Rekenkamer: 71 procent overheidsorganisaties niet klaar voor Q-Day, DigiD en sluisdeuren kwetsbaar

Zeven op tien overheidsorganen doen niets

De Algemene Rekenkamer heeft in februari 2026 het rapport "Focus op quantum bij de rijksoverheid" gepubliceerd en de uitkomst is alarmerend. Van alle onderzochte rijksoverheidsorganisaties heeft 71 procent nog geen enkele specifieke maatregel getroffen om zich te beschermen tegen de dreiging van quantumcomputers. Dat betekent dat de overgrote meerderheid van ministeries, uitvoeringsorganisaties en agentschappen hun bestaande systemen niet hebben geanalyseerd op kwantumkwetsbaarheden, geen plannen hebben gemaakt voor het overschakelen naar kwantumveilige cryptografie, en geen gesprekken hebben gevoerd met softwareleveranciers over toekomstige upgrades.

Wat is Q-Day en waarom is het urgent

Q-Day is de term voor het moment waarop een voldoende krachtige kwantumcomputer in staat is de cryptografische sleutels te kraken waarop het huidige internet, bankwezen en overheidsinfrastructuur zijn gebaseerd. De meeste versleuteling die vandaag wordt gebruikt, zoals RSA en elliptische-curven-cryptografie, berust op wiskundige problemen die klassieke computers miljoenen jaren nodig zouden hebben om op te lossen. Een kwantumcomputer kan dit via Shors algoritme in uren of minuten. De AIVD schat in haar dreigingsrapportages dat Q-Day al in 2030 kan plaatsvinden, met name als statelijke actoren zoals China of de VS er eerder dan verwacht in slagen een fouttolerante kwantumcomputer te bouwen. Dat is minder dan vier jaar van nu.

Wat staat er op het spel

De Rekenkamer somt de meest kwetsbare systemen op. DigiD, het digitale inlogsysteem waarmee miljoenen Nederlanders hun belastingaangifte doen, toeslagen aanvragen en zorgdossiers inzien, maakt gebruik van versleuteling die kwetsbaar is voor kwantumcomputeraanvallen. Hetzelfde geldt voor de systemen achter paspoortcontroles op Schiphol en andere grensdoorlaatposten. Vitale waterinfrastructuur, waaronder sluizen, gemalen en dijkwachtsystemen, maakt gebruik van industriele besturingsnetwerken die grotendeels vertrouwen op verouderde cryptografie. Als een vijandige staat na Q-Day toegang kan krijgen tot de digitale besturing van waterkeringen, heeft dat directe gevolgen voor de nationale veiligheid.

Harvest now, decrypt later

Een bijkomend risico dat de Rekenkamer benoemt, is de zogenoemde "harvest now, decrypt later"-strategie. Statelijke actoren onderscheppen nu al grote hoeveelheden versleuteld dataverkeer van overheidsnetwerken, in de wetenschap dat zij de data pas later kunnen ontsleutelen zodra zij over een voldoende krachtige kwantumcomputer beschikken. Informatie die vandaag als geheim wordt verstuurd, maar pas over vijf of tien jaar geclassificeerd mag worden vrijgegeven, loopt nu al het risico van toekomstige blootstelling. De Rekenkamer stelt dat overheden zich nu al moeten beschermen tegen dit langetermijnrisico, niet pas wanneer kwantumcomputers daadwerkelijk beschikbaar zijn.

Post-quantum cryptografie als oplossing

De technische oplossing bestaat en heet post-quantum cryptografie. Het Amerikaanse standaardisatieinstituut NIST heeft in augustus 2024 drie definitieve kwantumveilige algoritmen gepubliceerd, namelijk CRYSTALS-Kyber voor sleuteluitwisseling en CRYSTALS-Dilithium en FALCON voor digitale handtekeningen. Organisaties kunnen al beginnen met de migratie naar deze algoritmen. De Europese Commissie heeft via haar programma voor digitale infrastructuur bovendien bijgedragen aan de installatie van acht Europese supercomputers met kwantumcomponentmodules, waarvan een in Nederland staat. De capaciteit is er, maar de organisatorische wil en het politieke urgentiebesef ontbreken grotendeels.

615 miljoen geïnvesteerd, maar implementatie stagneert

Het kabinet heeft via het Nationaal Groeifonds in de periode 2021 tot 2028 in totaal 615 miljoen euro uitgetrokken voor onderzoek en ontwikkeling op het gebied van kwantumtechnologie. Dat heeft Nederland een sterke wetenschappelijke positie opgeleverd, met toonaangevende onderzoeksgroepen aan de TU Delft en de Universiteit van Amsterdam. De vertaalslag van fundamenteel onderzoek naar concrete implementatie in overheidssystemen is echter nauwelijks gemaakt. Het ministerie van Economische Zaken werkt aan een brede kwantumstrategie, maar concrete budgetten en tijdlijnen voor de bescherming van overheidsinfrastructuur ontbreken. De Rekenkamer adviseert het kabinet uiterlijk in het najaar van 2026 met een bindend actieplan te komen.