Wat informatieafhankelijkheid Nederland echt kost — een toetsing van Aslanders onderzoekskaart

De pagina informatieautonomie.nl/kosten.html van Martijn Aslander is sterk als strategische probleemanalyse en agenderend risicodocument, maar nog niet sterk genoeg als auditwaardige kostenstudie of harde businesscase. De kernthese, Nederland heeft niet primair een ICT-budgetprobleem maar een eigendoms-, kennis- en afhankelijkheidsprobleem, is inhoudelijk scherp en bestuurlijk relevant.

De onderbouwing bevat een mix van harde cijfers, extrapolaties, scenario's en ruwe expertinschattingen. Die mix is bruikbaar voor debat, maar vraagt om betere scheiding tussen feiten, aannames, risico-exposure en werkelijk gerealiseerde schade. Aslander positioneert de pagina zelf ook als "onderzoekskaart" en "startpunt", niet als accountantsrapport, een transparantie die navolging verdient in een veld waar consultancy-rapporten hun methodologie zelden blootleggen.

Wat de analyse goed doet

De pagina kiest de juiste systeemlens. Ze kijkt niet alleen naar licentiekosten, maar naar vijf kostenlagen: directe ICT-kosten, productiviteitsverlies, faalkosten, ketenkosten en kennisverlies. Dat is precies de juiste manier om digitale afhankelijkheid te analyseren. Vendor lock-in is zelden alleen een inkoopprobleem, het is een accumulatie van contractuele beperkingen, gesloten dataformaten, verlies van interne kennis, ketenvervlechting en onvoldoende exit-capaciteit.

De pagina noemt voor het publieke domein een structurele jaarlijkse kostenbandbreedte van circa €28 tot €52 miljard, plus een tail-risk bandbreedte van €50 tot €200 miljard. Ter referentie: het totale Nederlandse onderwijsbudget is ongeveer €45 miljard per jaar.

Sterk is ook dat de pagina de economische schade niet reduceert tot "te dure software". De echte bestuursvraag is: wie kan besluiten, wijzigen, migreren, auditen, koppelen en herstellen zonder toestemming of capaciteit van derden? Dat raakt continuïteit, democratische controle, compliance, onderhandelingsmacht en uitvoeringsvermogen. Die zorg wordt breder ondersteund door institutionele bronnen. De Algemene Rekenkamer waarschuwde in 2025 dat het Rijk onvoldoende zicht heeft op cloudrisico's, dat bij 26 procent van de onderzochte cloudservices het type onbekend was, en dat voor 84 van 126 belangrijke publieke cloudservices geen risicoafweging beschikbaar was. Het Rathenau Instituut waarschuwt eveneens dat de samenleving grip kan verliezen op kernprocessen in onderwijs, zorg en publieke dienstverlening door afhankelijkheid van een klein aantal grote techbedrijven.

Ook positief: de pagina benoemt Nederlandse tegenvoorbeelden zoals EDSN, Wigo4it, IVO Rechtspraak, Haal Centraal en OpenZaak. Daarmee wordt het geen anti-leveranciersmanifest, maar een pleidooi voor publieke regie, open standaarden, herbruikbare bouwblokken en gedeelde infrastructuur. Dat is bestuurlijk belangrijk: het alternatief voor lock-in is niet "alles zelf bouwen", maar "eigenaarschap organiseren over data, architectuur, exit, standaarden en kritieke kennis".

Waar de kostenclaim kwetsbaar is

De grootste zwakte zit in de centrale bandbreedte van €28 tot €52 miljard. Die is plausibel als hypothese, maar niet hard genoeg als geverifieerd nationaal schadebedrag. De directe ICT-kosten zijn relatief goed verdedigbaar, omdat de onderbouwing concrete bedragen noemt voor onder meer Belastingdienst, Nationale Politie, UWV en DUO, en daarna extrapoleert naar gemeenten, zorg en overige publieke sectoren.

De post productiviteitsverlies is methodologisch het zwakst en tegelijk de grootste component. De pagina erkent dat zelf. De berekening gebruikt ongeveer 1,05 miljoen publieke FTE, een loonkostenbasis van circa €75.000 per FTE en een tijdverliesrange van 15 tot 25 procent. Bij 20 procent komt dat uit op circa €15,75 miljard. Het probleem: de gebruikte McKinsey-bron uit 2012 ging over tijdverlies door zoeken naar informatie en collega's, niet specifiek over Nederlandse publieke systeemfragmentatie of informatieafhankelijkheid. De eigen verantwoordingspagina nuanceert dat ook.

De tweede kwetsbaarheid is mogelijke dubbeltelling. Productiviteitsverlies, ketenkosten, kennisverlies en faalkosten kunnen elkaar overlappen. Een mislukte migratie veroorzaakt bijvoorbeeld herstelkosten, productiviteitsverlies, ketenvertraging en kennisverlies. Tel je die apart op zonder causale scheiding, dan kan dezelfde schade meermaals meetellen. Voor een bestuurs- of investeringscase moet dit worden gescheiden in vier categorieën:

1. Operationele verspilling, dagelijkse frictie door gefragmenteerde systemen
2. Incidentele faalkosten, mislukte projecten, noodmaatregelen, hersteloperaties
3. Structurele ketenfrictie, blijvende inefficiëntie tussen organisaties met onverenigbare systemen
4. Risico-exposure, potentiële schade bij systeemfalen, nog niet gerealiseerd

De derde kwetsbaarheid is de tail-risk post van €50 tot €200 miljard. Als scenarioanalyse is dit waardevol, vooral omdat pensioenmigraties, belastinginning, zorgcontinuïteit en justitieketens systeemkritisch zijn. Maar het is geen verwachte schade. Een claim als "5 tot 10 procent van pensioenvermogen geraakt" moet veel preciezer worden gemodelleerd, omdat een administratieve migratiefout niet automatisch gelijkstaat aan vermogensverlies. Beter is een model met kans, impact, detectietijd, herstelvermogen, juridische aansprakelijkheid, liquiditeitseffect, maatschappelijke schade en beheersmaatregelen.

Er zit ook een kleine maar symbolisch relevante rekenkwestie in de hoofdoptelling. De genoemde ondergrenzen van de vijf jaarlijkse posten, €8 miljard, €12 miljard, €2 miljard, €3 miljard en €2 miljard, tellen op tot €27 miljard, terwijl de pagina spreekt over €28 miljard als ondergrens. Dat is geen inhoudelijke showstopper, maar in een document dat brede publieke besluitvorming wil beïnvloeden, tast zo'n afronding de geloofwaardigheid onnodig aan.

Feitelijke correcties en juridische timing

De juridische context is terecht relevant, maar enkele tijdlijnen moeten scherper.

Regelgeving	Wat de pagina zegt	Wat correct is
NIS2 / Cyberbeveiligingswet	Te stellig over huidige handhaving	Europese omzettingsdeadline was oktober 2024, maar de Nederlandse implementatie loopt nog. De Tweede Kamer nam het wetsvoorstel aan op 15 april 2026; behandeling in de Eerste Kamer volgde. Beoogde inwerkingtreding Q2 2026, afhankelijk van parlementaire behandeling.
Data Act	Richting juist, precisie kan beter	Van toepassing vanaf 12 september 2025. Cloud-switching: overstapkosten mogen vanaf 12 januari 2027 niet meer worden opgelegd, met een overgangsregime daarvoor. De Data Act beperkt contractuele en technische belemmeringen, maar maakt niet elke vorm van lock-in automatisch onrechtmatig.
European Health Data Space (EHDS)	"Implementatie 2026 tot 2028", te kort door de bocht	Gepubliceerd maart 2025, in werking 26 maart 2025. Geldt gefaseerd: toepassing vanaf 26 maart 2027, belangrijke verplichtingen vanaf 2029 tot 2035.

Architectuurbeoordeling

De pagina is overtuigend wanneer ze informatieautonomie definieert als bestuurlijke en technische capaciteit om eigen informatie te bewaren, begrijpen, doorzoeken, exporteren en koppelen zonder externe toestemming. Dat is een goede definitie, omdat ze direct te vertalen is naar enterprise-architectuurprincipes: dataportabiliteit, open standaarden, exit-by-design, contractuele reversibiliteit, interne kennisborging en keteninteroperabiliteit.

De technische sectie is echter te optimistisch. De pagina suggereert dat veel systemen in de kern relatief simpel zijn, databases, schermen, API's, autorisatie en open source componenten. Dat klopt voor een proof of concept of beperkte domeintoepassing, maar niet voor publieke productieomgevingen met persoonsgegevens, ketenafhankelijkheden, archiefplicht, auditability, continuïteitseisen, toegankelijkheid, logging, incidentrespons en juridische verantwoording.

Voor gereguleerde publieke systemen moet de minimumlat hoger liggen. Denk aan BIO2, ISO 27001/27002, AVG, DPIA, Zero Trust, OAuth2/OIDC, token lifecycle management, least privilege, key management, SIEM/SOC-aansluiting, SBOM, SCA, CI/CD policy-as-code, logging, back-up, disaster recovery, exit-testen, dataretentie en ketenverantwoordelijkheid. Dit is het architecturele minimum dat ik eerder schetste in De soevereine noodzaak.

De passage over agentic AI is interessant, maar mist governance-frictie. AI kan ontwikkelwerk versnellen, documentatie verbeteren, legacy-analyse ondersteunen en migratiepaden genereren. Maar AI verlaagt niet automatisch de kosten van assurance. Integendeel: codegeneratie vergroot de noodzaak van threat modeling, secure SDLC, dependency scanning, model governance, menselijke review, testautomatisering, privacycontrole en supply-chain validatie. Mijn analyse van AI-controlemodellen voor de publieke sector laat zien dat het controlemodel per laag moet verschillen.

Bestuurlijke duiding

Deze pagina moet je lezen als een Board-level risk register, niet als definitieve begrotingsonderbouwing. De strategische risico's zijn reëel:

• Exit-falen: organisaties kunnen niet tijdig of veilig migreren door gesloten contracten, dataformaten of gebrek aan kennis.
• Kennisverlies: kritieke kennis zit bij leveranciers of tijdelijke externe teams, waardoor regie verdwijnt.
• Ketenfragiliteit: publieke processen lopen vast omdat organisaties individueel optimaliseren, maar ketens afhankelijk zijn van gedeelde definities, API's en governance.
• Compliance exposure: AVG, BIO2, NIS2/Cyberbeveiligingswet, archiefwetgeving en sectorale normen worden moeilijker aantoonbaar als organisaties hun eigen informatiehuishouding niet beheersen.
• Overcorrectie naar zelfbouw: de oplossing voor lock-in is niet massale maatwerkontwikkeling, maar selectieve publieke regie over kritieke lagen: data, identiteit, standaarden, koppelvlakken, logging, exit en kennis.

Volgens een BODEA-lens zit de kern zo: business outcomes zijn continuïteit, lagere frictiekosten en betere publieke dienstverlening; organisatie vraagt gebundelde vraagmacht en product ownership; data vraagt semantische standaardisatie en eigenaarschap; enterprise architecture vraagt open referentiearchitecturen; applications vragen modulaire, vervangbare componenten.

Volgens McKinsey 7S zit de grootste mismatch bij skills, systems en structure: de publieke sector koopt systemen in, maar heeft onvoldoende structurele capaciteit om architectuur, data en exit zelf te beheersen. Dit is precies het gat dat ik adresseerde in de Belastingdienst-analyse: autonomie als productiekwaliteit, niet als Kamerbriefthema. De Europe 2031 analyse bevestigde hetzelfde via de McKinsey 7S-lens op Europees niveau.

Wat ik zou aanscherpen

1. Transparante rekenbijlage op regelniveau. Per claim moet zichtbaar zijn: bron, jaartal, type bron, primaire verificatie ja of nee, rekenmethode, confidence score, overlaprisico en eigenaar van de aanname. De eigen verantwoordingspagina meldt dat 67 bevindingen zijn gecontroleerd, waarvan 52 primair bevestigd en 15 niet primair verifieerbaar. Dat is netjes transparant, maar het botst met de absolute formulering elders dat "alle getallen" zijn geverifieerd tegen primaire bronnen. Die formulering moet strakker.

2. Drie aparte dashboards in plaats van één geaggregeerde bandbreedte:

• Kostenrekening: daadwerkelijke jaarlijkse uitgaven, licenties, beheer, externe inhuur, migratiekosten, beheerlast
• Frictierekening: productiviteitsverlies, ketenvertraging, dubbele invoer, herstelwerk, foutcorrectie, wachttijden
• Risicorekening: scenario's met kans maal impact, inclusief continuïteit, juridische claims, maatschappelijke schade, herstelduur en reputatieschade

3. Expliciet build-buy-borrow-open source afwegingskader. Niet elk systeem moet publiek worden gebouwd. Wel moet elk systeem publiek bestuurbaar zijn. Minimumeisen: open standaarden, exporteerbare data, contractuele exit-rechten, escrow of continuïteitsvoorziening, API-first integratie, federatieve identiteit, onafhankelijke logging, auditable autorisaties, periodieke exit-test en interne product- en architectuurkennis. Dit is de kern van AI-soevereiniteit is geen cloudbeleid.

Eindconclusie

De pagina raakt een wezenlijk Nederlands bestuursprobleem: digitale afhankelijkheid is geen technische bijzaak, maar een strategisch risico voor uitvoeringskracht, rechtsstatelijkheid, continuïteit en publieke waarde. De denkrichting is sterk en urgent. De cijfers zijn bruikbaar als hypothese en mobiliserend kader, maar moeten worden behandeld als indicatieve bandbreedtes, niet als bewezen schadebedrag.

Voor besluitvorming: gebruik de pagina als prioriteringskaart voor informatieautonomie, vendor exit, publieke regie en ketenarchitectuur, maar bouw daarbovenop een strakke fact base met confidence scoring, dubbeltellingscontrole en juridische actualisatie. Het gesprek dat Aslander start is noodzakelijk. De volgende stap is van "onderzoekskaart" naar "afdwingbare architectuur". Daar ligt het werk.

---

Gebaseerd op: Martijn Aslander. "Geschatte maatschappelijke kosten", Informatieautonomie.nl. Geraadpleegd 13 juni 2026. De pagina is een lopend onderzoeksproject; de auteur verwelkomt correcties en aanvullende bronnen via de site.