Is uitwisseling van gegevens met Belastingdienst nog wel AVG proof?

5 oktober 2025 7 Min lezen

De Belastingdienst heeft besloten zijn e-maildiensten onder te brengen bij Microsoft 365. Wat klinkt als een puur technisch besluit, is in werkelijkheid een keuze met grote gevolgen. Het raakt aan onze privacy, digitale soevereiniteit en vertrouwen in de overheid. Microsoft is een Amerikaans bedrijf en valt onder de CLOUD Act. Dat betekent dat de Amerikaanse overheid in theorie toegang kan eisen tot gegevens van de Belastingdienst — zelfs als die data op servers in Europa staan. Daarmee komt de bescherming van miljoenen Nederlanders direct in het geding.

Of uitwisseling van gegevens met de Belastingdienst nog wel AVG proof is hangt mede af welke data de Belastingdienst op gaat slaan bij Microsoft, via de email is het in ieder geval zeer twijfelachtig.

Een bijzondere en zorgwekkende keuze

Dit besluit komt op een moment dat Europa juist steeds sterker inzet op digitale onafhankelijkheid. Projecten als GAIA-X en nationale vertrouwensclouds in Frankrijk en Duitsland moeten de afhankelijkheid van Amerikaanse techbedrijven terugdringen.

Tegelijkertijd laat de Amerikaanse regering zich steeds dubieuzer zien:
– democratische principes onder druk,
– rechten die worden teruggedraaid,
– internationale samenwerking die wankel staat.

In zo’n context kiest Nederland er dus voor om cruciale staatsdata onder te brengen bij een Amerikaanse grootmacht. Het is een keuze die haaks staat op de Europese koers en ons kwetsbaarder maakt.

Microsoft 365: gemak én dataverzamelaar

Voor organisaties in de kinderopvangsector is dit een belangrijke waarschuwing. Microsoft 365 is handig, maar het is óók een datagrabber.

– Er worden grote hoeveelheden gegevens verzameld, vaak zonder volledige transparantie.
– Het is niet altijd duidelijk waar data belanden en wie er toegang toe heeft.
– De Autoriteit Persoonsgegevens (AP) heeft de Belastingdienst al meerdere keren op de vingers getikt voor AVG-overtredingen en ingegrepen bij systemen die privacywetgeving schonden. Juist daarom is het opmerkelijk dat dezelfde Belastingdienst nu kiest voor een oplossing die opnieuw zulke vragen oproept.

De AP is niet de enige. Ook Europese en Duitse toezichthouders hebben eerder al uitgesproken dat Microsoft 365 risico’s kent voor de AVG.

De CLOUD Act en Schrems II

De Nederlandse NCSC (Nationaal Cyber Security Centrum van de Rijksoverheid) waarschuwt in haar publicaties dat het voor organisaties vrijwel onmogelijk is om volledig inzicht te hebben in de extraterritoriale invloeden bij Amerikaanse cloudaanbieders. Met andere woorden: zelfs als je denkt dat je data veilig in Europa staan, kan de Amerikaanse overheid er nog bij.

Daar komt nog bij dat het Schrems II-arrest van het Europees Hof van Justitie bepaalde dat Amerikaanse wetgeving (zoals surveillance onder FISA 702) onvoldoende bescherming biedt voor Europese burgers. Sindsdien is duidelijk dat doorgifte naar de VS of Amerikaanse partijen alleen kan met zeer strenge extra waarborgen.

Dat maakt de keuze voor Microsoft 365 extra risicovol en bijzonder dat de ene overheidsdienst de adviezen van een andere overheidsdienst negeert.

De CIO van het Rijk over open source

De Nederlandse overheid heeft officieel het principe “Open, tenzij” omarmd: software die de overheid ontwikkelt of gebruikt moet open source zijn, tenzij er zwaarwegende redenen zijn om daarvan af te wijken.

Art de Blaauw, CIO Rijk, benadrukte recent in de context van het project OpenDesk dat open source niet alleen een technische keuze is, maar ook een strategische stap richting digitale soevereiniteit. Volgens De Blaauw moet de overheid zelf grip houden op haar digitale infrastructuur en niet volledig afhankelijk zijn van Amerikaanse leveranciers zoals Microsoft.

OpenDesk; een open source kantooromgeving die wordt ontwikkeld voor de Rijksoverheid; wordt gepresenteerd als een mogelijk alternatief voor Microsoft 365. Het sluit aan bij eerdere lessen rond open standaarden (zoals de keuze voor ODF) en onderstreept dat de discussie over onafhankelijkheid en duurzaamheid in IT al jaren speelt.

Vendor lock-in: de fuik van Big Tech

Een ander probleem is vendor lock-in. Eenmaal volledig geïntegreerd in Microsoft 365 is teruggaan naar een Europese of eigen oplossing vrijwel onmogelijk. De kosten en afhankelijkheid lopen alleen maar op, terwijl de speelruimte verdwijnt.

Een digitale capitulatie

De keuze van de Belastingdienst is meer dan een IT-besluit. Het is een digitale capitulatie op een moment dat Europa juist onafhankelijker wil worden van de VS. Terwijl de Amerikaanse regering rechten afbouwt en internationaal dubieus handelt, maakt Nederland zich willens en wetens afhankelijker van Amerikaanse wetgeving en Big Tech.

Voor de kinderopvangsector is de les duidelijk: wees kritisch bij de keuze van software. Microsoft 365 mag dan makkelijk zijn, maar het brengt forse privacyrisico’s met zich mee. De vraag is simpel: beschermen we de gegevens van kinderen en ouders écht, of lopen we net als de Belastingdienst achter de kudde aan als makke schapen richting de slachtbank?

Van .doc naar ODF – lessen uit het verleden

In de jaren 2000 ontstond er binnen overheden en internationale organisaties een groot debat over de monopoliepositie van Microsoft Office en het gebruik van het eigen bestandsformaat .doc. Dit formaat was gesloten en volledig in handen van Microsoft. Daardoor liepen gebruikers (en met name overheden) het risico dat zij voor altijd afhankelijk zouden blijven van de software en licenties van één Amerikaanse leverancier.

Om dit te doorbreken, werd in 2006 het Open Document Format (ODF) officieel gestandaardiseerd (ISO/IEC 26300). ODF werd ontwikkeld als een open, leverancier-onafhankelijk bestandsformaat voor tekstdocumenten, spreadsheets en presentaties. Het idee was helder:

Voorkomen van lock-in: documenten moesten in de toekomst altijd te openen zijn, ongeacht welke software gebruikt werd.

Concurrentie bevorderen: leveranciers als LibreOffice, OpenOffice en Google Docs konden met hetzelfde formaat werken.

Digitale duurzaamheid: ook over tientallen jaren zouden documenten nog bruikbaar moeten zijn, zonder afhankelijkheid van één bedrijf.

Nederland sloot zich hier destijds nadrukkelijk bij aan. Het toenmalige beleid “Open standaarden, tenzij…” schreef voor dat overheidsdocumenten in ODF moesten worden opgeslagen en uitgewisseld. Het was een expliciet politiek signaal tegen de monopoliepositie van Microsoft en vóór duurzame, open standaarden.

Wat leren we hiervan?

De stap naar ODF liet zien dat overheden destijds al de moed hadden om afstand te nemen van een gesloten ecosysteem, juist om soevereiniteit en toekomstbestendigheid te waarborgen. Het roept de vraag op waarom diezelfde alertheid en vasthoudendheid nu ontbreekt bij de keuze voor Microsoft 365, zeker met de kennis die nu aanwezig is.

Toelichting

CLOUD Act & extraterritoriale toegang
De Amerikaanse CLOUD Act staat dat Amerikaanse autoriteiten data kunnen opvragen bij Amerikaanse bedrijven, zelfs als de data buiten de VS staan. Dat maakt dat ook Europese gebruikers en overheden bloot kunnen staan aan Amerikaanse greep.
Schrems II & ongeschikte waarborgen
Het Europees Hof oordeelde in de Schrems II-uitspraak dat surveillancepraktijken van de VS (onder o.a. FISA Section 702) niet voldoende rechtsbescherming bieden voor EU-burgers. De bescherming die de VS biedt, voldoet niet aan de standaard die de AVG verlangt. Na het Schrems II-arrest publiceerde de EDPB concrete aanbevelingen voor ‘supplementary measures’ (technisch/contractueel/organisatorisch) bij transfers naar derde landen. Dit is precies relevant als je Microsoft 365 gebruikt met (potentiële) toegang onder Amerikaanse wetgeving.
Verwijdering van privacy-functies door Microsoft
Microsoft kondigde het verwijderen van bepaalde privacytools aan, wat leidde tot kritiek dat dit de bescherming van gebruikers verslechtert.
‘Recall’ functie van Microsoft / AI screenshot-functionaliteit
Bij de nieuwe AI / Copilot-features heeft Microsoft de “Recall” functie aangekondigd die periodiek screenshots van het scherm maakt om eerdere activiteiten gemakkelijk terug te vinden. Experts waarschuwen dat dit grote privacyrisico’s kent.
Kritiek op beveiligingscultuur binnen Microsoft / nationale veiligheid
Microsoft wordt door sommige voormalige Amerikaanse functionarissen als zodanig verweven geacht met kritieke infrastructuur dat het een “nationaal veiligheidsprobleem” wordt genoemd. Ook critici wijzen op Microsofts cultuur van “obfuscation” in cloudveiligheid , hoe open men is over wat er achter de schermen gebeurt.
Europees wantrouwen tegenover Amerikaanse clouds
Europa begint publieke en politieke terughoudendheid te tonen tegen het verplaatsen van overheidsdata naar Amerikaanse clouddiensten. In tech-publicaties wordt gesignaleerd dat steeds vaker wordt gezegd: “It is no longer safe to move our governments … to US clouds.”
Onvolwaardige toezeggingen in EU-VS datadeals
Eerdere dataovereenkomsten tussen de EU en de VS (zoals het Data Privacy Framework) staan onder vuur omdat toezeggingen over privacybescherming vaak niet worden nagekomen.
EDPS: EU-Commissie schond regels met Microsoft 365
De Europese toezichthouder voor EU-instellingen (EDPS) oordeelde in 2024 dat het Microsoft-gebruik van de Europese Commissie diverse kernregels overtrad; de EDPS gelastte o.a. opschorten van dataflows naar buiten de EER die niet onder een adequaatheidsbesluit vallen. (Later meldde EDPS in 2025 dat de Commissie na ingrijpen weer compliant is.)
Duitse privacyautoriteiten (DSK): herhaalde kritiek op Microsoft 365
De Duitse conferentie van toezichthouders publiceert resoluties/leidraden en heeft M365 meermaals kritisch beoordeeld (o.a. over onduidelijke datastromen/telemetrie; in de onderwijscontext leidde dit tot bans/afwijzingen).
NCSC (NL) over CLOUD Act-risico’s
De Nederlandse NCSC (Nationaal Cyber Security Centrum van de Rijksoverheid) wijst er uitdrukkelijk op dat het moeilijk is voor verwerkingsverantwoordelijken om extraterritoriale invloeden (zoals de CLOUD Act) betrouwbaar te doorgronden bij clouddiensten in Europa.
Microsoft blokkeert e-mail ICC-hoofdaanklager
In 2025 werd de toegang tot de M365-mailbox van Karim Khan (ICC) geblokkeerd in het kader van Amerikaanse sancties; dit riep direct vragen op in NL over digitale soevereiniteit en de kwetsbaarheid van overheden die leunen op Amerikaanse clouds.
Implicatie voor NL-overheid/kinderopvang: Zonder aantoonbare ‘supplementary measures’ (encryptie met eigen/EU-sleutels, strikte datalokalisatie & sub-verwerkers, contractuele ring-fencing, DPIA/audits), kun je AVG-bestendigheid niet hard makenen vendor lock-in maakt bijsturen later moeilijk.

Bronnen
– NCSC (Cloud Act memo): https://www.ncsc.nl/binaries/ncsc/documenten/publicaties/2022/augustus/16/cloud-act-memo/Cloud%2BAct%2BMemo%2BFinal.pdf
– NCSC (Cloud Act Requests rapportage): https://www.ncsc.nl/binaries/ncsc/documenten/rapporten/2022/november/23/cloud-act-requests/Cloud%2BAct%2BRequests.pdf
– NCSC weblog “De werking van de Cloud Act bij dataopslag in Europa”: https://www.ncsc.nl/actueel/weblog/weblog/2022/de-werking-van-de-cloud-act-bij-dataopslag-in-europa
– NCSC weblog “Kleine kans dat Amerikaanse overheid toegang krijgt tot Europese gegevens”: https://www.ncsc.nl/actueel/weblog/weblog/2022/kleine-kans-dat-amerikaanse-overheid-toegang-krijgt-tot-europese-gegevens-op-basis-van-de-cloud-act
– EDPS (inbreuk Microsoft 365 door EU-Commissie): https://edps.europa.eu/press-publications/press-news/press-releases/2024/european-commissions-use-microsoft-365-infringes-data-protection-law-eu-institutions-and-bodies_en
– Duitse toezichthouder (DSK) kritiek op Microsoft 365: https://www.datenschutzkonferenz-online.de/media/resolutions/2020_07_02_position-paper-microsoft-office-365.pdf
– NOS-artikel over Belastingdienst → Microsoft: https://nos.nl/artikel/2584877-belastingdienst-verplaatst-mail-naar-microsoft-ondanks-zorgen-over-meekijken-vs
– BNR (kritische analyse overstap): https://www.bnr.nl/nieuws/tech-innovatie/10584212/belastingdienst-maakt-pikante-overstap-naar-microsoft
– Euronews: Deense steden stappen af van Microsoft: https://www.euronews.com/next/2025/06/12/two-city-governments-in-denmark-are-moving-away-from-microsoft-amid-trump-and-us-big-tech-
– Heise (EU-Commissie onderzoekt overstap naar OVHcloud): https://www.heise.de/en/news/Sovereignty-EU-Commission-flirts-with-replacing-Microsoft-s-Azure-cloud-10454853.html

Tags:

Cookie	Duur	Beschrijving
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Cookie	Duur	Beschrijving
_ga	session	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_*	1 year 1 month 4 days	Google Analytics sets this cookie to store and count page views.
_ga_QJ3CEG9M0B	2 years	This cookie is installed by Google Analytics.
_gat_gtag_UA_*	1 minute	Google Analytics sets this cookie to store a unique user ID.
_gat_gtag_UA_174313809_1	session	Set by Google to distinguish users.
_gid	session	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Duur	Beschrijving
__wpdm_client	session	No description
Captcha	session	No description available.

Is uitwisseling van gegevens met Belastingdienst nog wel AVG proof?

Een bijzondere en zorgwekkende keuze

Microsoft 365: gemak én dataverzamelaar

De CLOUD Act en Schrems II

De CIO van het Rijk over open source

Vendor lock-in: de fuik van Big Tech

Een digitale capitulatie

Van .doc naar ODF – lessen uit het verleden

Toelichting

Tags:

Kinderopvang-Wijzer

Andere artikelen

D’Uppies Geleen B.V.

Het Tuinhuis Gouderak