Statecraft

§02 · Symptoom

De architectuur van het zwijgen

Waarom de datakluis bij de Belastingdienst geen incident is, en wat een uitvoeringsoverheid wel kan beschermen tegen zichzelf

18 april 2026 · door Jacob Huibers · Read in English →

Statecraft Position Paper, april 2026 — Jacob Huibers

Samenvatting

De ontdekking van een onverklaarde “datakluis” met 64 miljoen documenten bij de Belastingdienst, gedeeld met de Tweede Kamer pas acht maanden na vondst, wordt in het publieke debat behandeld als een schandaal van uitzonderlijke aard. Vanuit de praktijk van interim-management in de Nederlandse uitvoeringsoverheid is het tegenovergestelde waar. Het mechanisme is structureel, het patroon herkenbaar en de huidige reactie (parlementair onderzoek, bestuurlijke aftredingen, oproepen tot strafrechtelijke aansprakelijkheid) zal het probleem niet oplossen. Dit paper schetst waarom verbergen een organisatorische overlevingsstrategie is, waarom strafgericht denken contraproductief uitpakt en welke transparantie-architectuur het tij wel kan keren. Het sluit af met implicaties voor opdrachtgevers in rijk en gemeente.

1. Het patroon, niet het incident

Pieter Omtzigt en Renske Leijten betoogden in de Volkskrant van 17 april dat het zwijgen rond de Belastingdienst-datakluis de rechtsstaat ondermijnt. Die analyse is correct. Hun voorstel om verantwoordelijke ambtenaren persoonlijk aansprakelijk te stellen en het onderzoek bij een ander ministerie te beleggen, is verdedigbaar. Maar de framing van deze affaire als een uitzonderlijk geval onderschat de aard van het probleem.

Een saillant detail dat in het huidige debat onderbelicht blijft: de datakluis was geen geheim. Op exact dezelfde datum zeven jaar eerder, 17 april 2019, kondigde toenmalig staatssecretaris Snel het bestaan van deze kluis publiek aan in de 23e halfjaarsrapportage Belastingdienst (Kamerstukken II 2018/19, 31066, nr. 480), expliciet als AVG-conforme maatregel om verouderde gegevens te isoleren waarvan handmatige beoordeling op persoonsgegevens de capaciteit van de organisatie te boven ging. Het ging volgens de inventarisatie destijds om “honderden miljoenen documenten”. Een tweede informatieve brief volgde op 28 mei 2019 (Kamerstukken II 2018/19, 31066, nr. 485). De huidige Kamerbrief van staatssecretarissen Eerenberg en Palmen-Schlangen, gedateerd 15 april 2026, erkent letterlijk dat de Kamer in 2019 tweemaal over de constructie is geïnformeerd. De kluis was met andere woorden niet verborgen voor de Tweede Kamer, hij was er aan gepresenteerd, met staatssecretariële handtekening, als oplossing. Wat ontbrak was iemand die de zeven jaren daarna structureel monitorde wat erin zat en of de beloofde vervolgstap, inventarisatie en vervolgens archivering of vernietiging conform de Archiefwet, ooit zou worden gezet. Een compliance-instrument zonder governance verandert geruisloos in een hidings-instrument. Dat is precies wat hier gebeurd is.

Dit feit verandert de aard van het schandaal. We hebben niet te maken met een actief verborgen serveromgeving, ontdekt na jaren speurwerk. We hebben te maken met een publiek aangekondigde kluis, twee keer aan de Kamer gemeld, waar zeven jaar lang niemand naar heeft omgekeken, totdat eind 2025 via steekproeven werd vastgesteld dat zich er documenten in bevonden die aan de Parlementaire Enquête Fraude en Dienstverlening geleverd hadden moeten worden. Vervolgens duurde het opnieuw enkele maanden voordat de Kamer in april 2026 publiekelijk werd geïnformeerd. Dat is voor de architectuur-discussie krachtiger bewijs dan een verborgen-kluis-narratief, niet minder, omdat het laat zien dat zelfs zichtbaarheid op zichzelf niet volstaat. Wat ontbrak was governance: structurele aandacht, periodieke verantwoording over inhoud en voortgang van de aangekondigde verwerking, onafhankelijke controle op wat de kluis in werkelijkheid bevatte, en een protocol voor wanneer er bij elk groot informatieverzoek of parlementair onderzoek standaard in moest worden gezocht.

In ruim twintig jaar interim-management in gemeenten met 50.000 tot ruim 200.000 inwoners ben ik geen organisatie tegengekomen zonder een eigen versie van de datakluis. De omvang varieert. De vorm varieert. Het mechanisme niet. Bij elke transitieopdracht, elke kostenbesparingsoperatie, elk programma waarin een eerdere governance-crisis wordt opgeruimd, kom ik dezelfde elementen tegen. Documenten die “ergens” liggen. Kennis die geconcentreerd is bij één of twee sleutelfiguren. Schaduwadministraties in lokale Excel-bestanden of op privélaptops. Gespreksverslagen die nooit zijn gemaakt of die zijn “verloren gegaan”. Rapporten waarvan alleen de samenvatting circuleert, terwijl de oorspronkelijke conclusies in een bureaulade liggen.

Drie geanonimiseerde voorbeelden, gestripte versies van werkelijke opdrachten.

In een middelgrote gemeente waar ik een reorganisatie van het sociaal domein leidde, bleek na vier maanden dat de financiële sturingsinformatie waarop het college besluiten nam, niet overeenkwam met de werkelijke uitgaven in de uitvoering. De afwijking was niet incidenteel maar structureel, in de orde van enkele procenten van het domeinbudget. De informatie was bekend bij twee senior ambtenaren. Ze hadden er nooit over gerapporteerd, omdat in hun woorden “de wethouder er niet om vroeg en het bestuurlijk niet uitkwam”.

In een andere opdracht trof ik bij overdracht een afgesloten netwerkschijf aan waartoe alleen één afdelingshoofd toegang had. Bij ontsluiting bleek de schijf jurisprudentie, klachten en interne onderzoeken te bevatten die in het officiële zaaksysteem niet voorkwamen. De motivering: “materiaal waarvan we niet wilden dat het via een WOO-verzoek opvraagbaar zou worden.” De wet wordt zo niet alleen overtreden, het ontwijken ervan wordt institutioneel ingebouwd.

In een derde opdracht, een kwartiermakersrol bij een regionale samenwerking, bleek dat de stuurgroep jarenlang besluiten had genomen op basis van begrotingsoverzichten waarin een aanzienlijk deel van de overhead niet was opgenomen. De cijfers waren wel beschikbaar, maar in een ander deelsysteem, en niemand had de samenvoeging gemaakt omdat de uitkomst politiek onverteerbaar zou zijn geweest.

Geen van deze gevallen heeft de omvang van de Belastingdienst-affaire. Maar het mechanisme is identiek. Pijnlijke informatie wordt geïsoleerd, ongemakkelijke conclusies worden afgezwakt of toevertrouwd aan één persoon, en wie de gehele waarheid kent wordt langzaam gemarginaliseerd of vertrekt. Dit is geen complot. Het is hoe organisaties zichzelf beschermen.

2. De organisatie-logica van verbergen

De vraag is waarom verbergen rationeel gedrag is binnen publieke uitvoeringsorganisaties. Drie mechanismen werken samen.

Het eerste is loyaliteit als loopbaaninstrument. In de ambtelijke kolom is interne reputatie de belangrijkste factor in promotie. Wie informatie deelt die de eigen organisatie schaadt, betaalt daarvoor. Wie loyaal blijft, wordt beloond. Bij de Algemene Bestuursdienst speelt dit op rijksniveau, in gemeenten op kleinere schaal, maar het effect is hetzelfde. Zwijgen is geen morele zwakte, het is een carrière-strategie die werkt. Klokkenluiders eindigen vrijwel zonder uitzondering buiten de organisatie, vaak met een vaststellingsovereenkomst en een geheimhoudingsclausule. Dat patroon is iedereen bekend en functioneert als afschrikking, decennia voordat een individuele ambtenaar voor de vraag staat of hij over een datakluis zal spreken.

Het tweede is de scheve verdeling van risico tussen politiek en ambtelijk. Bij elk schandaal is de volgorde voorspelbaar. De wethouder of staatssecretaris vertrekt, de directeur blijft, de hogere ambtenaar rouleert naar een vergelijkbare positie elders. Onder die conditie is het rationeel om als ambtenaar informatie zo te beheren dat de bestuurlijke top kan blijven afwijzen kennis te hebben gehad. De informele norm “wat de bestuurder niet weet, kan hem niet beschadigen” beschermt iedereen behalve de samenleving. Voor gemeenten geldt dezelfde dynamiek: wethouders komen en gaan, gemeentesecretarissen blijven, en het ambtelijk geheugen reorganiseert zich rond elke nieuwe coalitie.

Het derde is de toenemende juridificering. WOO-verzoeken, AVG-claims, schadeclaims en parlementaire onderzoeken hebben de kosten van vastgelegde fouten exponentieel verhoogd. De rationele respons is niet om minder fouten te maken, maar om minder vast te leggen. Mondelinge afstemming, informele werkafspraken, beslismemo’s die nooit officieel worden, het zijn allemaal aanpassingen aan een omgeving waarin schriftelijkheid een aansprakelijkheidsrisico is geworden. Wie alle interne communicatie voorbereidt op een toekomstig WOO-verzoek, schrijft anders dan wie communiceert om een probleem op te lossen. Die verschuiving zien we in elk dossier.

Deze drie mechanismen zijn versterkend. Ze produceren samen een organisatie waarin verbergen niet de uitzondering is maar de standaardmodus, en waarin elk individu dat anders wil handelen, een persoonlijk offer brengt waarvoor geen institutionele beloning bestaat.

3. Waarom strafgericht denken niet werkt

De reflexreactie op de datakluis is meer toezicht, hardere regels en strafrechtelijke aansprakelijkheid voor verantwoordelijken. Op morele gronden is dit verdedigbaar. Praktisch is het ineffectief en in sommige opzichten contraproductief.

Hardere sancties op vastgelegde overtredingen verhogen de prikkel om niet vast te leggen. De volgende datakluis is niet meer een centrale serveromgeving, maar een verzameling lokale schijven, mondelinge kennisoverdracht en versleutelde communicatie. De juridische bewijsbaarheid neemt af, terwijl de werkelijke openheid niet toeneemt. Een organisatie die leert dat de prijs van schriftelijkheid hoger is dan de prijs van mondelinge cultuur, kiest voor mondelinge cultuur. Dat is geen kwaadwilligheid, dat is leervermogen.

Persoonlijke aansprakelijkheid voor topambtenaren klinkt rechtvaardig, maar leidt in de praktijk tot defensieve organisatieculturen waarin niemand meer beslist, niemand meer tekent en alle besluitvorming via collectieve organen gaat die geen individu kunnen aanspreken. Het effect is verlamming, niet verantwoordelijkheid. We hebben dat gezien in de zorg en in het onderwijs, waar verzwaarde toezichtregimes geleid hebben tot dossierdiscipline ten koste van inhoudelijk werk, zonder dat de kwaliteit aantoonbaar is verbeterd.

Toezicht dat afhankelijk is van wat de gecontroleerde organisatie aanlevert, is geen echt toezicht. De Ombudsman, de Autoriteit Persoonsgegevens en de Auditdienst Rijk hadden formeel recht op alle documenten en hebben de Belastingdienst-kluis niet inhoudelijk onderzocht in de zeven jaar tussen aankondiging en heropening, ondanks dat het bestaan ervan publiek bekend was sinds twee Kamerbrieven uit 2019 (Kamerstukken II 2018/19, 31066, nrs. 480 en 485). Dat is geen falen in detectie, het is een ontwerpfout in de aard van het toezicht zelf. De vraag-aanbod-structuur maakt het mogelijk om iets niet aan te leveren wat formeel nooit precies genoeg is opgevraagd, en maakt het ook mogelijk om iets dat formeel was aangekondigd, vervolgens als gesloten dossier te behandelen. Strafrechtelijke nasleep verandert hier niets aan zonder structurele aanpassing van het toezichtsmodel.

De parlementaire enquête, het zwaarste onderzoeksmiddel dat de Tweede Kamer heeft, met het wettelijk recht op alle documenten en de bevoegdheid om mensen te gijzelen, kreeg de inhoud van de kluis evenmin in beeld. Dat is niet een tekortkoming van die specifieke commissie. Het is een fundamentele beperking van een controlemodel dat ervan uitgaat dat de gecontroleerde organisatie weet wat ze heeft, bereid is dat te delen en, als de toezichthouder niet expliciet doorvraagt, eerder vergeet dan onthult. Alle drie deze aannames zijn onjuist gebleken.

4. Aiki als ontwerpprincipe: krachten omleiden

In de Japanse vechtkunst aikido is het basisprincipe niet de tegenstander te overwinnen door grotere kracht, maar door de richting van zijn beweging om te leiden. Toegepast op organisatieontwerp betekent dit: de kracht waar we mee te maken hebben, de reflex van organisatorisch zelfbehoud, verdwijnt niet door verontwaardiging of strengere wetten. Wat wel kan, is de richting van die kracht zo sturen dat zelfbehoud transparantie als bijproduct heeft, niet verbergen.

Concreet vraagt dit een andere ontwerpfilosofie van uitvoeringsorganisaties.

Open data als standaard, niet als uitzondering. Beslisinformatie, prestatiecijfers en uitvoeringsdata moeten standaard openbaar zijn, met expliciete uitzonderingen voor privacy en veiligheid die door een onafhankelijke instantie worden getoetst. De huidige situatie waarin alles gesloten is tenzij iemand het opvraagt, is de voedingsbodem voor datakluizen. Het omdraaien van de defaultinstelling kost geen wetswijziging maar een politiek besluit, en is technisch in elke moderne uitvoeringsorganisatie haalbaar.

Onveranderlijke audit-trails. Elke wijziging in dossiers, verwijdering van documenten of versleuteling moet automatisch een spoor achterlaten dat door de organisatie zelf niet gewist kan worden. Technisch is dit triviaal, sinds het bestaan van append-only logs en cryptografische verzegeling. Het ontbreekt vrijwel overal omdat organisaties de optie willen behouden om “rommelige” geschiedenis op te ruimen. Die optie is precies het probleem.

Directe brontoegang voor toezicht. Toezichthouders moeten directe toegang krijgen tot brondata, niet tot rapportages die door de gecontroleerde organisatie zijn voorbewerkt. Het verschil tussen mogen vragen en kunnen kijken is precies waar de Belastingdienst-kluis kon overleven. Een toezichthouder met read-only-toegang tot brondatabases zou een datakluis van deze omvang detecteren via metadata-analyse, ook als de gecontroleerde organisatie het bestaan ontkent.

Beschermde meldkanalen die werken. De huidige klokkenluiderbescherming is in de uitvoeringspraktijk grotendeels symbolisch. Wie meldt, wordt gemarginaliseerd, in gesprekken gehaald, of via reorganisatie verwijderd. Echte bescherming vergt anonimisering bij de bron, externe behandeling buiten de eigen organisatie, juridische immuniteit voor materiële openbaringen en financiële zekerheid voor de melder. Niet alleen procedureel, maar materieel.

Loskoppeling van carrière en kolomloyaliteit. Zolang ambtelijke promotie binnen één organisatie of kolom blijft, is loyaliteit aan die kolom rationeel. Verplichte rotatie tussen kolommen, externe assessments en open vacatures op directieniveau verminderen de afhankelijkheid van interne reputatie en daarmee de prijs van openheid. De huidige ABD-praktijk roteert wel tussen ministeries, maar laat de kolomloyaliteit per departement grotendeels intact. Werkelijke openheid vergt een inrichting waarin een bestuurder die in zijn vorige functie een datakluis ontmantelde, daarvoor wordt beloond in plaats van geïsoleerd.

Deze vijf elementen vormen samen geen wondermiddel, maar wel een coherent ontwerp. Ze maken niet onmogelijk dat een individu of een groep documenten verbergt. Ze maken het wel duurder, traceerbaarder en op termijn onhoudbaar. De kracht van zelfbescherming wordt niet ontkend, ze wordt omgeleid naar gedrag dat met openheid verenigbaar is.

5. Implicaties voor opdrachtgevers

Voor de Nederlandse uitvoeringsoverheid betekent dit een agenda die verder gaat dan de Belastingdienst-affaire.

Op rijksniveau vraagt dit om hervorming van de Algemene Bestuursdienst die niet alleen rouleert maar ook de loyaliteitsstructuur doorbreekt, gecombineerd met juridisch afdwingbare openbaarmakingsplichten op basis van inhoud en niet op verzoek. Het ‘groot project’ dat Omtzigt en Leijten voorstellen is een goede eerste zet, mits het mandaat verder gaat dan reconstructie en ook ontwerpvoorstellen oplevert voor de structurele inrichting van uitvoeringsorganisaties.

Op gemeentelijk niveau, waar mijn praktijk ligt, vraagt dit van bestuurders en gemeentesecretarissen dat zij actief gaan zoeken naar de eigen datakluis voordat een opvolger of een interim-manager hem vindt. Dit is ongemakkelijk, maar aantoonbaar goedkoper dan de hersteloperatie achteraf. Het vraagt van interim-opdrachtgevers dat zij in de opdrachtformulering expliciete forensische ruimte inbouwen, met mandaat en tijd om schaduwadministraties te ontsluiten zonder dat dit als reputatieprobleem wordt behandeld. Het vraagt van interim-managers dat zij de vondst van schaduwadministraties als regulier onderdeel van het werk behandelen, niet als incident, en dat zij in de overdracht aan hun opvolger niet alleen de oplossing maar ook de bestaande architectuur van het verzwijgen documenteren.

Voor de samenleving is de inzet groter dan de Belastingdienst alleen. Een uitvoeringsoverheid die structureel gebouwd is op verbergen, kan op termijn niet beschermen wat zij geacht wordt te beschermen. De rekening van die governance-keuze loopt op in miljarden aan reparatiekosten, in het ravijnjaar 2026 nog eens versterkt door de financiële druk op gemeenten, en in een nauwelijks te repareren vertrouwensverlies waarvan de toeslagenaffaire pas de eerste rekening was.

Het alternatief is geen toverformule, maar een ontwerpfilosofie die de menselijke neiging tot zelfbescherming serieus neemt en haar omleidt in plaats van haar bestrijdt. Een filosofie die ook accepteert dat aankondigen op zichzelf geen toezicht is, dat een AVG-conforme oplossing zonder structurele inhoudsmonitoring binnen één bestuursperiode kan veranderen in een opslagplaats voor wat niemand meer wil zien. De Belastingdienst-affaire biedt het momentum voor dat ontwerpgesprek. Of we het pakken, is een politieke keuze. Niet pakken betekent dat de volgende datakluis al wordt opgebouwd terwijl deze regels worden gelezen, vermoedelijk net zo netjes aangekondigd in een Kamerbrief, en net zo zorgvuldig uit het zicht weggegroeid.

Jacob Huibers is interim-manager in de Nederlandse publieke sector, met opdrachten in gemeenten variërend van 50.000 tot ruim 200.000 inwoners. Hij is auteur van “De Richting van de Beweging: Interim-Management in de Publieke Sector” (verschijnt najaar 2026) en initiator van Statecraft, een platform voor strategische reflectie op publieke uitvoering.

Bronnen

  • Pieter Omtzigt en Renske Leijten, “Stilzwijgen over de datakluis is niets minder dan sabotage van de rechtsstaat”, de Volkskrant, 17 april 2026.
  • Kamerbrief staatssecretaris Snel, “23e halfjaarsrapportage Belastingdienst”, Kamerstukken II 2018/19, 31066, nr. 480, 17 april 2019.
  • Kamerbrief staatssecretaris Snel, “Voortgang implementatie AVG bij Belastingdienst en toesturen rapport ADR”, Kamerstukken II 2018/19, 31066, nr. 485, 28 mei 2019.
  • Kamerbrief staatssecretarissen Eerenberg en Palmen-Schlangen, “Update datakluis Belastingdienst”, 15 april 2026.
  • “Belastingdienst gaat verouderde gegevens in datakluis bewaren”, Security.NL, 17 april 2019.
  • “Dataomgeving Belastingdienst bleef jarenlang buiten beeld”, Rijksoverheid.nl, 15 april 2026.