AI en Quantum vragen om herijking van Nederlands beleid voor digitale soevereiniteit

De recente beleidsstukken rondom digitalisering, AI en quantum schetsen gezamenlijk een prikkelend maar urgent beeld: Nederland bevindt zich in een technologisch tijdperk waarin zowel kansen als kwetsbaarheden exponentieel toenemen.

Het Algemene Rekenkamer rapport Focus op quantum bij de rijksoverheid laat zien dat de dreiging van quantumcomputers voor de nationale informatiebeveiliging aanzienlijk is. Quantumcomputers zullen uiteindelijk sterk genoeg zijn om de digitale sloten en codes van vandaag binnen luttele seconden te breken, waardoor de basis van onze digitale veiligheid verdwijnt. Dit komt doordat quantumcomputers ingewikkelde rekensommen veel sneller kunnen oplossen dan huidige computers, waardoor de digitale beveiliging waarop we nu vertrouwen kan worden opengebroken. Voor de overheid en burgers betekent dit dat persoonlijke gegevens, digitale identiteit en online diensten onveiliger worden als systemen niet op tijd worden aangepast.

De Algemene Rekenkamer stelt daarbij vast dat 71% van de onderzochte rijksoverheidsorganisaties nog niet is begonnen met de migratie naar postquantum cryptografie (PQC), nieuwe digitale beveiliging die ook veilig blijft als er in de toekomst extreem krachtige quantumcomputers bestaan. Dit ondanks de mogelijkheid dat een zogenoemde Q-day, het moment waarop voldoende krachtige quantumcomputers beschikbaar komen om gangbare cryptografie te breken, al rond 2030 kan plaatsvinden. Deze constatering legt een wezenlijk probleem bloot: het ontbreekt aan operationele voorbereiding, gezamenlijke kaders en bestuurlijke aansturing om deze dreiging het hoofd te bieden, zoals aangegeven in het stuk van Ewout Irrgang in deze Hofvijver.

Structureel kwetsbare positie

Parallel daaraan maakt de eerder verschenen Nederlandse Digitaliseringsstrategie (NDS) duidelijk dat de overheid zich in een structureel kwetsbare positie bevindt. De strategie benoemt dat Nederland te afhankelijk is van een klein aantal internationale cloudleveranciers en dat essentiële gegevens en diensten in de toekomst niet langer in publieke cloudomgevingen thuishoren. De NDS voorziet in de noodzaak van een overheidsbrede soevereine clouddienst, een centrale marktplaats voor cloudtechnologie en bindende standaarden voor datadeling via een federatief datastelsel. De strategie benadrukt bovendien dat digitale autonomie alleen kan worden bereikt wanneer de overheid gezamenlijk optrekt en standaarden niet langer vrijblijvend zijn. Daarmee biedt de NDS een duidelijke richting, maar nog geen uitgewerkte instrumenten om de noodzakelijke versnelling aan te jagen. Daarbovenop komt dat steeds meer Nederlandse digitale diensten, zoals DigiD en delen van de Belastingdienst en de NS, in Amerikaanse handen komen.

Ook het Nationaal AI Deltaplan, dat eind november 2025 gepresenteerd werd en input van meer dan zestig experts uit wetenschap, bedrijfsleven, overheid en maatschappelijk middenveld bevat, toont aan hoe urgent en structureel de onderliggende afhankelijkheden zijn. Waar Europa slechts ongeveer 5% van de wereldwijde AI-rekenkracht bezit tegenover ongeveer 75% in de Verenigde Staten, dreigt Nederland achterop te raken in de ontwikkeling en toepassing van AI. De supercomputer Snellius telt slechts 640 GPU’s, zogenaamde Graphics Processing Units, ook wel grafische processors, terwijl internationale aanbieders zoals OpenAI over ruim een miljoen GPU’s beschikken en nieuwe datacentra bouwen met elk 500.000 nieuwe generatie chips. Het Deltaplan stelt daarom voor om een nationaal AI-rekenkrachtplan op te stellen, AI-rekenzones (geografisch afgebakende gebieden waar rekenkracht gecentreerd is) aan te wijzen en massaal te investeren in energie-infrastructuur en technisch personeel. Deze voorstellen zijn essentieel om Europese en Nederlandse autonomie op het gebied van AI te versterken, maar ook hier geldt dat zonder centrale bestuurlijke verantwoordelijkheid versnippering op de loer ligt.

Toekomstbestendig beleid

Gezamenlijk tonen deze drie documenten dat Nederland dringend behoefte heeft aan een beleidsmatige herijking. De drie domeinen, digitale veiligheid, AI en quantum, raken aan één onderliggende infrastructuur. Op dit moment worden de vraagstukken echter verspreid opgepakt. De Rekenkamer wijst daarbij terecht op het risico dat het ontbreken van samenhangende aansturing ertoe leidt dat organisaties wachten op elkaar of prioriteit geven aan andere, meer acute dreigingen. Deze fragmentatie belemmert zowel effectiviteit als voortgang.

Een toekomstbestendige beleidsrichting vraagt daarom om een gezamenlijk fundament, waarbij drie lijnen in het bijzonder beleidsaandacht verdienen. Allereerst is het nodig dat de overheid PQC‑migratie niet langer aan de vrijwillige inzet van afzonderlijke organisaties overlaat. Quantumcomputers zullen op termijn in staat zijn om veel van de huidige, veelgebruikte cryptografische algoritmen te breken, waardoor vertrouwelijkheid, authenticiteit en rechtszekerheid van digitale overheidsdiensten onder druk komen te staan.

Klaar voor Q-day

De tijdshorizon tot Q‑day is onzeker, maar de migratie naar quantumveilige cryptografie vergt meerdere jaren en raakt cruciale infrastructuur zoals DigiD, paspoortvalidatie en andere vitale systemen. Daarbij geldt dat gevoelige informatie nu al kan worden onderschept en opgeslagen om later, met quantumcapaciteit, alsnog te worden ontsleuteld. Uitstel vergroot daarmee structurele risico’s.

Een wettelijke verankering van verplichtingen en een rijksbreed operationeel migratieplan zijn daarom logisch en noodzakelijk, temeer omdat een groot deel van de gebruikte cryptografie niet in eigen beheer is, maar is ingebed in externe producten en diensten. Het gaat daarbij om standaardsoftware, cloud‑ en identiteitsdiensten, netwerkapparatuur, hardware‑securitymodules, certificaatdiensten en andere door leveranciers beheerde onderdelen van de digitale keten. Voor een tijdige, samenhangende en efficiënte overgang naar quantumveilige cryptografie zijn gezamenlijke leveranciersafspraken dan ook essentieel.

De Rekenkamer benadrukt dat dergelijke afspraken momenteel nauwelijks plaatsvinden, terwijl leveranciers juist een sleutelrol vervullen bij ontwerpkeuzes, updatecycli en de feitelijke implementatie van quantumveilige oplossingen.

Daarnaast vraagt digitale soevereiniteit om structurele investeringen in publieke infrastructuur: cloud, data en rekenkracht. De NDS legt hiervoor een goed beleidsmatig kader neer, met de ambitie voor een soevereine rijkscloud, bindende datastandaarden en een overheidsbrede aanpak voor digitale weerbaarheid en autonomie. Het AI Deltaplan schetst vervolgens hoe Nederland op het gebied van rekenkracht een strategische achterstand kan ombuigen door het ontwikkelen van AI-rekenzones, ruimtelijke prioriteit voor datacenters en een forse opschaling van technisch personeel. Wanneer deze lijnen worden gecombineerd, ontstaat de contour van een nationale digitale onderlaag die publiek gestuurd is, veerkrachtig, duurzaam en minder afhankelijk van buitenlandse technologie.

Weerbare en democratisch verantwoorde toekomst

Tot slot is er behoefte aan een geïntegreerde governance-structuur. Zowel de NDS als het AI Deltaplan stellen voor om nieuwe coördinerende organen op te richten, variërend van een NDS-raad (die reeds is opgericht), tot een Rijksdienst voor AI-strategie. Het gevaar bestaat dat dergelijke structuren naast elkaar gaan functioneren in plaats van elkaar te versterken. Een rijksbrede uitvoeringsarchitectuur, die digitale veiligheid (inclusief PQC), AI-beleid, en digitale infrastructuur samenbrengt, zou de noodzakelijke helderheid scheppen.

Wat ons betreft moet het advies hierover zijn van een AI-Raad, zoals reeds door de Kamer bij motie is geëist.¹⁾ Deze reeds bestaande raad moet mandaat (lees: Koninklijke benoeming) en budget krijgen om de Regering en de Staten-Generaal gevraagd en ongevraagd advies te geven over deze thema’s, maar ook om de governance-structuur van bestaande initiatieven, raden en publicaties te stroomlijnen. Digitale soevereiniteit en digitale veiligheid moeten daarnaast prioriteit krijgen op de agenda van de AI-Raad. Het wachten is echter op de regering in dezen.

Nederland mist, het geheel overziend, nog een integrale uitvoeringskracht die nodig is in een tijdperk van versnelling en mondiale competitie. Een herijking van ons digitaliseringsbeleid, waarin PQC-migratie, soevereine digitale infrastructuur en geïntegreerde governance centraal staan, is geen luxe maar een voorwaarde voor een weerbare en democratisch verantwoorde digitale toekomst. Daarmee kan de overheid het tempo van technologische ontwikkelingen bijbenen en tegelijkertijd de publieke waarden beschermen die in een digitale samenleving onder druk staan.

Barbara Kathmann (GroenLinks-PvdA/Progressief Nederland) is Tweede Kamerlid met een focus op digitaliseringsbeleid, technologische weerbaarheid en de publieke besturing van AI en quantum. Esther van Egerschot (Chief AI Governance Officer bij Board Sovereignty) is buitengewoon hoogleraar op het gebied van AI-governance en co-auteur van het boek “Toezicht houden in het AI-tijdperk”.

• 1) 

  Zie de aangenomen moties:

21501-33 nr. 1041: https://www.tweedekamer.nl/kamerstukken/moties/detail?id=2023Z17677&did=2023D42887

26643 nr. 1075: https://www.tweedekamer.nl/kamerstukken/moties/detail?id=2023Z17682&did=2023D42892

26643 nr. 1403: https://www.tweedekamer.nl/kamerstukken/moties/detail?id=2025Z18071&did=2025D42241