Digitale autonomie en de uitbesteding applicatiediensten omzetbelasting door de Staat

Een reconstructie in vijf vragen EXPERTVERSLAG – Op 14 mei 2023 kondigden het ministerie van Financiën en het onderdeel de Belastingdienst ( [1]) de aanbesteding aan voor softwarediensten voor de omzetbelasting, een cruciaal proces voor het functioneren van de overheid. Op 6 november 2024 ging de voorlopige gunning naar het Amerikaanse Fast Enterprises, op 20 maart van vorig jaar gevolgd door de definitieve gunning. Daarmee rolde de bal naar een oplossing die op gespannen voet staat met het Europese streven naar digitale autonomie. Een reconstructie van die besluitvorming op basis van openbare bronnen en met aandacht voor de geopolitieke situatie. Nederland lijkt zich als medeoprichter van het European Digital Infrastructure Consortium (EDIC) te positioneren als voorloper op het vlak van Europese digitale autonomie. Of misschien toch niet? In een interview met NRC van 7 juli 2025 geven de algemeen directeur Informatievoorziening (IV) en de chief information officer (cio/concerndirectie IVenD) van de Belastingdienst aan dat ze ‘de autonome droom’ delen, maar vragen ze zich af of deze ‘binnen zes jaar’ is te realiseren, en wat ‘in de tussentijd’ te doen. Het zou niet realistisch zijn om simpelweg afscheid te nemen van clouddiensten, omdat goede alternatieven ontbreken. Dit terwijl op dat moment een politieke discussie speelt over de afhankelijkheid van cloudleveranciers en over de overstap van de Belastingdienst naar Microsoft Office Cloud-technologie waar de Tweede Kamer tegen heeft gestemd (en waartoe in december 2025 alsnog wordt besloten). En terwijl op hetzelfde moment Denemarken en Duitsland voorbereidingen treffen om daarvan afscheid te nemen. Ook wordt benoemd dat de belangrijkste systemen bij de Belastingdienst on-premises draaien, dus niet afhankelijk zijn van clouddiensten. Dit terwijl de Belastingdienst zojuist een project is gestart voor on-premises applicatiediensten voor de omzetbelasting (OB) met een Amerikaans bedrijf als leverancier, voor een maximale looptijd van twintig jaar en met een jaarlijkse waarde van negentien miljoen euro voor de eerste tien jaar. Dat betreft geen ondersteunend proces zoals kantoorautomatisering maar een kritisch bedrijfsproces. Circa 35 tot 40 procent van de belastingopbrengst komt uit de omzetbelasting. Oftewel, cruciaal voor het financieren van de overheid, inclusief zaken als veiligheid en defensie. Tactische afwegingen doorslaggevend voor ‘kopen’ Speelden strategische afwegingen überhaupt een rol bij de Make or Buy beslissing? Modernisering van de software voor de omzetbelasting staat al jaren op de agenda van het ministerie. Als algemeen geldende vuistregel geniet voor kritische (doorgaans primaire) bedrijfsprocessen met het oog op maximale zeggenschap over productiemiddelen ‘maken’ (Make) de voorkeur boven ‘kopen’ (Buy). Als dan continuïteit van dienstverlening in gevaar komt vanwege een tekort aan mensen en middelen of slechte performance van de eigen organisatie, dan komt ‘uitbesteden’ in beeld. Maar bij de voorbereiding van het besluit spelen niet deze strategische maar tactische overwegingen de hoofdrol. Het rapport ‘Maken of kopen’ van McKinsey (13 juni 2022) heeft kennelijk de hoofdrol gespeeld bij het maken van de uiteindelijke keuze voor kopen. De studie benoemt twee koopopties (pakketten), te weten GenTax van Fast Enterprises en SAPTRM van SAP (met Capgemini als implementator). Het rapport neemt het pakket van Fast Enterprises als uitgangspunt voor evaluatie en zet dit bedrijf daarmee op pole position voor het scenario ‘kopen.’ Het rapport was tot voor kort van internet te downloaden maar is inmiddels verwijderd. Het beoordeelt scenario’s op basis van de criteria Technologie, Strategische Fit, Financieel, Vaardigheden & Capaciteiten, en Implementatiesnelheid & Risico’s. Over Strategische Fit wordt gesteld dat zelfbouw de dominante ontwikkelrichting is bij de Belastingdienst. De componenten waarop de Strategische Fit wordt bepaald zijn vervolgens weinig strategisch: Functionele Eisen, Systeemdoelstellingen, Klantervaring, Impact op Belastingdienstmedewerkers, en Impact op Processen. Op het onderdeel Strategische Fit scoort Buy beter indien risicodetectie ten behoeve van compliance (dit is het verschil tussen enerzijds de mogelijke en anderzijds de gerealiseerde belastingopbrengst) niet via het aan te schaffen pakket wordt gedaan. Voor Implementatiesnelheid & Risico’s zijn de componenten waarop wordt gescoord Tijd tot Waarde, Mogelijkheid tot Bijsturing, Complexiteit van Migratie (waaronder het risico onderbreking van processen), Implementatievertraging, en Alternatieven. De adviseurs verwachten dat de ‘pakketoplossing’ aanzienlijk sneller is te realiseren dan zelfbouw. Op het aspect Alternatieven (dit komt het dichtst bij een strategisch criterium, te weten continuïteit) scoort Make iets beter dan Buy omdat voor Make de stap naar een pakket altijd mogelijk blijft en voor Buy er maar één alternatief pakket is en overstap naar zelfbouw bovendien heropbouw van kennis en capaciteit vergt. Continuïteit is geen eigenstandig criterium voor beoordeling. De term valt in de context van de criteria Strategische Fit (impact op medewerkers: minder handmatig werk bij Buy), Financieel (uitvalbehandeling: sneller nieuwe functionaliteit bij Buy) en vaardigheden en capaciteiten (capaciteit: opschaling mogelijk lastig bij Make, kennis van de Engelse taal mogelijk lastig bij Buy). McKinsey adviseert Buy, en wel het zogenoemde aangescherpte buy-scenario. Het scenario Buy kreeg op Tijd tot Waarde een relatief zeer hoge score. Volgens het rapport heeft Buy nog als optiewaarde dat door uitbreiding naar andere middelen dan OB schaalvoordelen kunnen ontstaan. Een opmerking die potentieel explosief is voor de eigen directie IV en die gezien de gangbare adviespraktijk niet zonder overleg met de opdrachtgever zal zijn opgeschreven. Continuïteit Was Buy werkelijk de voorkeursoptie gelet op de continuïteit van dienstverlening door de Belastingdienst? De dienst heeft een robuuste IT-afdeling die ongeveer vijftien procent van het personeelsbestand beslaat (circa vierduizend medewerkers). Er is een opgave voor het op peil houden van de personele capaciteit, waarbij de beschikbare capaciteit beperkend werkt om alle initiatieven te kunnen realiseren. Bij inzet en werving van capaciteit heeft de Belastingdienst het voordeel dat haar it-ontwikkelafdelingen vooral in het oosten des lands zijn gehuisvest en niet in de Randstad waar de concurrentie het grootst is. De op zich gunstige arbeidsvoorwaarden bij de overheid zijn eveneens een pré. Het it-jaarbudget bedraagt in de jaren 2022 en 2023 ongeveer 850 miljoen euro. De it-performance van de eigen it-directie van de Belastingdienst is rond de start van de aanbesteding gewoon goed. Het lukt om de technische schuld voor ict-systemen terug te brengen. In 2023 blijkt de technische schuld van de Belastingdienst sinds 2018 te zijn gehalveerd: van 52 procent van het aantal systemen naar 26 procent in 2022. Daarbij werd tevens gemeld de modernisering van systemen voor omzetbelasting via de markt en via aanbesteding voor een pakketoplossing te laten verlopen, waarbij werd aangegeven dat nieuwe projecten in de bestaande eigen it-omgeving doorgang vinden, met name voor het implementeren van Europese regelgeving. Specifiek voor omzetbelasting was de technische schuld op dat moment sinds 2017 nog onverminderd hoog, waarbij prioritering op het vlak van resources medeoorzaak lijkt te zijn geweest. Tijdsdruk op modernisering van de omzetbelastingsystemen lijkt vooral ingegeven door het niet kunnen realiseren van nieuwe fiscale regelgeving. Qua performance weten we dat uitbestedingsprojecten riskant zijn. Cijfers over het slagen of falen van projecten hebben gemeen dat ze tonen dat de faalkans hoog is (bijvoorbeeld PMI, Wellingtone, de Standish group, en de overheid in de VK). Ook blijkt dat voor projecten met een omvang van meerdere miljoenen euro’s de risico’s groter zijn dan gemiddeld. Het rapport van McKinsey bevat geen overzichtelijke en vergelijkende evaluatie van projectrisico’s in het licht van ervaringen bij uitbesteding. Uiteindelijke winnaar Fast Enterprises is een specialist op het gebied van belastingsoftware met circa 2.200 werknemers en heeft binnen de EU twee referentieprojecten. Een project in Finland is geslaagd, een project in Polen verliep blijkbaar conflictueus. Het succesvolle Finse project wordt door McKinsey wel genoemd als referentie, het Poolse project niet. Het rapport meldt wel dat de Belastingdienst een track record heeft van problematische koop-projecten (McKinsey noemt ETM en CRM/OSWO). De Directie IV&D heeft klaarblijkelijk wel oog voor het continuïteits-criterium. In een aan de internetversie van het McKinsey-rapport toegevoegde adviesnota van deze concerndirectie van 1 juli 2022 lezen we het voorstel om tussentijdse evaluatiemomenten in te bouwen in het contract met daarbij exit-mogelijkheden. Vroege signalen voor het project omzetbelasting in wording vanuit het Adviescollege ICT-toetsing bleken al in april 2024 zorgwekkend te zijn. Geopolitiek Wat zijn nu precies geopolitieke risico’s? Beheersing van geopolitieke risico’s betreft factoren die leiden tot de mogelijkheid van chantage van een maatschappij of land door afhankelijkheid van een vijandig regime of een daaruit afkomstig bedrijf. Dit betreft minimaal zogenoemde kritische infrastructuur. Een tweede factor is de mogelijkheid dat de transactie met een bedrijf uit een vijandig land bedreigd kan worden, ook al zou dat bedrijf zelf goedwillend zijn. Voor het tweede risico komt de bedreiging van zowel het vijandige regime als de partner bij de transactie en van de eigen overheid. Dit laatste omdat de bescherming van Europese economische belangen in het geval van (economische) conflicten kan worden ‘uitgevochten’ tot op het niveau van individuele bedrijven. Een recent Nederlands voorbeeld van een bedrijf dat in een geopolitieke storm belandde is Nexperia. Bij geopolitieke risico’s gaat het dus niet alleen over de partners bij een transactie maar over een maatschappij/land of zelfs een groep van landen (bijvoorbeeld de EU). Als de Amerikaanse overheid met een beroep op veiligheid (de ratio achter de Patriot Act en de Cloud Act) gebruikmaakt (via een Amerikaans bedrijf) van data van een Nederlandse instelling is dat een beperking van zeggenschap van die instelling. Maar als gebruik van deze data wordt ingezet als instrument van geopolitieke chantage, dan ontstaat een kwalitatief nieuwe situatie met betrokkenheid van Nederland als maatschappij/land. Risico’s ontstaan niet alleen door toegang tot data (bijvoorbeeld op grond van de Patriot Act of de Cloud Act) maar door afhankelijkheid van (in dit geval Amerikaanse) technologie sec, ook als ‘on premises’ het implementatiemodel is. Het gaat er om of de Amerikaanse regering een bedrijf als chokepoint kan gebruiken tegen Nederland en dat kan net zo goed als de software van dat bedrijf on premises draait in Nederland. Het Amerikaanse bedrijf blijft immers eigenaar en de klant blijft van de leverancier afhankelijk voor implementatie en beheer. Bij geopolitieke risico’s gelden businesscases op het niveau van de individuele organisatie minder of zelfs niet meer. De Rijksdienst Voor Ondernemend Nederland noemt als geopolitieke risico’s bij inkoop en aanbesteding de sterke afhankelijkheid van partijen en landen met andere geopolitieke belangen: nationale sancties of politieke druk en – in ernstigere gevallen – dreiging en manipulatie. De VS komen niet voor op de lijst van risicolanden waarvoor inkopers aan een specifieke zorgplicht moeten voldoen. Juridische verboden gelden voor landen die vallen onder een sanctieregime (zoals nu Rusland) en voor vitale sectoren. Het proces van belastingheffing is kennelijk door de NCTV vooralsnog niet als vitaal aangemerkt. Aanloop naar het besluit Was er aanleiding om onderweg naar het gunningsbesluit van eind 2024 van koers te veranderen? Sinds 2022 wordt op Europees niveau invulling gegeven aan het concept van strategische autonomie onder andere voor software omdat onder meer de VS (bedrijfs)economische relaties als chokepoint gebruiken. Gelet op Europese autonomie ontstaan binnen het scenario ‘kopen’ twee varianten en wel binnen de EU en buiten de EU. Het scenario ‘buiten EU’ komt voor belastingsoftware de facto neer op: in de VS. De voorkeursvolgorde voor scenario’s gelet op geopolitiek is dan ook: zelf doen, kopen binnen de EU en kopen buiten de EU. Welke expert zou in de loop van 2024 gelet op Europees en opkomend Nederlands beleid niet hebben geprobeerd om het ministerie te behoeden voor het doorzetten van een OB-deal met een Amerikaans bedrijf? In de aanloop van de gunningsbeslissing aan Fast worden geopolitieke risico’s van afhankelijkheid van Amerikaanse technologie steeds duidelijker. De VS zijn al als risicoland te beschouwen sinds de inwerkingtreding van de Patriot Act (2001) en Cloud Act (2018). Nederland is al geruime tijd kwetsbaar voor chantage door de VS wat op het niveau van de rijksoverheid in ruime mate bekend, was bijvoorbeeld door de gang van zaken rond ASML al sinds 2019.[2] In Nederland wees TNO in een studie uit 2022 met beleidsmakers als doelgroep op risico’s rond digitale soevereiniteit. Specifiek op het gebied van regulering in het digitale domein krijgen spanningen tussen de VS en Europa, in 2022 een extra impuls met de komst van de Digital Services Act (DSA). Discussies rond afhankelijkheid van Amerikaanse Big tech kregen sinds de zomer van 2024 een boost met het rapport ‘Wolken aan de Horizon’, overigens in een bredere Europese context. Uit openbare stukken blijkt niet dat de keuze binnen of buiten de EU een rol heeft gespeeld bij het scenario ‘kopen’. Welke expert zou in de loop van 2024 gelet op Europees en opkomend Nederlands beleid niet hebben geprobeerd om het ministerie te behoeden voor het doorzetten van een OB-deal met een Amerikaans bedrijf? Discussie met de Kamer Spelen geopolitieke afwegingen geen zichtbare rol in de openbare discussie over strategie rond de uitbestedingsbeslissing? De Strategie Directie IV 2021-2025 (14 juni 2021, kort voor de beslissing tot uitbesteding) merkt op dat een duidelijke sourcingstrategie ontbreekt. Ze formuleert het voornemen tot het opstellen van een toekomstige sourcingstrategie met als uitgangspunt dat waar mogelijk standaardoplossingen van derde partijen te gebruiken in lijn met het ‘re-use, before buy, before build’-principe. En ten tweede: voor geselecteerde systemen die bijvoorbeeld niet bedrijfsspecifiek zijn, uitbestedingsopties te onderzoeken (bijvoorbeeld binnen het infradomein). Volgens een bericht aan de Tweede Kamer van de staatssecretaris van 14 oktober 2024, dus kort voor de beslissing van 6 november tot voorlopige gunning aan Fast Enterprises, werd ‘de sourcingstrategie’ gebruikt in het beleidsproces rond modernisering van ict. De voorkeur is om standaardoplossingen uit de markt te gebruiken, zodat de Belastingdienst marktconform kan werken. Daarnaast wordt waar mogelijk gekozen voor de realisatie van ict door derde partijen. Zelf doen is het beleid voor activiteiten: Waarvoor uitvoering door de Belastingdienst vereist is door wet- en regelgeving en/of dit noodzakelijk is om de continuïteit van processen van de Belastingdienst en/of de informatieveiligheid te kunnen borgen; Die van belang zijn om de eindverantwoordelijkheid waar te kunnen maken en de kennis te borgen. Bijv. het omzetten van wetgeving in fiscale processen. Ook wordt aangegeven dat geen zaken wordt gedaan met leveranciers uit risicolanden, e.e.a. ‘conform Rijksbeleid.’ Het bericht bevat geen verwijzing naar het rapport van McKinsey. Gezien de inhoud van de Strategie Directie IV 2021-2025 en de weergave van zaken door de staatssecretaris lijkt uitbesteding van it voor omzetbelasting niet het beleid. En toch gebeurt het. Op 6 maart 2025 bericht de staatsecretaris van Financiën de Kamer dat gunning definitief is geworden en dat ingrijpende wijzigingen in de omzetbelasting daarmee op zijn vroegst in 2027 mogelijk zijn. Dit bericht meldt niet dat de gunning de pakketoplossing betreft van een Amerikaans bedrijf. De keuze voor Buy lijkt alles overziende vooral te berusten op het willen realiseren van nieuw fiscaal beleid voor een domein dat al geruime tijd wordt ontzien op basis van een ‘beleidsluwte’. Het bericht wordt verstrekt in aanloop naar het commissiedebat Belastingdienst van de vaste commissie voor Financiën op 13 maart 2025. In dit commissiedebat verwijst de staatssecretaris terloops naar de gunning aan “het programma van Fast Enterprises, GenTax, wat in verschillende Europese landen wordt gebruikt voor btw-inning.” De commissieleden gaan hier niet verder op in. Weinig opties Leverancier Fast en daarmee ook de VS hebben vrijwel zeker nu toegang tot Nederlandse omzetbelastingdata. Uit de National Security Strategy (NSS) van de VS blijkt dat het land streeft naar een politieke reset in Europa in de richting van een donker verleden (autoritair, racistisch en nationalistisch) én Amerikaanse bedrijven ziet als een verlengstuk voor het uitoefenen van buitenlands-politieke invloed. We lezen dat de VS beschikt over ‘de meest geavanceerde, meest innovatieve en meest winstgevende technologiesector ter wereld, die (…) onze wereldwijde invloed versterkt’ en dat ‘het succesvol beschermen van ons halfrond nauwere samenwerking vereist tussen de Amerikaanse overheid en de Amerikaanse private sector. Al onze ambassades moeten zich bewust zijn van grote zakelijke kansen in hun land, vooral grote overheidscontracten. Elke Amerikaanse regeringsfunctionaris die met deze landen in contact komt, moet begrijpen dat een deel van zijn of haar taak is om Amerikaanse bedrijven te helpen concurreren en slagen.’ Voorbeelden van invloed door chokepoints zijn toepassing van de Digital Services Act (DSA) en zeer waarschijnlijk ook druk op tech-regulering in Europa (het Omnibus-voorstel) beide voor het kunnen manipuleren van verkiezingen in Europa, Microsoft (relatie met het International Criminal Court), SAP (DEI-beleid), en waarschijnlijk ook Oersted (de Deense overheid). Het OB-traject introduceert een chokepoint op de regering van de vijfde economie van de EU voor de komende twintig jaar (de looptijd van het project). Niemand kan voorspellen wat er gebeurt als de EU of Nederland de VS tegen de haren instrijkt. Zo bezien is een nieuw en ander plan nodig voor de omzetbelasting. Het OB-project introduceert een potentieel grote kwetsbaarheid, maar is qua projectkosten klein gelet op de omvang van het IV-budget van de Belastingdienst. Het alternatief in de vorm van het verkrijgen van volledige controle over de software van Fast lijkt, los van implementatieproblemen, ook moeilijk omdat een leverancier gewoonlijk niet bereid zal zijn daarmee akkoord te gaan. Marcel van Kooten schreef dit artikel op persoonlijke titel. [1] De Belastingdienst is een organisatieonderdeel van het ministerie van Financiën dat destijds onder politieke leiding stond van de staatssecretaris voor Fiscaliteit en Belastingdienst Van Rij (CDA). [2] Diederik Baazil, Cagan Koc (2025), De Belangrijkste Machine ter Wereld.