Adviescollege ICT: M365-cloudoplossing Belastingdienst ongeschikt
Het Adviescollege ICT-toetsing (AcICT) heeft in een uiterst kritisch rapport geadviseerd om de uitrol van Microsoft 365 in de publieke cloud bij de Belastingdienst onmiddellijk stop te zetten en voor de reeds gemigreerde medewerkers volledig terug te draaien. Volgens het college is de gekozen cloudoplossing niet geschikt, schiet de informatiebeveiliging ernstig tekort en dreigt een onacceptabele vendor lock-in bij de Amerikaanse techreus. Het advies is gericht aan staatssecretaris E. Eerenberg (Financiën).
De Belastingdienst, de Douane en de Dienst Toeslagen begonnen in 2021 met het programma 'Uitrol M365' om een moderne, cloudgebaseerde werkomgeving (met o.a. Outlook, Teams en OneDrive) te realiseren voor circa 47.000 medewerkers. De totale kosten van het overkoepelende traject werden destijds geschat op 97,5 miljoen euro. Begin 2026 werd de uitrol bij de eerste 5.000 medewerkers al tijdelijk gepauzeerd vanwege het ontbreken van trainingen en back-upvoorzieningen. Nu oordeelt het Adviescollege dat het project fundamenteel fout is aangepakt.
Ernstige gaten in de informatiebeveiliging
De belangrijkste conclusie van het AcICT is dat de inrichting van de Microsoft-omgeving grote risico's met zich meebrengt voor de vertrouwelijkheid van gegevens van burgers en bedrijven. Het college stelt vast dat:
Complexe classificatie: De methode om data te labelen is te complex en foutgevoelig. Hierdoor kan 'zeer vertrouwelijke' informatie onbedoeld in de publieke cloud belanden.
Amerikaanse servers: Gevoelige documenten uit de samenwerkomgeving worden via Amerikaanse servers verstuurd, en e-mailverkeer loopt via het openbare internet in plaats van beveiligde overheidsnetwerken.
Gebrekkige encryptie: De Belastingdienst past geen sterke versleuteling toe (zoals Double Key Encryption) voor gevoelige gegevens en maakt slechts gebruik van standaard Microsoft-beveiliging. Ook staat end-to-endversleuteling in Teams-gesprekken niet standaard aan.
Falende back-up: De back-upvoorziening schiet ernstig tekort. Gecrashte of versleutelde bestanden kunnen niet buiten Microsoft 365 worden hersteld, en tijdens basale tests faalde de back-upsoftware al bij lege mappen.
Omdat alle data, back-ups en archieven binnen dezelfde cloudomgeving van één leverancier staan, is de continuïteit bij een storing of abrupt wegvallen van de dienstverlening niet gewaarborgd. Bovendien kunnen kritieke onderdelen zoals de FIOD, die met zeer gevoelige opsporingsdata werken, sowieso geen gebruik maken van M365.
'Tussenoplossing' zonder businesscase of exit-strategie
Het college uit ook harde kritiek op de strategische en financiële sturing. De Belastingdienst beschouwt M365 in de publieke cloud als een 'tussenoplossing' in afwachting van een meer soevereine, Europese cloudomgeving. Er is echter geen onderbouwde businesscase die deze enorme investering rechtvaardigt, en een werkbare exit-strategie ontbreekt. Omdat de oude IT-omgeving (op basis van HCL-Verse en netwerkschijven) voorlopig naast de cloudomgeving in de lucht moet blijven, stijgt de beheerlast juist fors.
Daarnaast is de sturing op de kosten onmogelijk. Van het specifieke uitrolbudget (14,4 miljoen euro) was begin 2026 al 9,3 miljoen euro uitgegeven aan externe inhuur. De kosten voor eigen personeel en de reeds aangeschafte licenties zijn echter volledig buiten de programmabudgetten gehouden, waardoor er geen enkel zicht is op de totale uitgaven. Het programma werd onterecht ingestoken als een simpel 'migratietraject', terwijl het in feite gaat om een ingrijpende organisatietransformatie.
Harde adviezen: Keuzes voor eind 2026
Het Adviescollege ICT-toetsing eist dat de Belastingdienst de cloud-inrichting fundamenteel herziet en formuleert drie harde adviezen:
Draai de uitrol onmiddellijk terug en breng medewerkers terug naar een veilige omgeving. Beperk het gebruik van Microsoft EntraID strikt om datalekken en verdere afhankelijkheid te voorkomen.
Maak uiterlijk eind 2026 strategische keuzes voor een meerjarig groeipad naar een veilige, digitaal soevereine werkomgeving. Stap af van de 'best-of-suite'-gedachte (alles bij één leverancier) en werk per functionaliteit (e-mail, opslag, chat) alternatieven uit.
Richt een volwaardig transformatieprogramma in met een sluitende businesscase, centrale budgetcontrole en een helder risicobeheer.
Oproep tot centraal overheidsbeleid
Tot slot trekt het college de conclusie breder. De Belastingdienst staat niet alleen in deze cloud-problematiek. Het AcICT adviseert de staatssecretaris van Financiën om met spoed rond de tafel te gaan met de staatssecretaris van Digitale Economie en Soevereiniteit en de staatssecretaris van Koninkrijksrelaties en Slagvaardige Overheid. Er moet onder centrale regie een eenduidig, rijksbreed overheidsbeleid komen voor cloud-implementaties, zodat de gehele Nederlandse overheid veilige en digitaal autonome werkomgevingen kan ontwikkelen.