In vier jaar digitale chaos? De Rekenkamer-waarschuwing onder de loep

CFO’s, CEO’s en commissarissen zagen koppen voorbij komen over een dreigende “maatschappelijke ontwrichting” door kwantumcomputers en vroegen zich af: moeten we dit serieus nemen of is het overtrokken? In deze blog duiken we kritisch in het Rekenkamerrapport en zijn uitlatingen. We analyseren de maatschappelijke implicaties van zo’n quantumdreiging, beoordelen de technische aannames en onderbouwing en staan stil bij de taalkeuze (“ontwrichten!”) en hoe dit de publieke perceptie en beleidsreactie beïnvloedt.

Het doel: prikkelende inzichten voor de boardroom; zonder sensatie, maar met een duidelijk appel om niet stil te blijven zitten.

De alarmbel van de Rekenkamer: quantumcomputer als ontwrichter?

Op 4 februari 2026 sloeg de Algemene Rekenkamer alarm: de rijksoverheid is grotendeels onvoorbereid op de dreiging van quantumcomputers . Maar liefst 71% van de Rijksorganisaties heeft nog géén stappen gezet om zich te beschermen, aldus het rapport Focus op quantumtechnologie .

De Rekenkamer schetst een scenario waarin buitenlandse actoren met een krachtige quantumcomputer de huidige versleuteling kraken. Wat betekent dat concreet? In hun woorden: “Wanneer een quantumcomputer de versleuteling kan kraken, zou dat grote gevolgen kunnen hebben voor ons leven. Gevoelige of geheime informatie kan op straat komen te liggen, het verkeer raakt ontregeld of poortjes gaan niet meer open. Dan ligt maatschappelijke ontwrichting op de loer”, aldus de Rekenkamer . Met andere woorden: onze digitale samenleving ; van overheidsgeheimen tot infrastructuur en identiteitsbewijzen , zou ernstig ontregeld raken.

Dit doembeeld komt niet uit de lucht vallen. Ik begrijp het.  Onder de dreiging verstaat men vooral het breken van gangbare cryptografie. De overheid leunt zwaar op encryptie om informatie te beschermen en vitale systemen veilig te bedienen (bruggen, sluizen, DigiD-inlog, paspoortcontrole, etc.) . Als die beveiligingslaag wegvalt, ontstaat een kettingreactie: staatsgeheimen en bedrijfsdata liggen op straat, verkeer en logistiek stagneren, digitale identificatie faalt – kortom, het dagelijks leven ondervindt directe hinder . De Rekenkamer spreekt van sociale ontwrichting op de horizon en benadrukt dat dit enkel voorkomen kan worden door tijdig over te stappen op post-quantumcryptografie (PQC), versleuteling die bestand is tegen quantumcomputers .

Is dit alarm bedoeld om wakker te schudden? Absoluut. De keuze van woorden – “ontwrichting van ons leven”  is opvallend krachtig. Voor een instantie die doorgaans in beheerste bewoordingen spreekt, is dit volgens mij bewuste taalstrategie. Het heeft meteen de aandacht van pers en publiek gegrepen. Maar voordat we in paniek raken of het afdoen als bangmakerij, is een reality-check op zijn plaats.

Maatschappelijke implicaties: hoe kwetsbaar is onze samenleving?

De waarschuwing dwingt ons na te denken over hoe afhankelijk we zijn van onkraakbare encryptie. Onze samenleving rust op een fundament van digitale vertrouwen: van internetbankieren en bedrijfsgeheimen tot openbare orde en vitale infrastructuur. Een quantumcomputer die binnen vier jaar onze huidige beveiliging kraakt, zou dit fundament ernstig verzwakken. Wat ligt er precies in het verschiet?

• Uitgelekte geheimen en data – Overheidscorrespondentie, medische dossiers, bedrijfs-IP: alles wat nu versleuteld is, kan ineens leesbaar worden. Gevoelige informatie zou vrij toegankelijk zijn, met potentieel enorme privacy- en economische schade . Denk aan staatsgeheimen of onderhandelingen die op straat komen te liggen, of vertrouwelijke klant- en patiëntgegevens die openbaar worden.
• Ontregeling van kritieke infrastructuur – Versleuteling beschermt ook onze infrastructuur. Waterkeringen, stoplichten, elektriciteitsnetwerken en transport worden aangestuurd via digitale commando’s. Inbreken op deze systemen kan leiden tot verkeerchaos (bruggen en sluizen die niet meer openen of juist ongewenst openen) , verstoring van energievoorziening of zelfs fysieke gevaren als beveiligingssystemen falen.
• Identiteit en vertrouwen onder vuur – Digitale identificatie (bijv. DigiD of paspoortchips) drijft op cryptografische sleutels. Een quantum-hacker zou valse digitale identiteiten kunnen creëren of bestaande identiteiten kapen. Ook digitale handtekeningen en transacties zijn niet langer betrouwbaar als een kwaadwillende ze op commando kan vervalsen . Het gevolg is een diep gat in het vertrouwen: burgers kunnen niet meer zeker weten of overheidscommunicatie echt is, banken kunnen digitale fraude moeilijk onderscheiden, etc.

Kortom, een geslaagde quantum-aanval op onze cryptografie zou een digitale perfect storm veroorzaken. De Rekenkamer overdrijft niet dat “sociale ontwrichting” zeer nabij is in zo’n scenario . We hebben dit soort dreiging niet vaak gezien, maar misschien de Y2K-millenniumproblematiek komt in de buurt als het gaat om schaal van potentiële maatschappelijke impact. Destijds werd grootschalige ontwrichting voorkomen door proactief handelen. En precies dat is de les: zonder actie kunnen de gevolgen van een quantumkraak catastrofaal zijn; met tijdige actie hoeft het doemscenario nooit werkelijkheid te worden.

Nu is het beeld van een “quantumapocalyps” binnen vier jaar op zijn minst alarmerend. Maar hoe waarschijnlijk is dit tijdpad eigenlijk? Lopen we écht het risico dat in 2030 alles op zijn kop staat, of schetst de Rekenkamer bewust een worstcasescenario? Laten we de technische aannames onder de loep nemen.

Technische realiteitscheck: staat Q-Day echt voor de deur?

De Rekenkamer baseert zich op een inschatting van de inlichtingendienst AIVD dat Q-Day ; de dag waarop een quantumcomputer onze cryptografie kraakt,  al in 2030 zou kunnen aanbreken . Dat is schrikbarend dichtbij: slechts vier jaar vanaf nu. Belangrijk is te beseffen dat dit een voorzichtige inschatting betreft, bedoeld om geen enkel risico uit te sluiten. Hoe ver staat de technologie werkelijk? Hier toont zich een spectrum aan meningen onder experts.

Veel vooraanstaande onderzoekers en instituten temperen de verwachting dat een volledig cryptografisch relevante quantumcomputer (CRQC) zo snel operationeel is. In een recent internationaal rapport (Quantum Threat Timeline 2024) geeft een meerderheid van de specialisten aan dat zo’n quantumcomputer waarschijnlijk pas ergens in de jaren ’30 of later verschijnt . Zelfs bij optimistische scenario’s wordt de kans op een machine binnen nu en tien jaar kleiner dan 20% geschat . Met andere woorden: 2030 is mogelijk, maar hoogst onzeker en in elk geval niet de consensus.

Technisch zijn de uitdagingen kolossaal. De huidige state-of-the-art quantumprocessors tellen tientallen tot enkele honderden qubits, terwijl voor het kraken van sterkere cryptografie waarschijnlijk duizenden foutgecorrigeerde qubits nodig zijn, wat neerkomt op miljoenen fysieke qubits als we rekening houden met foutcorrectie .

Experts benadrukken dat het behalen van dit schaalniveau een doorbraak vergt op meerdere fronten: stabilisatie van qubits (coherentie), foutcorrectie-algoritmen, materiaalwetenschap, enzovoort . Schattingen voor het overwinnen van deze hordes variëren enorm; sommige zien een pad richting 2035, anderen denken dat het net zo goed 2040+ kan worden voordat alle puzzelstukjes samenkomen .

Toonaangevende cyberbeveiligingsorganisaties in Europa delen dat voorbehoud. Zo becijfert het Duitse BSI (Bundesamt für Sicherheit in der Informationstechnik) dat conventionele encryptie zonder onverwachte doorbraken waarschijnlijk nog 10 tot 20 jaar veilig blijft . Europol sluit zich daarbij aan en noemt een tijdsbestek van circa 15 jaar voordat huidige cryptografie eventueel gekraakt wordt . Deze prognoses suggereren dus eerder halverwege de jaren ’30 of later serieuze quantumdreiging, in plaats van al over enkele jaren.

Betekent dit dat de Rekenkamer onzin verkoopt? Niet per se. Het woord “kan al in 2030” duidt op een mogelijkheid, geen zekerheid. Inlichtingendiensten en veiligheidsauditors hanteren vaak het voorzorgsprincipe: reken op het worst case, niet op het gemiddelde scenario. De historie leert dat technologische sprongen soms onverwacht komen – van de Manhattan-project tot recente AI-doorbraken. Er is een kleine kans dat quantumonderzoek ineens een versnelling vindt waardoor een basis voor een CRQC eerder wordt gelegd dan gedacht.

Bovendien is er de factor van de “harvest now, decrypt later”-dreiging. Hierbij stelen kwaadwillenden nú versleutelde gegevens met het plan deze later, zodra quantumcomputers krachtig genoeg zijn, te ontcijferen . Gegevens die vandaag geheim moeten blijven maar ook over 10+ jaar nog waardevol zijn (bijv. diplomatieke communicatie, intellectueel eigendom, medische data) lopen dus in feite nu al risico. Dit nuanceert de tijdslijn: zelfs als Q-Day pas over 10 of 15 jaar komt, kan schade eerder intreden doordat gestolen data retrospectief wordt blootgelegd. Voor organisaties betekent dit dat de klok al tikt – ongeacht of de quantumdoorbraak in 2030 of 2035 komt, want je wilt voorkomen dat nu onderschepte data over een decennium ineens publiek wordt .

Samengevat: de technische gemeenschap acht een 2030-quantumcomputer die onze huidige cryptografie kraakt niet erg waarschijnlijk, maar de onzekerheid is groot. De Rekenkamer kiest begrijpelijkerwijs eieren voor haar geld en waarschuwt dat we het ons niet kunnen permitteren om uit te gaan van het rooskleurige scenario. De kernboodschap is dat de voorbereidingstijd nu is. Of Q-Day nou in 2030 komt of pas 2040, we moeten vóór die tijd onze crypto-huishouding op orde hebben  en die operatie vergt jaren aan inspanning .

Taal, perceptie en beleid: tussen urgentie en sensatie

De term “ontwrichten” in de context van technologische dreiging is niet mild. Door te stellen dat een quantumcomputer “het leven kan ontwrichten” heeft de Rekenkamer bewust gekozen voor een alarmerende toon. Wat doet dat met de perceptie?

Enerzijds: het schudt mensen wakker. Een droge waarschuwing in ambtelijke taal was vermoedelijk onder de radar gebleven, gezien quantumcomputers voor velen nog abstract “toekomstmuziek” zijn . Nu echter kreeg het bericht volop media-aandacht, van krantenkoppen tot radio-items. Binnen de overheid – waar al 71% nog níet in beweging was – creëert zo’n waarschuwing politieke urgentie. Niemand wil verantwoordelijk zijn voor het negeren van een signaal dat later tot chaos leidt. We zien dan ook direct Kamervragen en haast bij het formuleren van een quantumstrategie. De keuze voor het woord “ontwrichting” legitimeert in zekere zin stevige beleidsmaatregelen: extra budget, versnelde migratieprojecten, enzovoort, zonder dat het voelt als overdreven paniekvoetbal.

Anderzijds schuilt het gevaar van over-sensationalisme. Roept men té vaak dat de sky is falling, dan kan “quantumdreiging” een modewoord worden waar uiteindelijk schouderophalend op gereageerd wordt. Bij sommige tech-experts en beveiligingsprofessionals klinkt al lichte scepsis of cynisme: is dit niet weer een opgeklopte dreiging die pas over lange tijd speelt, terwijl er nu al genoeg cybersecurityproblemen zijn? (Zie ook reacties op securityforums: “Jaren doet men niets, en nu schieten ze door” .) De kunst is dus balanceren. Angstzaaien mag geen doel op zich zijn; het moet leiden tot actie en voorbereiding, niet tot verlamming of onverschilligheid.

De Rekenkamer lijkt dit te beseffen. Haar boodschap is scherp, maar niet bedoeld als doemprofetie zonder oplossing. Sterker nog, in dezelfde adem wijst ze op de oplossing: post-quantumcryptografie en quantumveiligheid. Het woord “ontwrichting” wordt in voorwaardelijke zin gebruikt – “ontwrichting ligt op de loer” als we níet handelen . Het is dus een waarschuwing met uitgestoken hand: hier is een ramp die we kunnen voorkómen mits we nu in actie komen.

Voor de publieke perceptie is het belangrijk dat deze nuance begrepen wordt. Ja, de dreiging is reëel, maar geen reden voor paniek of tech-pessimisme. Het is eerder een oproep tot vooruitziende blik. We hebben vergelijkbare uitdagingen eerder gehad (denk aan de overstap naar Y2K-veilige systemen, of de uitfasering van verouderde cryptostandaarden) en die zijn met gezamenlijke inspanning opgelost. Door de urgentietrom te roeren wil de Rekenkamer voorkomen dat zelfgenoegzaamheid intreedt.

In beleidskringen lijkt de wake-up call effect te hebben. Het kabinet erkende direct de dreiging en het gebrek aan quantumvoorbereiding, en stelt dat migratie naar PQC “niet vrijblijvend maar noodzakelijk” is . Wel geeft men toe dat dit complex is en expertise vereist die momenteel schaars is . Er wordt nu gewerkt aan een rijksbrede quantumstrategie die in 2026 gepresenteerd moet worden . Ook op EU-niveau is de koers duidelijk: de Europese Commissie dringt aan op quantum-veilige encryptie uiterlijk 2030 in kritieke sectoren . De VS hebben federale overheden opgedragen uiterlijk 2035 alle systemen naar PQC om te zetten . Met andere woorden, beleid beweegt nu – en niet alleen in Nederland – richting een gecoördineerde verdediging tegen de quantumdreiging.

Wat moet de boardroom hiermee?

Voor private organisaties, en zeker hun bestuurders, is de boodschap helder: wacht niet af tot de overheid alles oplost. De waarschuwing van de Rekenkamer richt zich weliswaar op de rijksoverheid, maar de brede ontwikkeling geldt net zo goed voor bedrijven. Bedrijfsgeheimen, klantendata, financiële transacties, ze zijn net zo goed afhankelijk van sterke cryptografie als overheidsinformatie. Bovendien kunnen bedrijven doelwit zijn van statelijke actoren of cybercriminelen die nu al data aan het verzamelen zijn “voor later”.

CFO’s en CEO’s moeten dit zien als strategisch risico met potentieel existentiële impact. De uitdaging is om zonder hysterie, maar met urgentie, de organisatie in gereedheid te brengen voor het post-quantumtijdperk.

Hieronder een top-5 advieslijst voor C-level executives om proactief te handelen op deze waarschuwing en de ontwikkelingen in post-quantumtechnologie en cybersecurity:

1. Erken de dreiging en creëer bewustzijn aan de top: Neem de quantumdreiging serieus in jullie risicoradar. Breng het onderwerp op de agenda van directie en RvC. Begrijp dat dit geen sciencefiction is – diverse overheden en experts benadrukken de urgentie om nu voor te bereiden . Investeer in basiskennis: laat je bijpraten door quantum- en cybersecurityexperts, zodat besluitnemers de essentie snappen.
2. Inventariseer je cryptografie en kwetsbare data: Laat een grondige scan uitvoeren van alle systemen en processen binnen de organisatie die cryptografie gebruiken. Breng in kaart welke gegevens lang vertrouwelijk moeten blijven (denk aan intellectueel eigendom, langdurige contracten, persoonsdata). Deze zogeheten “kroonjuwelen” lopen het meeste risico bij “harvest now, decrypt later”. Een dergelijk cryptografisch asset-onderzoek bereidt jullie voor op gerichte actie .
3. Ontwikkel een migratiestrategie naar post-quantum beveiliging: Stel nu een roadmap op voor de overgang naar post-quantumcryptografie. NIST heeft inmiddels nieuwe PQC-standaarden vastgesteld ; er zijn algoritmes beschikbaar (bijv. CRYSTALS-Kyber, Dilithium) die quantum-bestendig geacht worden. Werk samen met jullie IT-afdeling en leveranciers om te plannen wanneer en hoe jullie huidige cryptografie vervangen of upgraden. Houd rekening met compliance-eisen: tegen 2030 zullen toeleveranciers en overheden verwachten dat kritieke systemen quantum-safe zijn .
4. Eis crypto-agility van leveranciers en investeer in pilots: Ga in gesprek met softwareleveranciers, cloudproviders en andere derde partijen over hun post-quantum roadmap. Zorg dat nieuwe aankopen en systemen crypto-agile zijn – dus flexibel kunnen overschakelen op andere algoritmes zodra nodig . Overweeg om pilotprojecten te starten, bijvoorbeeld met hybride encryptie (combinatie van klassieke en PQC algoritmes) of met opkomende technologieën als quantum key distribution voor uiterst kritieke communicatie. Zo bouw je vroeg ervaring op en signaleer je knelpunten tijdig.
5. Blijf verbonden met beleid en community: Stel iemand aan (bijvoorbeeld een Chief Information Security Officer met post-quantum als aandachtsgebied) om de ontwikkelingen in de gaten te houden. Neem deel aan branche-initiatieven of werkgroepen rondom post-quantum cybersecurity. De dreiging is dynamisch – er komen voortdurend nieuwe inzichten. Samenwerken met peers, universiteiten en overheid kan helpen om gecoördineerd en effectief te reageren. Bovendien kun je zo nodig meepraten over realistische termijnen en ondersteuning vanuit beleid. Onthoud: dit is een uitdaging die de gehele keten raakt, dus een gezamenlijke aanpak verhoogt de slagingskans.

Conclusie: De Rekenkamer heeft een duidelijke wake-up call gegeven: wacht niet totdat het te laat is. Of de quantumcomputer nu binnen vier jaar of (hopelijk) later toeslaat, de verdediging begint vandaag. Niet met paniekzaaien, maar met visie, planning en actie. In de race om quantum-proof te worden, hebben organisaties die nú anticiperen straks een voorsprong – en verzekeren ze zich ervan dat “maatschappelijke ontwrichting” een hypothetisch horrorscenario blijft, in plaats van realiteit. Handel nu, scherp en doordacht, zodat quantumtechnologie een revolutie wordt waar we op voortbouwen in plaats van aan ten onder gaan.

Bronnen:

• Algemene Rekenkamer – Focus op quantumtechnologie (Rijksoverheid)
• NL Times / ANP – “Quantum computers could break Dutch encryption by 2030”
• Palo Alto Networks – “What Is Q-Day, and How Far Away Is It—Really?”
• The Quantum Insider – “EU presses for quantum-safe encryption by 2030”
• TU Delft (onderzoeker N. Bharosa) – Quantum resilience voor een veilige digitale samenleving (LinkedIn)
• CISA/NSA/NIST richtlijnen – Aanbevelingen voor PQC-migratie