afwijkende strategie op na houdt is zeer merkwaardig, waarbij je moet opmerken dat de politie het ook nog weer op een eigen manier doet. Waarom heeft het ministerie van Justitie en Veiligheid zoveel vertrouwen in de Amerikaanse cloud?

• Experts eisen inzicht in verkoop van DigiD-platform aan Amerikaans techbedrijf
• de JenV Trusted Cloud
• Generatieve AI bij de Rijksoverheid
• Departementen kiezen voor veilige AI-chatbot van SSC-ICT

Samen met Solvinity, leverancier van secure managed clouds, ontwikkelde JenV de Trusted Cloud: een virtueel datacenter in de publieke
cloud, afgeschermd van het internet en uitsluitend toegankelijk via het interne netwerk van het ministerie.

Digitale autonomie en alternatieven JenV en Solvinity denken samen vooruit, van exit-strategieën tot Europese cloudalternatieven. Alle strategische vraagstukken liggen op tafel. Voor overheden zijn dit zeer actuele thema’s. Hierbij zijn naast technologische ook bestuurlijke keuzes nodig. Bijvoorbeeld het verminderen van afhankelijkheid van buitenlandse techbedrijven, het borgen van digitale soevereiniteit en het toekomstbestendig makenvan de IT-infrastructuur.

Het ministerie van Justitie en Veiligheid (JenV) heeft een vergelijkbare interne “AI-assistent” met de roepnaam Robin.

Voor de ontwikkeling van Robin noemt De Haan 5 kritieke succesfactoren: “Ten 1e hebben we onze eigen ICT-infrastructuur en de JenV Trusted Cloud. Die ondersteunen ons ministerie bij de flexibele, veilige en efficiënte inzet van ICT-middelen en voldoen volledig aan onze strikte beveiligings- en compliance-eisen.

Wat vlam-chat bijzonder maakt is dat het lokaal zal draaien in een Overheidsdatacenter en Europese taalmodellen gaat gebruiken. Daarmee is het een veilig en verantwoord alternatief voor commerciële AI-chatbots.

Vlam-chat sluit aan bij prioriteit 3 Artificiële Intelligentie van de Nederlandse Digitaliseringsstrategie (NDS). En richt zich specifiek op de volgende versneller: het aanjagen van de inzet van (open) Nederlandse en/of Europese taalmodellen bij de overheid. Daarnaast draagt het bij aan het streven naar meer digitale autonomie.

politie wil alweer meer geld voor ICT

En weer vraagt de politie om meer geld voor ICT i.v.m. de verouderde ICT systemen. Meer geld is niet de oplossing. Het probleem is het bestuur de regering/leiding. Elke paar jaar vragen ze weer om een extra investering van 300-400 miljoen euro en hiervan gaat dan het meeste geld naar externe inhuur. Vanaf 2010 was het plan om naar een compacte Rijksdienst te gaan met gemeenschappelijke basisinfrastructuur. Hier is niet veel van terecht gekomen. Door artikel 44 doet elk ministerie iets met ICT en binnen het ministerie van Justitie en Veiligheid doet de politie, het OM en de Rechtspraak het allemaal op hun eigen manier. Niet iets nieuws verzinnen maar een project zoals dat van de compacte Rijksdienst een keer geheel uitvoeren! Kijk als voorbeeld naar hoe Denemarken het heeft gedaan.

• Politie en OM dringen aan op forseinvesteringen in ‘verouderde, kwetsbare’ ict
• Uitvoeringsprogramma Compacte Rijksdienst
• De IV-kosten stijgen snel, het IT-landschap is versnipperd en vaak verouderd, en de sturing op projecten schiet tekort.

De conclusies van onderzoeksbureau Ernst & Young zijn stevig. De IV-kosten stijgen snel, het IT-landschap is versnipperd en vaak verouderd, en de sturing op projecten schiet tekort. ‘In accountantstaal staat er eigenlijk: we hebben onvoldoende zicht op wat we uitgeven, wat er binnenkomt, welke projecten lopen, hoeveel externe krachten we inhuren en welke verschillende applicaties we gebruiken voor dezelfde doeleinden.

Bespaar tip: Stop met de Microsoft 365 E5 abonnementen van €22.000.000,- per jaar.

slopen van de privacybescherming in de nieuwe Europese Omnibus-wetgeving

De reactie van het kabinet op kamervragen over de nieuwe Europese Omnibus-wetgeving.

• Antwoord op vragen van het lid Kathmann over het slopen van de privacybescherming

Je vraagt naar "privacy mag geen geweld worden aangedaan" en krijgt als antwoord "inbreuk op privacy mag wel via wetgeving". Duh, lijkt wel een AI-antwoord.

Deelt u de opvatting dat het beschermen van privacy een kernwaarde is van
de Europese Unie, een uitvloeisel is van een gezamenlijk wereldbeeld én de
lessen getrokken uit de Tweede Wereldoorlog, en dat dit onder geen enkele
voorwaarde geweld mag worden aangedaan?

Het recht op bescherming van
persoonsgegevens heeft geen absolute gelding (overweging 4 AVG). Zo kan
het recht bij wet worden ingeperkt, mits voldaan is aan de eisen van
noodzakelijkheid, proportionaliteit en subsidiariteit en de inperkingen
voldoende voorspelbaar en voorzienbaar zijn voor de betrokkenen. Dat onder
geen enkele voorwaarde inbreuk mag worden gemaakt op dit grondrecht,
onderschrijven wij derhalve niet

De wereld wordt opnieuw verdeeld

De wereld wordt opnieuw verdeeld, en de Nederlandse regering is op vakantie.

• Nederland mag zijn rol in de Venezolaanse crisis niet langer ontkennen
• Fællesudtalelse om Grønland

Eerlijke concurrentie

Kleine bedrijven die diensten aanbieden in Nederland betalen netjes belasting in Nederland. Grote bedrijven betalen nergens belasting.....

• VS vrijgesteld van mondiale belastingdeal multinationals, ‘knieval voor Trump’

De Oeso, inclusief het Verenigd Koninkrijk en de Europese Unie, geven hun recht op om belasting te heffen op bedrijven die binnen hun grenzen actief zijn.

• Nieuws 2025
• Nieuws 2024
• Nieuws 2023
• Nieuws 2022
• Nieuws 2021
• Nieuws 2020
• Nieuws 2019
• Nieuws 2018
• Nieuws 2017
• Nieuws 2016

• Nieuws
  • Nieuws 2025
  • Nieuws 2024
  • Nieuws 2023
  • Nieuws 2022
  • Nieuws 2021
  • Nieuws 2020
  • Nieuws 2019
  • Nieuws 2018
  • Nieuws 2017
  • Nieuws 2016