| Ingediend | 18 september 2025 |
|---|---|
| Beantwoord | 16 december 2025 (na 89 dagen) |
| Indiener | Barbara Kathmann (PvdA) |
| Beantwoord door | Vincent Karremans (VVD), Foort van Oosten (VVD), van Marum |
| Onderwerpen | organisatie en beleid recht |
| Bron vraag | https://zoek.officielebekendmakingen.nl/kv-tk-2025Z17137.html |
| Bron antwoord | https://zoek.officielebekendmakingen.nl/ah-tk-20252026-695.html |
Ja.2
Ik heb kennisgenomen van het bericht. In de beantwoording van de hiernavolgende vragen, ga ik nader in op de inhoud.
Het antwoord op de vraag of vertrouwelijke data van Nederlanders bij voorkeur Nederlandse handen moet zijn, is afhankelijk van de aard van de gegevens die worden verwerkt, en is daarom niet in algemene zin te beantwoorden.
Overheidsorganisaties zijn bij het aangaan van overeenkomsten met leveranciers gebonden aan juridische en beleidsmatige kaders die de bescherming van vertrouwelijke data waarborgen.3 De Algemene Verordening Gegevensbescherming (AVG) beschermt de rechten en vrijheden van personen bij de verwerking van hun persoonsgegevens, onder meer door te eisen dat organisaties passende beveiligingsmaatregelen nemen om die gegevens te beschermen.4
De doorgifte van persoonsgegevens naar een derde land is toegestaan als de Europese Commissie (EC) heeft vastgesteld dat dit land een passend beschermingsniveau biedt, of als de doorgifte is voorzien van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. Als geen adequaatheidsbesluit of passende waarborgen beschikbaar zijn, mogen persoonsgegevens alleen worden doorgegeven wanneer één van de in de in artikel 49 AVG genoemde uitzonderingen van toepassing is (zoals expliciete toestemming, contractuele noodzaak, vitaal belang of openbaar belang). Anders is doorgifte enkel toegestaan indien de doorgifte niet repetitief, een beperkt aantal betrokkenen betreft, en noodzakelijk is voor dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die niet ondergeschikt zijn aan de belangen of rechten en vrijheden van de betrokkene. Dan dient de verwerkingsverantwoordelijke alle omstandigheden in verband met de gegevensdoorgifte te hebben beoordeeld en op basis van die beoordeling passende waarborgen voor de bescherming van persoonsgegevens te hebben geboden. Ook moet de doorgifte worden gemeld aan de toezichthouder. Binnen deze kaders zijn verwerkingsverantwoordelijke departementen of overheidsorganisaties zelf verantwoordelijk voor de naleving.5
De gegevensbeschermingseffectenbeoordeling (DPIA) speelt daarbij een belangrijke rol. De DPIA brengt de gegevensbeschermingsrisico’s van een voorgenomen (grensoverschrijdende) verwerking in kaart, en laat zien welke maatregelen nodig zijn om deze risico’s te beperken. Overheidsorganisaties zijn verplicht een DPIA uit te voeren bij (grensoverschrijdende) verwerkingen met waarschijnlijk een hoog risico voor rechten en vrijheden van burgers. De Functionaris Gegevensbescherming (FG) van de verwerkingsverantwoordelijke toetst de DPIA in zijn onafhankelijke rol, en adviseert. Bij het wijzigen van de met de verwerking gepaarde risico’s dient opnieuw te worden beoordeeld of de verwerking overeenkomstig de DPIA wordt uitgevoerd.6
Ja, het feit dat Zivver nu onder Amerikaans eigenaarschap valt, betekent dat ook Amerikaanse wetgeving, zoals de Cloud Act, van toepassing kan zijn op de dienstverlening. Verwerkingsverantwoordelijke departementen moeten dit gewijzigde stelsel betrekken in hun risicoafweging bij het gebruik van Zivver.
Het kabinet heeft op dit moment geen aanwijzingen dat gegevens in strijd met het gegevensbeschermingsrecht in handen van de overheid in de VS of Israël terechtkomen, maar kan het ook niet met volledige zekerheid uitsluiten.
Verschillende overheidsorganisaties maken gebruik van Zivver voor het delen van informatie. Ofwel voor het delen van documenten, ofwel voor beveiligd mailen. Datzelfde geldt voor ketenpartners waarmee door overheidsorganisaties in de uitvoering wordt samengewerkt. De continuïteit van de dienstverlening is niet afhankelijk van Zivver.
Overheidsorganisaties geven binnen hun eigen verantwoordelijkheid invulling aan het gebruik van clouddiensten en de daarbij behorende afwegingen.7 Deze dienen te berusten op een gedegen risicoanalyse, waaronder in voorkomende gevallen een DPIA en passende mitigerende maatregelen waar nodig. Departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. Als onderdeel van het cloudbeleid dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daartoe aanleiding is.8
Een dergelijke verandering maakt het wenselijk om risico’s opnieuw te beoordelen in de context van het concrete gebruik, de aard van gegevens die worden uitgewisseld, de getroffen beveiligingsmaatregelen, en de specifieke geldende contractuele (juridische) en technische waarborgen.
Zoals uiteengezet in het antwoord op vraag 3 en 4 dienen verwerkingsverantwoordelijke overheidsorganisaties bij (mogelijke) verandering van de risico’s, zoals in casu de overname van Zivver, te beoordelen of de verwerking nog steeds overeenkomstig de DPIA wordt uitgevoerd. Indien nodig dienen aanvullende maatregelen te worden genomen om de vereiste mate van rechtsbescherming en vertrouwelijkheid te waarborgen.
Het kabinet vindt het, in dergelijke gevallen, niet wenselijk dat vertrouwelijke informatie bij statelijke actoren terecht komt. Het Nationaal Cyber Security Centrum (NCSC) heeft in augustus 2022 een juridische analyse laten uitvoeren door het advocatenkantoor Greenberg Traurig naar de mogelijke impact van de Amerikaanse CLOUD Act. In dit onderzoek kwam destijds naar voren dat het risico op openbaarmaking van Europese (persoons)gegevens onder de Cloud Act klein lijkt.9
Tegelijkertijd, en zoals uiteengezet in het antwoord op vraag 3 en 4, dienen verwerkingsverantwoordelijke overheidsorganisaties bij (mogelijke) veranderingen risico’s in kaart te brengen door het uitvoeren van een DPIA. Ook de mogelijke implicaties van bijvoorbeeld delen van de Cloud Act voor grondrechten dienen in deze risicoafweging te worden betrokken.
Vanuit het Ministerie van BZK zijn, in samenwerking met andere onderdelen van de Rijksoverheid, al verschillende initiatieven gestart. Vanaf 1 januari 2026 gelden er nieuwe beveiligingseisen voor bedrijven die voor de overheid een opdracht uitvoeren met risico’s voor de nationale veiligheid. Dat zijn de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO). Door de ABRO gelden binnen de hele Rijksoverheid dezelfde eisen. De ABRO verkleint de risico’s voor de nationale veiligheid, zoals cyberaanvallen en spionage. Daarnaast is er recent een handreiking opgesteld voor het risicomanagement binnen departement overstijgende ketens.10 De BIO2 biedt een uniforme aanpak en een gemeenschappelijk normenkader voor informatiebeveiliging binnen de overheid, waarbij risicomanagement centraal staat.
Met het oog op het selecteren van alternatieven moeten de risico’s worden beoordeeld en de noodzakelijke maatregelen voor informatiebeveiliging worden vastgelegd. De in verband met informatiebeveiliging en gegevensbescherming noodzakelijke maatregelen zullen daarbij moeten worden vastgelegd en meegenomen in de aanbesteding en eventuele overeenkomst.
Binnen de Rijksoverheid maken verschillende departementen reeds gebruik van andere oplossingen voor het veilig uitwisselen van bestanden en berichten. Een voorbeeld hiervan is Securetransfer, dat SSC-ICT aanbiedt vanuit het rijksdatacentrum ODC-Noord.11
Er loopt momenteel vanuit de Nederlandse Digitaliseringsstrategie wel een verkenning naar het opzetten van een overheidsbrede soevereine cloud, waarin het voorstelbaar is dat er vertrouwelijke gegevensuitwisseling plaats kan gaan vinden. Het realiseren van een soevereine overheidscloud vraagt wel om de nodige investeringen.
De Wet veiligheidstoets investeringen, fusies en overnames (Wet vifo) en de Telecommunicatiewet bevatten ieder een toetsingskader om risico’s voor de nationale veiligheid bij verwervingsactiviteiten te kunnen adresseren. De Wet Vifo is gericht op verwervingsactiviteiten die betrekking hebben op vitale aanbieders, ondernemingen die actief zijn op het gebied van bepaalde sensitieve technologie, en beheerders van een bedrijfscampus. De Telecommunicatiewet kent eveneens een specifiek toetsingsregime voor zeggenschapswijzigingen bij aanbieders van telecompartijen, waaronder aanbieders van gekwalificeerde vertrouwensdiensten. Als een onderneming niet valt onder het specifiek omschreven wettelijk toepassingsbereik (en dus bijvoorbeeld geen specifieke sensitieve technologie heeft, geen betrekking heeft op een vitaal proces, of de criteria uit de Telecommunicatiewet niet haalt), dan is een verwervingsactiviteit ten aanzien van die onderneming niet meldingplichtig en kan de Minister van Economische Zaken niet ingrijpen. Voor dit uitgangspunt is onder andere gekozen met het oog op de proportionaliteit: de ex ante meldingplicht en de toetsingsbevoegdheid van de Minister moet niet verder gaan dan strikt nodig is. Ook komt het vooraf vastleggen wanneer een transactie meldingsplichtig is de rechtszekerheid ten goede (door het voorkomen van willekeurig of politiek-gedreven ingrijpen in de markt). Ook heeft het kabinet beoogd alleen de meest risicovolle categorieën ondernemingen af te dekken. Met de bestaande wetgeving bestaat dus de mogelijkheid om overnames die de nationale veiligheid kunnen raken te toetsen, indien deze vallen binnen het toepassingsbereik van die wetten. Indien blijkt dat aanvullende sectoren of technologieën een zodanig veiligheidsbelang vertegenwoordigen dat zij onder de Wet Vifo of de Telecommunicatiewet zouden moeten vallen, kan het toepassingsbereik van de wet worden uitgebreid. Het kabinet volgt relevante ontwikkelingen op dit gebied op de voet. Zo werkt het kabinet momenteel aan een uitbreiding van het toepassingsbereik van de Wet Vifo voor enkele aanvullende sensitieve technologieën.
Zivver is niet als digitale essentiële dienst aangemerkt. De Wet weerbaarheid kritieke entiteiten (Wwke) schrijft ministeries voor om periodiek vitaal beoordelingen uit te voeren, zo ook voor de digitale infrastructuur.
De NIS2-richtlijn heeft tot doel om de cyberbeveiliging in de EU verder te versterken en de CER-richtlijn tot doel om de weerbaarheid van essentiële diensten binnen de EU te vergroten. Daartoe bevatten de richtlijnen onder meer verplichtingen voor hieronder vallende entiteiten om passende en evenredige technische, operationele en organisatorische (beveiligings)maatregelen te nemen en om significante incidenten te melden. De NIS2-richtlijn en de CER-richtlijn bevatten geen regels die zien op overnames van bedrijven door niet-Europese partijen. In Nederland wordt de NIS2-richtlijn geïmplementeerd met de Cyberbeveiligingswet en wordt de CER-richtlijn geïmplementeerd in de Wet weerbaarheid kritieke entiteiten. Aangezien de NIS2-richtlijn en CER-richtlijn geen regels bevatten over overnames van bedrijven door niet-Europese bedrijven, wordt dit evenmin geregeld in de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten.
In Nederland worden bepaalde verwervingsactiviteiten getoetst door het kabinet krachtens investeringstoetsingswetgeving zoals de Wet Vifo en de Wet ongewenste zeggenschap telecommunicatie. Deze investeringstoetsen zijn landenneutraal. De toetsende autoriteit (het Bureau Toetsing Investeringen van het Ministerie van Economische Zaken) neemt de identiteit van de verwerver mee in de toetsing.
Er is geen aanleiding om op dit moment aan te nemen dat de betrokkenheid van voormalige Israëlische inlichtingenfunctionarissen bij Kiteworks risico’s oplevert voor het gebruik van Zivver binnen de Rijksoverheid. In het rijksbrede cloudbeleid is opgenomen dat indien er een risico afkomstig van statelijke actoren is, de gebruiker van de clouddienst beveiligingsadvies in dient te winnen de AIVD en/of MIVD.12 Indien gebruikers van de clouddienst een verhoogd risico signaleren in verband met statelijke actoren, is dit de aangewezen route om te komen tot een onderbouwd oordeel over eventuele heroverweging van het gebruik van Zivver als digitale dienst.
Informatiestromen, zoals de informatiestroom die is beschreven in het artikel op Follow the Money, dienen volgens het rijksbrede cloudbeleid te worden betrokken bij de risicoafweging die verplicht is voorafgaand aan het gebruik van clouddiensten. Zoals ook in het artikel wordt beschreven, kunnen aanvullende lokale veiligheidsinstellingen aangebracht worden, bijvoorbeeld in Outlook of Gmail, om te voorkomen dat gevoelige informatie naar externe servers wordt verzonden. Zivver geeft aan dat vrijwel alle overheidsklanten, zorginstellingen en andere kritieke organisaties de Outlook-integratie om die reden gebruiken.13
Het instellen van dergelijke beveiligingsmaatregelen is daarmee een logische uitkomst van de verplichte risicoafwegingen.
Ja.
Hierbij deel ik u, mede namens de Minister van Economische Zaken en de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelatie, mede dat de schriftelijke vragen van het lid Kathmann (GroenLinks-PvdA), van uw Kamer aan de Kies een item. over de overname van Zivver door een Amerikaans bedrijf (ingezonden Klik of tik om een datum in te voeren.) niet binnen de gebruikelijke termijn kunnen worden beantwoord, aangezien nog niet alle benodigde informatie is ontvangen. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.