‘SVB niet afhankelijk van cloud voor primair proces’

‘Ze zijn in Den Haag helemaal gek geworden’. Tweede Kamerlid Barbara Kathmann (GroenLinks-PvdA) windt er geen doekjes om. In een recente LinkedIn-post reageert ze ontzet op het bericht dat de Sociale Verzekeringsbank (SVB) naar de cloudomgeving Azure van Microsoft zou overstappen.

Geen organisatiebrede migratie

De SVB betaalt voor de overheid uitkeringen en regelingen uit, waaronder pensioenen, de AOW, kinderbijslag en het persoonsgebonden budget (PGB). Daarvoor verwerkt de organisatie de privégegevens van miljoenen Nederlanders. Het nieuws dat de SVB naar Azure zou gaan, maakt dus nogal wat los. Nadat de Belastingdienst eerder al dezelfde keuze maakte, vragen voorvechters van digitale autonomie zich af wanneer de Nederlandse overheid nu eens stopt met het verhuizen van overheidsgegevens naar Amerikaanse servers. ‘Ik kan gewoon niet meer’, schreef techexpert Bert Hubert, de brenger van het nieuws over de SVB, afgelopen vrijdag.

Volgens de SVB wordt de soep niet zo heet gegeten als hij is opgediend. ‘Azure is al jaren onderdeel van ons systeemlandschap,’ laat een woordvoerder weten aan iBestuur. ‘Er zijn echter geen plannen voor een organisatiebrede migratie naar Azure. De bijzondere persoonsgegevens die we gebruiken voor het primaire proces, het uitbetalen van gelden, zijn opgeslagen op Europese servers in Europa/EER.’ Die servers zijn van de Franse IT-dienstverlener Atos. De SVB neemt wel diensten af van Microsoft.

Noodvoorziening

Voor het uitkeren van gelden is de SVB dus niet afhankelijk van Azure, benadrukt de woordvoerder. ‘Bovendien beschikken we over een noodvoorziening om in het geval van, bijvoorbeeld, een geopolitieke crisis of calamiteit geld te kunnen blijven uitkeren.’ Over die noodvoorziening wil hij verder weinig kwijt, behalve dat de SVB een tijd geleden maatregelen heeft genomen om ‘nog weerbaarder’ te worden, zodat ze in alle gevallen in bestaanszekerheid kunnen voorzien, ook als bijvoorbeeld een cyberaanval de systemen zou platleggen.

Wachten op Europese cloud

De discussie over digitale autonomie en datasoevereiniteit is niet aan de SVB voorbijgegaan, maar volgens de organisatie is er geen onafhankelijk Europees cloud-alternatief op de benodigde schaal. ‘Daarom onderschrijft de SVB de Nederlandse Digitaliseringsstrategie en steunen we de ambitie om te werken aan een soevereine cloudoplossing voor overheid en bedrijfsleven,’ aldus de woordvoerder.

Waarom is het een probleem dat een groot deel van Nederland inmiddels leunt op Amerikaanse cloudbedrijven? De Amerikaanse president kan de digitale afhankelijkheid van Europa gebruiken als pressiemiddel om zijn zin te krijgen, bijvoorbeeld door het opleggen van sancties aan landen die zich verzetten tegen een Amerikaanse inval op Groenland. Dit zou betekenen dat Amerikaanse bedrijven, zoals Microsoft, niet meer met deze landen mogen zakendoen.

Daarnaast maakt Amerikaanse wetgeving het de eigen overheid onder voorwaarden mogelijk om data die zijn gestald bij Amerikaanse cloudbedrijven in te zien. Het is bijvoorbeeld niet handig om je geheime overleg over Groenland te houden in Microsoft Teams. Ook hebben organisaties die zich afhankelijk maken van een multinational weinig te vertellen over de voorwaarden en prijs waaronder ze de dienstverlening afnemen en is het vaak moeilijk om data weer úit een cloudomgeving te krijgen.

Geld en beleidskaders

Hebben uitvoeringsorganisaties een alternatief? Eén van de enterprise architecten die tussen 2021 en 2024 meewerkte aan de overstap naar de cloud bij de SVB, Ronald Kunenborg, merkt op LinkedIn op: ‘[…]niet moderniseren was en is veel onveiliger. Er overlijden gewoon mensen aan lekkende informatiesystemen waarbij de informatie terechtkomt bij stalkende exen, leden van de groep rond Taghi, of buitenlandse mogendheden met bijzondere interesse in dissidenten. Daar moet iets aan gebeuren en dat is heel wat acuter dan de tot nu toe academische politieke problematiek.’

Ook hij ziet liever vandaag dan morgen dat er een Europees alternatief komt, of een Europese soevereine cloud van Amerikaanse techbedrijven waar de Amerikaanse overheid écht niet bij kan. ‘De uitvoeringsorganisaties zijn echter de laatste partij die je hierin aan kan spreken. Die hebben het te doen met het geld wat beschikbaar wordt gesteld, binnen de beleidskaders die ze krijgen opgelegd.’

De SVB heeft beheersmaatregelen genomen om het risico op onbevoegde toegang tot gegevens in de Amerikaanse cloud zo klein mogelijk te maken, aldus de woordvoerder. De opslag en verwerking van de data uitsluitend plaats in de EU/EER, data worden versleuteld, de toegangsbeveiliging is zeer streng geregeld, de systemen worden continu gemonitord en er vindt periodiek een evaluatie plaats op de naleving van deze maatregelen.

Debat aangevraagd

Vooralsnog staat de SVB nog steeds op het overzicht dat Bert Hubert maakte, van organisaties die voor hun primaire missie afhankelijk zijn van Amerikaanse clouds en waarvan de samenleving het beslist merkt als ze hun werk niet meer kunnen doen, van het UWV en de RDW tot alle grote banken en woningcorporaties. Hubert baseert zich op een gearchiveerde vacature en anonieme direct betrokkenen.

Tweede Kamerlid Kathmann heeft inmiddels een Kamerdebat aangevraagd. Ze wil bewerkstelligen dat er een onmiddellijke stop komt op nieuwe en lopende migraties naar Amerikaanse cloudomgevingen. Ook wil ze dat al gemigreerde overheidsorganisaties onmiddellijk een exitplan opstellen. D66-Kamerlid Sarah El Boujdaini schrijft dat er mondeling vragen zijn aangemeld voor het vragenuur op dinsdag 20 januari.

Opvolger van Atos

De SVB zat in 2024 met een potentieel probleem toen het Franse Atos dreigde failliet te gaan. Dat faillisement werd afgewend, maar omdat de grenzen van het contract met Atos zijn bereikt, is de SVB op zoek naar een leverancier die het beheer van de IT-infrastructuur overneemt. Daarvoor is het project Sourcing IT-infrastructuur in het leven geroepen. Het Adviescollege ICT-toetsing waarschuwde in december 2025 dat de SVB te veel eieren in één mandje legt door volledig op één toekomstige leverancier te vertrouwen. Dit jaar wordt bekend wie de opvolger van Atos wordt.