| Ingediend | 3 juli 2017 |
|---|---|
| Beantwoord | 22 augustus 2017 (na 50 dagen) |
| Indieners | Maarten Hijink (SP), Ronald van Raak (SP) |
| Beantwoord door | Henk Kamp (minister economische zaken) (VVD), Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
| Onderwerpen | economie ict recht staatsrecht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2017Z09565.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20162017-2503.html |
UWV heeft maatregelen genomen om te borgen dat de persoonsgegevens die IBM verwerkt zodanig zijn beveiligd dat wordt voldaan aan de privacyregelgeving. Zo is IBM contractueel verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. Verder heeft UWV een beveiligingsovereenkomst met IBM gesloten waarbij alle klantspecifieke beveiligingsafspraken tot in detail zijn vastgelegd. Daar waar vereist heeft UWV een European Model Contract gesloten met IBM. In dergelijke modelcontracten (waarvan de tekst is vastgesteld door de Europese Commissie) worden passende waarborgen gegeven voor de bescherming van persoonsgegevens die in lijn zijn met de Europese kaders. Nederland heeft echter geen directe invloed op wetgeving van buiten de EU die de privacyregelgeving zou kunnen doorkruisen. Van een volledige garantie kan dan ook geen sprake zijn (zie ook het antwoord onder 2).
Momenteel loopt een aanbestedingstraject om de datacenterdienstverlening bij UWV opnieuw te verwerven. In de aanbesteding worden uitgebreide, concrete eisen opgenomen over beveiliging. Een beveiligingsovereenkomst gebaseerd op de geldende standaarden vormt onderdeel van de contractset en deze wordt (zoals nu ook bij IBM het geval is) in concrete afspraken uitgewerkt. Ook heeft UWV, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hiermee borgt UWV dat ook bij een nieuw contract voor datacenterdienstverlening een passend beschermingsniveau van persoonsgegevens en een afdoende algemeen beveiligingsniveau wordt geboden.
Nee, die garantie kan ik niet geven. Er bestaat immers een aantal rechtsgrondslagen om persoonsgegevens aan de Amerikaanse overheid te verstrekken. Een voorbeeld hiervan is de samenwerking op strafrechtelijk gebied, waarbij in het kader van opsporingsonderzoeken gegevens kunnen worden doorgegeven aan de overheden van derde landen, waaronder de Verenigde Staten. Dit kan ook gegevens aangaande Nederlandse burgers betreffen. Deze verstrekking geschiedt in beginsel slechts indien een verdrag met het desbetreffende land daarvoor een adequate grondslag biedt. Toepassing van rechtshulpverdragen tussen Nederland en het desbetreffende land is voor strafrechtelijke samenwerking de meest in aanmerking komende oplossing. Met de Verenigde Staten bestaat een dergelijk verdrag. Ook op andere terreinen, zoals bijvoorbeeld de belastingheffing, bestaan verdragen die voorzien in de doorgifte van persoonsgegevens aan derde landen.
Indien gegevens op servers in het buitenland staan, is er sprake van een verhoogde kans op bemoeienis van buitenlandse overheden. Vanzelfsprekend vallen gegevens op servers welke in het buitenland zijn geplaatst onder de jurisdictie van het desbetreffende land. De kans is daarbij aanwezig dat deze gegevens, in zijn algemeenheid en met inachtneming van de ter zake geldende wetgeving in dat land, door instanties in dat land kunnen worden opgevraagd.
Ik ben niet van plan extra maatregelen te nemen om het opslaan van data op buitenlandse servers onmogelijk te maken. Van welke dienstverleners gebruik wordt gemaakt is een afweging die binnen de kaders van wet- en regelgeving wordt gemaakt. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor bijvoorbeeld open data. Overheden die data willen afschermen tegen onbevoegde inzage staan verschillende maatregelen ter beschikking. Het afdwingen van de opslaglocatie is een mogelijke maatregel, maar goede encryptie is bijvoorbeeld ook een optie. De aard van de data en de risico’s die hier verbonden aan zijn, bepalen de mix van deze maatregelen.
Zoals reeds aangegeven in de beantwoording van eerdere Kamervragen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2149) kan niet worden uitgesloten dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Indien er geconstateerd wordt dat het geval is neemt het kabinet maatregelen.
In zijn brief van 21 juni 2017 (vergaderjaar 2016–2017, Kamerstuk 26 643, nr. 477) bij de aanbieding van het Cybersecuritybeeld Nederland 2017 (CSBN 2017) gaf de Staatssecretaris van Veiligheid en Justitie aan dat de grootste dreiging in het digitale domein blijft uitgaan van beroepscriminelen en statelijke actoren.
Hoewel overheid, bedrijfsleven, wetenschap en burgers in Nederland veel inspanningen verrichten om de digitale weerbaarheid te vergroten laat het CSBN 2017 ook zien dat het bijhouden van de groeiende kwetsbaarheid van de maatschappij als geheel een grote uitdaging blijft. Het beeld laat zien dat investeren in de toekomst nodig zal blijven voor de digitale weerbaarheid.