Vraag 1

Bent u bekend met recente berichtgeving over (de gevolgen van) het wereldwijde chiptekort, zoals «VDL Nedcar legt autoproductie stil vanwege chiptekort»1 en «Speaker of vaatwasser kopen? Mogelijk langere levertijd door chiptekort»?2

Ja.

Vraag 2

Kunt u kwantificeren wat dit chiptekort betekent voor Nederland? Hoe groot is de economische schade? Welke bedrijven, sectoren en regio’s worden het hardste geraakt? Wat zijn de gevolgen voor zowel de zakelijke als particuliere markt?

Vooralsnog zijn de negatieve gevolgen van het chiptekort in Nederland in hoofdzaak beperkt tot bedrijven in de automotive industrie. Voor zover ons bekend treft dit momenteel met name VDL Nedcar, waar de productie enkele keren heeft stilgelegen vanwege een tekort aan chips.
Voor wat betreft signalen uit andere sectoren heeft Philips recent bij de presentatie van de jaarcijfers gewezen op mogelijke risico’s voor de medische sector. Tevens zijn er signalen dat consumenten van goederen als wasmachines, speakers en gaming consoles vertragingen in productie en levering ervaren door de chiptekorten.
Aan de andere kant zijn er (grote en kleinere) Nederlandse bedrijven in de halfgeleiderindustrie die baat hebben bij de huidige dynamiek en gegroeide vraag op de halfgeleidermarkt. Door de complexiteit en grote mate van mondiale verwevenheid van de toeleveringsketen is een exacte balans van de economische schade en de precieze impact voor Nederland lastig te maken.
Signalen van de mogelijke impact van de tekorten op Nederland worden door het Ministerie van Economische Zaken en Klimaat (EZK) nauwgezet in de gaten gehouden.

Vraag 3

Kunt u aangeven welke typen chips zorgen voor het grootste tekort? Welke leveranciers uit welke landen leveren deze? Kunt u zorgen voor een compleet overzicht?

Een eindproduct, zoals een auto of een laptop, bestaat vaak uit een combinatie van meerdere types chips (in een auto kunnen bijvoorbeeld wel meer dan 1000 chips zitten van allerlei soorten en functionaliteiten). Het is daarom niet zomaar mogelijk voor elk type product een overzicht te geven welke precieze chip door wie wordt gemaakt en hoe dit zich verhoudt tot de (mogelijke) tekorten. Dit vereist een zeer gedetailleerde analyse van vele soorten eindproducten in vele soorten eindmarkten. Tevens is de toeleverketen dusdanig complex dat een verschuiving of het wegvallen van orders voor het ene product op een onverwachte manier kan doorwerken op een groep andere producten. Ook bestaat het productieproces van chips uit veel verschillende stappen (fabricage, testen, assemblage, etc.), elk van deze stappen kan bij een ander bedrijf in een andere regio in de wereld plaatsvinden en op elk van deze stappen kan een mogelijk knelpunt ontstaan. Dit heeft tot resultaat dat een chipproduct tot wel 70 keer een landsgrens over kan gaan voordat het uiteindelijk in het eindproduct beland. Daarnaast is er ook een verantwoordelijkheid voor bedrijven zelf om scherp in beeld te hebben waar mogelijke zwaktes in toeleveringsketens zitten.
Chipproductie concentreert zich bij bedrijven in Azië (Taiwan en Zuid Korea), de Verenigde Staten en Europa. Er bestaan verschillende businessmodellen voor chipproducten, de zogenaamde pure play foundry en bedrijven die als Integrated Device Manufacturers (IDM) opereren. IDM’s ontwerpen hun eigen chipproducten en produceren deze ook deels zelf, maar kunnen ook delen van hun productie hebben ondergebracht bij pure play foundries. Deze pure play foundry’s produceren voor een breed scala aan klanten en ontwerpen dus geen eigen chipproducten. De grote pure play foundry’s die massaproductie leveren voor chips zijn voornamelijk geconcentreerd in Azië. Ook veel bedrijven die diensten aanbieden voor bijvoorbeeld de processtap van het testen in het productieproces zijn geconcentreerd in Azië.

Vraag 4

Wat beschouwt u zelf als de belangrijkste oorzaken waardoor dit chiptekort heeft kunnen ontstaan? In welk specifiek onderdeel in de waardeketen zitten de grootste problemen?

De halfgeleiderwaardeketen heeft een hoge mate van complexiteit en mondiale verwevenheid. Het is daarom lastig om één specifieke oorzaak aan te wijzen. Er zijn verschillende elementen die gezamenlijk van invloed zijn op de huidige dynamiek in deze markt:

Vraag 5

Kunt u schetsen in welk tempo de huidige problemen door chiptekorten worden opgelost? Bent u hierover in overleg met het bedrijfsleven en betrokken sectoren/verenigingen?

Voor Nederland geldt dat er geen grootschalige productiebedrijvigheid is gericht op de toepassing van deze chips(downstream markt, denk hierbij aan Original Equipment Manufacturers (OEMs) in de automotive industrie, of bedrijven in de smartphone-industrie zoals Apple en Samsung). Zoals aangegeven treft het Nederland wel daar waar het toeleveranciers van bijvoorbeeld de automotive industrie betreft, maar is deze vooralsnog beperkt. Het Ministerie van EZK houdt (mogelijke) tekorten goed in de gaten en staat hierover in contact met het bedrijfsleven.
Het opschalen van de huidige productiecapaciteit is het snelst gerealiseerd via bestaande spelers. Het opstarten van nieuwe productiebedrijven of productielocaties is een langdurig proces en vereist in deze industrie zeer omvangrijke investeringen (meerdere miljarden). Toch zien we momenteel dergelijke ontwikkelingen, met het oog op het versneld terugdringen van het chiptekort.
Zo is op 27 januari 2021 een overeenkomst getekend tussen de Taiwanese overheid en vier grote chipfabrikanten (TSMC, UMC, Vanguard en Powerchip) waarin is afgesproken dat de productiecapaciteit zal worden geoptimaliseerd, waar mogelijk zal worden uitgebreid en anders gealloceerd. Op 21 mei 2021 is tevens door TSMC aangekondigd dat ze de output voor de chipindustrie met 60% zullen opschroeven, naar verwachting nog dit jaar.

Vraag 6

Bent u bekend met de oproep voor een «Airbus of chips» die Eurocommissaris Kroes in 2013 deed?3 Hoe is, in Nederland en in Europa, opvolging gegeven aan deze oproep? Kunt u alle beschikbare informatie hieromtrent met de Kamer delen?

Ja. Deze oproep van Eurocommissaris Kroes, destijds verantwoordelijk voor de «Digital Agenda Electronics for Europe», werd gedaan tijdens het IMEC Technology Forum op 24 mei 2012 in Brussel. Zij onderstreepte het belang van de micro- en nano elektronica als belangrijke sleuteltechnologie voor een veelheid van toepassingen. Daarnaast gaf zij aan dat Europa toegang tot deze technologie nodig heeft voor de belangrijke uitdagingen zoals op het gebied van mobiliteit, energievoorziening, gezondheidszorg en klimaatverandering.
Kroes betoogde dat geen Europees land alleen op eigen kracht mondiaal kan concurreren over de gehele waardeketen. Daarom achtte zij het van belang dat de brede expertise binnen Europa zou worden samengebracht om te komen tot een «Airbus of Chips»: een micro elektronica-ecosysteem, naar het voorbeeld van de Europese vliegtuigindustrie. Tot zo’n initiatief is het uiteindelijk niet gekomen. Echter, in 2014 heeft de Europese Commissie wel het staatsteunkader verruimd voor zogenaamde «Important Projects of Common European Interest» (IPCEI). Dit zijn projecten die een belangrijke bijdrage leveren aan de doelstellingen van de Unie, zoals de Europese strategie voor micro- en nano-elektronische onderdelen en systemen. Bij deze projecten kan de staatssteun hoger zijn dan die voor reguliere onderzoeksinspanningen is toegestaan en bijvoorbeeld ook betrekking hebben op de eerste industriële toepassing van een bepaalde technologie.
Een eerste IPCEI voor micro elektronica werd in 2017 opgezet, met onder meer Frankrijk, Duitsland, Italië, het Verenigd Koninkrijk (VK) en Oostenrijk als deelnemende landen. Nederland heeft hieraan niet deelgenomen, vanwege andere prioritering van mogelijke Nederlandse deelnemers. Thans is een tweede IPCEI in ontwikkeling, waarvoor vanuit het Nederlandse bedrijfsleven wel grote interesse bestaat. Ter voorbereiding van mogelijke Nederlandse participatie aan de IPCEI is door RVO een interessepeiling uitgeschreven.4 Deze is gesloten op 21 mei 2021, op dit moment worden ingediende voorstellen inhoudelijk beoordeeld.
In het antwoord op vraag 9 en vraag 10 gaan wij in op de stappen die in Europa worden gezet op het gebied van het Europese ecosysteem van halfgeleiders.

Vraag 7

Hoezeer staat het chiptekort inmiddels voldoende op het netvlies van het kabinet? Is het prioriteit om dit zo spoedig mogelijk met het bedrijfsleven, kennisinstellingen en alle relevante partners op te lossen en de onderliggende problemen, zoals een te grote afhankelijkheid van productie elders in de wereld, aan te pakken? Welke acties heeft het kabinet hiertoe tot dusver ondernomen?

De signalen van de chiptekorten in verschillende sectoren worden nauwlettend gevolgd door het Ministerie van EZK. Op Europees niveau wordt dit in bredere context meegenomen in strategische discussies voor het gehele Europese ecosysteem van halfgeleiders en afhankelijkheden van waardeketens. In het antwoord op vraag 9 en vraag 10 gaan wij verder in op de lopende trajecten om het Europese halfgeleider-ecosysteem te versterken.

Vraag 8

Hoe kijkt u aan tegen de disbalans in de productie van chips, namelijk (afgerond) 8% in Europa, 22% in de Verenigde Staten en 70% in Azië?4

Zoals verder toegelicht onder antwoord vraag 9 en 10 is het van belang dat er een balans bestaat in het totale wereldwijde ecosysteem. In het recent gepubliceerde «Europe’s Digital Decade: digital targets for 2030» is de ambitie gesteld om het Europese aandeel in de waardeketen op te schroeven.

Vraag 9

Deelt u de mening dat het chiptekort behalve een Nederlands ook een Europees probleem is, dat in Europees verband moet worden opgelost? Vindt u net als wij dat hiervoor een sterke, onafhankelijke Europese halfgeleiderindustrie van cruciaal belang is? Waarom wel/niet?

Ja, wij delen uw mening dat het chiptekort niet alleen een Nederlands, maar ook een Europees probleem is dat Europees moet worden opgelost. Ook het Ministerie van EZK ziet een sterke Europese halfgeleiderindustrie als van cruciaal belang. De hoge kapitaal- en R&D-intensiteit van de halfgeleiderindustrie leent zich echter niet voor een ontkoppeling van de waardeketen in verschillende geografische regio’s. Daarnaast is het een dusdanig verweven mondiale waardeketen dat alle regio’s in de wereld voor bepaalde delen van deze waardeketen van elkaar afhankelijk zijn.
Onszelf afsnijden van de mondiale waardeketen is niet in het belang van Europa, omdat daarmee de koploperspositie die Europa op bepaalde onderdelen in de waardeketen heeft niet behouden kan worden. Hiermee zal de Europese sector toegang tot belangrijke groei- en afzetmarkten worden bemoeilijkt waardoor omzet en marktkansen worden misgelopen. Daardoor kunnen de benodigde omvangrijke R&D-investeringen niet meer worden gedaan en zal Europa in deze sector achterop raken. Het is van belang een juiste balans te hebben in wederzijdse afhankelijkheden tussen regio’s in de wereld. Dit is ook in lijn met onze inzet op het gebied van open strategische autonomie. De Europese Unie opereert in een onderling afhankelijke wereld waarin wederzijdse afhankelijkheid stabiliteit biedt.
Op 7 december 2020 heeft Nederland samen met 19 andere lidstaten de «Joint declaration on processors and semiconductor technologies» ondertekend. Hierin wordt de intentie uitgesproken tot het versterken van het Europese halfgeleider-ecosysteem en een opmaat gegeven voor het vormen van een «Important Project of Common European Interest» (IPCEI) en het vormen van een «Industry Alliance» voor deze industrie.
Er zijn verschillende manieren om het gehele Europese halfgeleider-ecosysteem te versterken. Één onderdeel van het palet aan mogelijkheden zijn de belangrijke Europese R&D-programma’s die al lopen en verscheidene trajecten bevatten die van belang zijn voor dit ecosysteem. Het «Key Digital Technologies Partnershop» (KDT) Joint Undertaking ECSEL is hiervan een goed voorbeeld. Dit is een Europees partnerschap van lidstaten, geassocieerde landen, de industrie en de Europese Commissie. ECSEL ondersteunt industriële R&D&I-inspanningen binnen de sector elektronische componenten en systemen (ECS) door middel van gezamenlijke medefinanciering door de Europese Unie en deelnemende landen. Nederland is, met Duitsland en Frankrijk, één van de grotere participanten in ECSEL. Onder het nieuwe Kaderprogramma voor Onderzoek en technologische ontwikkeling, «Horizon Europe», zal dit partnerschap onder de naam KDT worden gecontinueerd. Ook binnen het intergouvernementele EUREKA-programma wordt actieve ondersteuning gegeven aan Europese industriële R&D&I samenwerking. In deze programma’s wordt ook met landen buiten Europa, zoals Canada samengewerkt. Het Europees R&D-vermogen is krachtig en wereldwijd onderscheidend, met name ook voor het ecosysteem van halfgeleiders. Het ondersteunen van fundamenteel onderzoek is echter niet het enige stukje van de puzzel die moet worden gelegd om de gehele waardeketen en Europese positie te waarborgen en versterken.
Nederland is zeer intensief betrokken bij de totstandkoming en verdere invulling van de strategische richting van de IPCEI Micro-elektronica 2 (IPCEI ME2). Nederland wordt hier door de Europese Commissie gezien als een land met een sleutelpositie in de mondiale waardeketen. Belangrijke partnerlanden in IPCEI-context voor de halfgeleiderindustrie zijn Frankrijk en Duitsland. Duitsland heeft in hun Recovery & Resilience Plan (RRP) een bedrag van 1,5 miljard euro gereserveerd en ook Frankrijk heeft in deze ordegrootte een post opgenomen in hun RRP. Nederland kijkt momenteel welke mogelijkheden er zijn ten aanzien van financiering, met inbegrip van het RRP.
De «Industry Alliance» wordt op dit moment gevormd onder aanvoering van Eurocommissaris Breton. Hierin zullen belangrijke producenten en OEMs van de Europese halfgeleiderindustrie zijn vertegenwoordigd. Ook ASML heeft zijn commitment voor de «Industry Alliance» recent uitgesproken, waardoor Nederland met een vooraanstaand bedrijf in de sector is vertegenwoordigd.

Vraag 10

Indien ja, wat is nodig om een dergelijk sterke, onafhankelijke Europese halfgeleiderindustrie tot stand te brengen? Hoe kan en gaat Nederland hieraan bijdragen?

Zie antwoord vraag 9.

Vraag 11

Kunt u uiteenzetten welke bedrijven en instellingen, in welke Europese landen, thans een sterke positie hebben en/of een toekomstige positie kunnen hebben voor het opzetten van een huidige chipgeneratie (elektronica) waardeketen en een toekomstige nieuwe chipgeneratie (fotonica) waardeketen?

Het Ministerie van EZK heeft goed in beeld waar de krachten van Nederland liggen en hoe deze complementair zouden kunnen zijn aan de krachten in andere Europese landen. Zoals eerder aangegeven zijn Frankrijk en Duitsland hierin belangrijke partners. Daarnaast heeft EZK veelvuldig en nauw contact met het bedrijfsleven Nederland, evenals Europa, heeft krachtige ecosystemen die zich concentreren rondom grotere bedrijven en kennisinstellingen zoals ASML en ASMI, maar waar ook veel belangrijke toeleveranciers een rol in spelen. Dit brede ecosysteem-is waar Nederland zich voor inzet.
Nederland heeft zelf belangrijke clusters rondom Eindhoven (met name rondom de machinebouw), maar bijvoorbeeld ook een sterk cluster rondom Nijmegen. Ook is het cluster rondom Leuven met bijvoorbeeld onderzoeksinstelling Imec van groot belang voor het Nederlandse ecosysteem.
Andere sterke Europese halfgeleiderclusters bevinden zich in Duitsland rondom Saksen, waar bedrijven zitten als Global Foundries, Infineon en Bosch. Deze bedrijven zijn deels Integrated Device Manufacturers en leveren daarmee ook deels productie van chips. Het ecosysteem hier levert aan klanten in verschillende eindmarkten, van de automotive industrie tot de mobiele markt, connectiviteit en servers, medische en industriële toepassingen.
In Frankrijk bevindt een sterke concentratie zich rondom Grenoble, met bedrijven als ST Microelectronics (Frans/Italiaans), Exyte en Soi Tech (productie van speciale wafers). Ook deze bedrijven leveren aan eindmarkten als telecom, automotive, communicatie en servers, mobiele markt, farmacie en biotechnologie. Daarnaast kent Frankrijk een aantal grote OEM’s die van belang zijn voor de halfgeleider industrie, zoals Thales, Airbus, Continental en PSA (Peugeot, Opel, Citroën).

Vraag 12

Welke rol en mogelijkheden in productieprocessen en productontwerp voorziet u voor SMART Photonics, waarin het kabinet 20 miljoen euro heeft geïnvesteerd en dat onderdeel is van een Nederlands consortium?

SMART Photonics is een belangrijke speler in het verder uitbouwen van een krachtig ecosysteem en de Nederlandse positie in de geïntegreerde fotonica. Op dit moment is het de enige foundry in Europa voor de productie van fotonische chips op basis van indiumfosfide. Hiermee kunnen hoogwaardige chips worden gebouwd die gecombineerde functionaliteit kunnen bieden van bijvoorbeeld lasers met microelectronica-onderdelen. Dit soort functionaliteit kan bijvoorbeeld niet worden gerealiseerd op wafers gemaakt van silicium.
Op het moment komen de meeste klanten van dit bedrijf uit Nederland, maar het bedrijf trekt ook klanten uit Japan, de VS en China. Er worden momenteel ongeveer 500 wafers per jaar geproduceerd. Wanneer dit kan worden opgeschaald zal het naar verwachting internationaal een belangrijke strategische positie in het Europese ecosysteem innemen. Mogelijkheden tot opschalen (in zowel de huidige 3-inch-productie als het werken met grotere wafers) is een belangrijke overweging geweest voor de investering.
De Nederlandse geïntegreerde fotonica-industrie is de afgelopen jaren gegroeid en omvat momenteel zo’n 25 bedrijven met ruim 3.000 werknemers. Nederland heeft een positie in bijna de gehele waardeketen: van R&D tot ontwerp en software design, tot fabricage, packaging en testen. Het mondiale marktpotentieel van fotonica is groot. Een logische eindmarkt voor fotonische producten is die van dataverwerking en telecom – met fotonische oplossingen kan datacommunicatie sneller, met grotere hoeveelheden en minder stroomverbruik worden gerealiseerd. Een andere opkomende eindmarkt is die voor verschillende types sensoren die weer toepassingen hebben in bijvoorbeeld de automotive industrie, luchtvaart en gezondheidszorg.

Vraag 13

Op welke manier is Nederland thans betrokken bij de (oprichting van) een Europese alliantie om chiptekorten tegen te gaan?5

Zie antwoord op vraag 9 en 10. Er is momenteel een Europese alliantie in oprichting. Deze zal zich buigen over de algehele strategie voor de Europese halfgeleiderindustrie, en richt zich daarmee niet enkel op de chiptekorten. Het huidige chiptekort en hoe dit op de lange termijn aan te pakken zal echter zeker onderdeel zijn van de gesprekken.

Vraag 14

Zijn er op dit moment serieuze gesprekken gaande met betrekking tot samenwerking van buitenlandse partijen die een volwassen ervaring hebben in de internationale chipproductieketens?

Ja, hier lopen gesprekken met diverse buitenlandse partijen. Dit is ook voor de NFIA en haar regionale partners in het Invest in Holland-netwerk een belangrijk aandachtsgebied. Omwille van de vertrouwelijke aard van deze gesprekken kunnen wij niet nader ingaan op de inhoud hiervan.

Vraag 15

Deelt u de mening dat het huidige chiptekort een exemplarisch gevolg is van het weggaan/wegblijven van maakindustrie uit Nederland en Europa? Indien ja, hoe komt dat volgens u? Indien niet, waarom niet?

Nee, deze mening delen wij niet. De wijze waarop de productie van microchips zich in verschillende regio’s van de wereld heeft geconcentreerd, is het gevolg van procesoptimalisatie en bijbehorende schaalvergroting in de mondiale waardeketen. Zuid-Korea en Taiwan hebben hier een specialisatie in opgebouwd in de grootschalige productie van chips. Nederland heeft in andere onderdelen van de waardeketen specialisaties en sterke posities opgebouwd. De Nederlandse positie in de halfgeleidermachinebouw is daarvan een goed voorbeeld, maar bijvoorbeeld ook de positie in geïntegreerde fotonica is sterk. wij zijn positief over de positie van de Nederlandse maakindustrie. In de Kamerbrief over de kabinetsvisie op de maakindustrie van oktober 2020 (Kamerstuk 29 826, nr. 124) hebben wij een beeld geschetst van die positie, maar ook van de uitdagingen waar we in de komende jaren voor staan.

Vraag 16

Bent u bereid om de brief «Visie op de toekomst van de industrie in Nederland» van 30 oktober 2020 (Kamerstuk nr. 29 826, nr. 124), waarin het belang van maakindustrie voor Nederland wordt onderkend, nog dit jaar samen met het bedrijfsleven te vertalen naar een actieplan met concrete acties hoe enerzijds maakindustrie voor Nederland te behouden en anderzijds maakindustrie naar Nederland terug te halen («reshoring»)?

Dit kabinet hecht groot belang aan een sterke maakindustrie in Nederland. Wij zijn voornemens om hier, in navolging op de genoemde industriebrief, nog dit jaar een actieplan aan te koppelen. Over de wijze van invulling van het actieplan en het precieze moment van publicatie zal echter een volgend kabinet moeten beslissen. Daarbij de aantekening dat de potentie tot reshoring voor de Nederlandse maakindustrie niet moet worden overschat. Recente studies van de SER (SER advies 21/01 2021 Reshoring) en onderzoek van Berenschot in opdracht van Innovation Quarter (Berenschot, «Reshoring: kansen en bedreigingen voor Zuid-Holland» (februari 2021)) geven dit ook aan. Over de kansen en uitdagingen van reshoring zal uw Kamer voor de zomer nader geïnformeerd worden in reactie op de motie Amhaouch-Wiersma over de kansen en uitdagingen voor Nederland op het gebied van reshoring Kamerstuk 35 570 XIII, nr. 30).

Vraag 1

Bent u bekend met het artikel «Nederland verliest controle op beveiliging van het internet?»1

Ja.

Vraag 2

Hoe beoordeelt u het advies van de Cyber Security Raad dat het kabinet dringend moet ingrijpen om te voorkomen dat onze economie te afhankelijk wordt van buitenlandse technologie? Kunt u uw analyse toelichten?

Op 14 mei jl. heeft de Cyber Security Raad (CSR) het advies «Nederlandse Digitale Autonomie en Cybersecurity» uitgebracht. Het vraagstuk van digitale autonomie en het verhogen van onze digitale weerbaarheid heeft de nadrukkelijke aandacht van het kabinet. Digitale autonomie is echter geen vanzelfsprekendheid.
Nederland is verweven met de mondiale economie die bestaat uit een veelheid aan onderlinge, wederzijdse afhankelijkheden. Dat betekent dat leveranciers van over de hele wereld als onderdeel van complexe waardeketens producten en diensten leveren in het digitale domein. Deze verwevenheid biedt in algemene zin zeer grote economische voordelen, is in een open en gespecialiseerde economie onvermijdelijk en kan bijdragen aan een weerbare internationale economische positie van Nederland. Door deze verwevenheid kunnen er in het digitale domein echter ook ongewenste afhankelijkheidsrelaties met partijen van buiten EU ontstaan. Dit kan onze publieke belangen, waaronder onze (nationale) digitale veiligheid, in het geding brengen. De CSR wijst er in zijn advies op dat ongewenste (digitale) afhankelijkheden een bedreiging kunnen vormen die geadresseerd moeten worden. Tegelijkertijd onderschrijft de CSR dat naast de dreiging die uitgaat van deze afhankelijkheidsrelaties, globalisering enorme voordelen voor Nederland heeft gebracht. Balkanisering (versplintering) van technologie en protectionisme kan wereldwijde handel belemmeren en daarmee ook welvaart en banen kosten in Nederland, aldus de CSR.
Bij het adresseren van ongewenste afhankelijkheidsrelaties moeten protectionisme en fragmentatie dan ook zo veel mogelijk worden vermeden. In dat licht ziet het kabinet digitale autonomie niet als doel op zich maar als middel. Dit moet, in samenspraak met onze Europese partners, zorgvuldig en proportioneel worden bezien zodat Nederland het vermogen heeft om voldoende voor de eigen publieke belangen, waaronder onze (nationale) digitale veiligheid, op te komen en deze belangen zeker te stellen.
Het is nodig voor onze digitale autonomie dat we open, eerlijke en duurzame internationale relaties aangaan, waarbij onze normen en waarden zijn beschermd. De voordelen van internationale handel en investeringen, toegang tot wereldwijde waardeketens en internationale concurrentie moeten zoveel mogelijk behouden blijven.
Tegelijkertijd is het zaak dat we actief blijven investeren in de weerbaarheid van onze digitale infrastructuur. Waar nodig en wenselijk moeten we maatregelen nemen om ongewenste strategische afhankelijkheden weg te nemen of te voorkomen. Om tot effectieve en proportionele maatregelen te komen dient een zorgvuldige analyse van en afweging tussen de risico’s en de verwachte (veiligheids)baten en de verwachte kosten van de mogelijke maatregelen.
Er lopen al acties die concreet bijdragen aan onze digitale autonomie. Zo wordt binnen het nieuwe samenwerkingsplatform voor kennis en innovatie cybersecurity (dcypher) gewerkt aan een routekaart voor cryptocommunicatie. Het kabinet werkt daarnaast voortdurend aan de versterking van de digitale weerbaarheid via het beleid dat is uiteengezet in de Nederlandse Cybersecurity Agenda (NCSA). Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij digitale producten hanteert het kabinet de overwegingen die zijn vermeld in de brief aan de Tweede Kamer over C2000.2 Meer specifiek voor de telecommunicatiesector heeft het kabinet op 1 juli 2019 aanvullende beschermingsmaatregelen aangekondigd op basis van een risicoanalyse die is uitgevoerd door de Taskforce Economische Veiligheid3. Dit heeft er onder andere toe geleid dat mobiele netwerk operators in kritieke onderdelen alleen gebruik mogen maken van vertrouwde leveranciers.
Daarnaast overweegt Nederland deelname aan een Important Project of Common European Interest voor Cloudinfrastructuur en services (IPCEI CIS), een concreet Europees project wat als doel heeft om nieuwe generatie cloud-oplossingen in Europa te ontwikkelen en de waardeketen in Europa te versterken. Ook kijkt Nederland naar deelname aan een Important Project of Common European Interest voor de semiconductorsector (IPCEI Micro-elektronica 2, IPCEI ME2). De resultaten om onder het Nederlandse bedrijfsleven en kennisinstellingen de belangstelling te identificeren volgen in de zomer.
Het is essentieel dat we nu en in de toekomst blijven inzetten op digitale autonomie en cybersecurity.

Vraag 3

Hoe beoordeelt u de onderliggende waarschuwing van de Cyber Security Raad dat Nederland haar greep op de beveiliging van het internet anders dreigt kwijt te krijgen? Kunt u uw analyse toelichten?

Zie antwoord vraag 2.

Vraag 4

Wat is de status van de uitvoering van de motie van de leden Buitenweg en Yesilgöz-Zegerius over inzicht verkrijgen in de afhankelijkheid van digitale processen en diensten bij vitale processen? In hoeverre zijn processen van onze vitale infrastructuur ondergebracht en afhankelijk van buitenlandse aanbieders? In hoeveel van deze gevallen is het beheer van deze digitale processen uitbesteed aan buitenlandse aanbieders? Hoeveel van deze aanbieders zijn gevestigd in staten die een offensief cyberprogramma kennen?2

Met de brief «Beleidsreactie op het Dreigingsbeeld Statelijke Actoren (DBSA) en voortgang aanpak statelijke dreigingen» gaf het kabinet invulling aan de motie Buitenweg/Yesilgöz-Zegerius over het inzichtelijk maken van cyberafhankelijkheden in vitale processen.5 Hierin wordt de opzet van een structurele aanpak voor de telecomsector benoemd. Ook staat hierin aangegeven dat in de komende periode in kaart wordt gebracht wat er nodig is qua mensen, middelen en expertise om deze aanpak te verbreden naar andere vitale processen.
Er wordt niet integraal bijgehouden in hoeverre de dienstverlening binnen vitale processen plaatsvindt door of afhankelijk is van buitenlandse aanbieders, en daarmee ook niet in hoeveel gevallen het beheer van digitale processen wordt uitbesteed aan buitenlandse aanbieders. Dit is, gezien het grote aantal leveranciers van producten en diensten van vitale processen, ook niet realistisch. Uitgangspunt is een risicogestuurde aanpak, zodat dreigingen en kwetsbaarheden gericht kunnen worden geadresseerd. Zo zijn binnen de aanpak tegengaan statelijke dreigingen verschillende instrumenten ontwikkeld en maatregelen genomen om nationale veiligheidsrisico’s te adresseren, zoals de voorbereiding van wetgeving ten behoeve van het stelsel van investeringstoetsing en de herziening en beschikbaarstelling van het instrumentarium voor inkoop en aanbesteding.6

Vraag 5

Bent u het met de mening eens dat het uit nationale veiligheidsoverwegingen, onwenselijk is om digitale technologieën die wij gebruiken voor vitale processen zoals energievoorziening en betalingsverkeer af te nemen van staten met een offensief cyberprogramma? Zo ja, waar liggen volgens u mogelijkheden om meer grip te krijgen op de digitale processen van onze vitale infrastructuur? Zo nee, waarom niet?

Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA) beschreven is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.7
Tegelijkertijd bestaan er risico’s op digitale spionage en -sabotage, die kunnen leiden tot verstoring van de continuïteit van de vitale infrastructuur en aantasting van de integriteit of exclusiviteit van gevoelige kennis en informatie. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers die afkomstig zijn, of onder controle staan van bedrijven, uit een land met wetgeving die commerciële partijen dwingt tot samenwerking met de overheid van dat land. De risico’s voor de nationale veiligheid worden verder vergroot als het land in laatstbedoelde zin een offensief inlichtingenprogramma voert dat gericht is op Nederlandse belangen. Van belang is het juist ook met betrekking tot deze risico’s telkens te bepalen of en welke beheersmaatregelen mogelijk, wenselijk, en realiseerbaar zijn om voldoende bescherming hiertegen te bieden.
Versterking van de weerbaarheid van netwerk- en informatiesystemen is dan ook van groot belang. Het kabinet werkt hieraan via de aanpak statelijke dreigingen, de versterkte aanpak vitaal en de aanpak zoals beschreven in de Nederlandse Cybersecurity Agenda (NCSA). Het in kaart brengen van de te beschermen belangen en de daarop betrekking hebbende dreigingen, alsmede het nemen van maatregelen om die belangen te beschermen, staan daarbij steeds centraal. De combinatie van technologische ontwikkelingen en geopolitieke veranderingen vraagt erom met een andere blik te kijken naar welke belangen we willen beschermen. Hiervoor wordt nauw samengewerkt met onder meer bedrijven en kennisinstellingen. Met een geactualiseerd instrumentarium worden deze veranderende omstandigheden integraal meegewogen in het beoordelen van risico’s en bij het naar aanleiding daarvan waar nodig nemen van weerbaarheidsverhogende maatregelen. Hierbij wordt digitale en fysieke weerbaarheid in zijn geheel bezien. Ketenafhankelijkheden worden daarbij beter in kaart gebracht, omdat vitale processen onderling sterk verweven zijn en sterk afhankelijk zijn van toeleveranciers.

Vraag 6

Hoeveel geld ontvangt Nederland jaarlijks uit het EU Resilience and Recovery Fund om te investeren in digitale innovaties? Hoe groot is dit bedrag ten opzichte van andere lidstaten? Op basis van welke voorwaarden wordt dit geld verdeeld onder lidstaten?

Nederland ontvangt naar verwachting € 5,96 mld. aan middelen uit de Recovery and Resilience Facility. Om aanspraak te maken op de RRF-middelen moet Nederland een Recovery and Resilience plan (RRP) indienen met ambitieuze hervormingen en investeringen die invulling geven aan de landspecifieke aanbevelingen die de Europese Commissie voor Nederland heeft geïdentificeerd. Deze middelen moeten ingezet worden voor het bevorderen van economisch herstel en het aanjagen van de groene en digitale transitie. Minstens 20% van de middelen moeten ten goede komen aan de digitale transitie. Hiernaast moet minstens 37% bijdragen aan de groene transitie. De middelen worden in tranches uitgekeerd op basis van het behalen van vooraf geformuleerde mijlpalen en doelen die voor 31 augustus 2026 moeten zijn afgerond. Dezelfde voorwaarden zijn van toepassing op andere lidstaten. Het staat lidstaten verder vrij om binnen de criteria uit de RRF-verordening meer focus te leggen op de digitale transitie in hun eigen RRP’s.
De allocaties uit de RRF worden op twee momenten vastgesteld. De allocatie voor 2021–2022 is gebaseerd op werkloosheidscijfers (2015–2019), de omvang van de bevolking (2019) en het bbp per capita (2019). Voor de allocatie in 2023 geldt een aangepaste verdeelsleutel waarbij de factor werkloosheid wordt vervangen door (in gelijke delen) het bbp-verlies in 2020 en het cumulatieve bbp-verlies over de periode 2020–21 op basis van de cijfers die eind juni 2022 beschikbaar zijn. Op de website van de Europese Commissie vindt u de allocatie van de RRF-middelen per lidstaat8. Lidstaten worden geacht een RRP in te dienen voor 100% van de verwachte allocatie. Naar aanleiding van de definitieve vaststelling kunnen lidstaten hun RRP’s wijzigen voor zover de definitieve allocatie is gewijzigd.

Vraag 7

Bent u het met de mening eens dat het voor Nederland, zowel uit veiligheids- als innovatieoogpunt van groot belang is dat wordt geïnvesteerd in Nederlandse technologie? Zo ja, hoe beoordeelt u het bedrag dat Nederland jaarlijks ontvangt uit het EU Resilience and Recovery Fund? Zo nee, waarom niet?

Ja, vanuit zowel veiligheids- als innovatieoogpunt is het van groot belang dat wij blijven investeren in technologische ontwikkeling. Het bedrag dat Nederland zal ontvangen vanuit de Resilience and Recovery Facility is een welkome aanvulling. De RRF-middelen betreft echter een incidentele impuls en is daarmee van beperkte meerwaarde voor de uitdagingen waar Nederland voor staat. Het is voor onze brede welvaart van groot belang dat wij ook structureel blijven investeren in het versterken van onze lange termijn verdienvermogen.

Vraag 8

Kunt u deze vragen binnen de gestelde termijn beantwoorden?

Ja.

Vraag 1

Kent u het artikel «Belgische overheden getroffen door grote cyberaanval»?1

Ja.

Vraag 2

Hoe vaak is de Nederlandse overheid doelwit geweest van een cyberaanval, zoals een DDOS aanval?

Er is geen volledig beeld van het aantal aanvallen waarvan de Nederlandse overheid doelwit is geweest. In algemene zin is bekend dat Nederlandse instellingen, waaronder overheden, te kampen hebben met digitale aanvallen. Het jaarlijks gepubliceerde Cybersecuritybeeld Nederland (CSBN) geeft inzicht in de digitale dreiging in Nederland, waaronder tegen de overheid, en de belangen die daardoor kunnen worden aangetast.2
De meest gestructureerde statistieken die beschikbaar zijn over DDoS-aanvallen zijn afkomstig van de Nationale Beheersorganisatie voor Internet Providers (NBIP). NBIP rapporteert jaarlijks over de DDoS-aanvallen die gemeten zijn door de Nationale DDoS Wasstraat (NaWas).3 Ik verwijs u voor meer informatie hierover door naar de beantwoording van eerdere Kamervragen over DDoS gericht aan de Staatssecretaris van EZK.4

Vraag 3

Is Nederland voldoende weerbaar tegen cyberaanvallen, waaronder DDOS-aanvallen? Zo ja, waaruit blijkt dat? Zo nee, hoe verbeteren we de Nederlandse weerbaarheid tegen cyberaanvallen?

Het CSBN 2020 laat zien dat de weerbaarheid tegen digitale dreigingen nog niet overal op orde is.5 Cyberincidenten hebben de potentie om grote schade aan te richten en in uiterste gevallen maatschappelijke ontwrichting te veroorzaken.
De afgelopen jaren is daarom ingezet op het versterken van cybersecurity. De kabinetsbrede aanpak van cybersecurity is vastgelegd in de Nationale Cybersecurity Agenda (NCSA).6 De uitvoering daarvan wordt ondersteund met investeringen door het kabinet die oplopen tot 95 miljoen euro structureel. Om in te kunnen spelen op technologische en maatschappelijke ontwikkelingen, en actuele dreigingen en risico’s zijn de maatregelen uit de NCSA in de loop van de tijd verder uitgewerkt en versterkt. Dit is sinds de verschijning van de NCSA meerdere keren gebeurd.7, 8, 9, 10 De zeven ambities uit de NCSA blijven hierbij het uitgangspunt en over de voortgang op deze ambities wordt jaarlijks gerapporteerd aan uw Kamer. De NCSA is opgesteld onder leiding van en uitgevoerd onder coördinatie van het Ministerie van Justitie en Veiligheid en met de vakdepartementen vanuit hun eigen specifieke beleidsverantwoordelijkheden. De Minister van Justitie en Veiligheid is de coördinerend bewindspersoon op het gebied van cybersecurity.
Over het niveau van de digitale weerbaarheid in Nederland en de maatregelen die in dat kader zijn genomen, verwijs ik graag naar het CSBN 2021 en de begeleidende beleidsbrief die de Minister van Justitie en Veiligheid op korte termijn aan uw Kamer zal aanbieden.
Specifiek voor de overheid geldt de Baseline Informatiebeveiliging Overheid
(BIO) sinds eind 2018 als basisnormenkader voor informatiebeveiliging waaraan alle overheden zich moeten houden.11 Door implementatie van de BIO hebben overheidsorganisaties de basisbeveiliging op orde. Dit levert een bijdrage aan de weerbaarheid tegen cyberaanvallen, bijvoorbeeld door het verplicht minimaal jaarlijks testen op feitelijke veiligheid. Een voorbeeld hiervan is het uitvoeren van penetratietesten. Een penetratietest is een beveiligingscontrole die gericht is op een deel van het systeem. Bij een penetratietest wordt gekeken of het mogelijk is om kwetsbaarheden en risico's ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken.

Vraag 4

Is de Nederlandse overheid proactief op zoek naar kwetsbaarheden in de beveiliging? Zo nee, waarom niet?

Alle overheden hanteren de overheidsbrede BIO als basis voor de inrichting van hun digitale veiligheid. De baseline is erop gericht om de weerbaarheid van overheidsorganisaties ten aanzien van cyberdreigingen en incidenten te vergroten. Het proactief monitoren op kwetsbaarheden en waar nodig verhelpen van deze kwetsbaarheden is een van de relevante maatregelen daarbij. Zoals ik op 18 maart jl. aan uw Kamer heb gemeld in mijn voortgangsbrief over informatieveiligheid bij de overheid12, testen steeds meer overheden hun feitelijke veiligheid op verschillende manieren. Het overheidsbrede ondersteuningsprogramma BIO van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), dat overheden sinds 2019 helpt met de implementatie van de BIO, besteedt ook aandacht aan het belang van testen. Eveneens vinden er bij de overheid ook verschillende cyberoefeningen plaats, die kwetsbaarheden in de beveiliging kunnen aantonen. De Nederlandse overheid is dus inderdaad proactief op zoek naar kwetsbaarheden in de beveiliging.
Specifiek voor het Rijk is geïnventariseerd bij de departementen op welke wijze het geautomatiseerd zoeken naar kwetsbaarheden gestalte krijgt. Uit deze inventarisatie blijkt dat dit breed wordt toegepast. In het kader van kennisdeling heeft het Ministerie van BZK in samenwerking met een groep experts binnen de rijksoverheid en de departementen een handreiking opgesteld en vastgesteld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksoverheidsorganisaties. Daarnaast worden er door departementen diverse middelen ingezet om proactief naar kwetsbaarheden te zoeken, waaronder penetratietesten en red teaming oefeningen, en voert de Auditdienst Rijk in opdracht van de departementen en het Ministerie van BZK onderzoeken uit naar de feitelijke veiligheid van systemen en netwerken.
Een belangrijk uitgangspunt is dat iedere private en publieke organisatie primair zelf verantwoordelijk is voor zijn eigen digitale beveiliging.
De computercrisisteams (CSIRTS)13 van de overheden spelen een belangrijke rol om overheidsorganisaties te ondersteunen bij het voorkomen en verhelpen van digitale incidenten. Wel geldt voor organisaties die deel uitmaken van de rijksoverheid (en vitale aanbieders) dat het Nationaal Cybersecurity Centrum (NCSC) krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak heeft om hen bijstand te verlenen om hun digitale weerbaarheid te waarborgen en te versterken. Daarnaast deelt het NCSC in algemene zin informatie over kwetsbaarheden en daarbij behorende beveiligingsadviezen op zijn website.

Vraag 5

Is er een noodprotocol om de overheid te laten functioneren als de overheid te maken krijgt met een cyberaanval? Zo nee, vindt u het zinvol om een noodprotocol te ontwikkelen? Wilt u uw antwoord motiveren?

Alle overheden kennen herstel- en continuïteitsplannen voor wanneer er sprake is van digitale verstoring. Ook worden er diverse maatregelen getroffen om de continuïteit van de digitale overheid te kunnen waarborgen. Zo verplicht de BIO dat overheidsorganisaties hun informatiebeveiligingscontinuïteit plannen, implementeren, verifiëren, beoordelen en evalueren.14 Voor bedrijfskritische onderdelen in de bedrijfsvoering geldt de eis van herstel binnen een week. Op die manier voorzien overheden in de continuïteit van processen en systemen van de digitale overheid.
Voor situaties waarvan sprake is van maatschappelijke ontwrichting kan in het uiterste geval de nationale crisisstructuur in werking treden. Deze is door het kabinet vastgelegd in het Instellingsbesluit Ministeriële Commissie Crisisbeheersing en het Nationaal Handboek Crisisbesluitvorming. Het Nationaal Crisisplan Digitaal (NCP-Digitaal) is een specifieke uitwerking voor de aanpak van een crisis veroorzaakt in het digitale domein.15
Ten slotte wordt er ook geoefend bij de overheid. Omdat de ketenafhankelijkheid een gegeven is op de digitale snelweg, wordt er jaarlijks sinds 2019 geoefend met gesimuleerde hackaanvallen op processen en systemen van de overheid. Deze jaarlijkse Overheidsbrede Cyberoefening16 wordt georganiseerd door het Ministerie van BZK. Met alle overheden wordt het oefenscenario zo realistisch mogelijk uitgewerkt waarbij een digitale verstoring merkbaar zichtbaar is bij meerdere overheidslagen. Juist door ketens heen, interbestuurlijk en met een brede doelgroep (van IT-professional tot aan de bestuurder van een overheidsorganisatie).

Vraag 6

Heeft u contact gehad met uw Belgische ambtgenoot over de DDOS-aanval? Zo ja, wat is er besproken en wat heeft het gesprek opgeleverd?

Internationaal wordt op continue basis met partners op operationeel niveau zoveel als mogelijk informatie over dreigingen en incidenten uitgewisseld. Het NCSC heeft op dinsdag 4 mei en donderdag 6 mei jl. contact opgenomen met het Belgische Collectief Computer Security Incident Response Team (CSIRT), CERT-BE, voor het opvragen van technische details van de DDoS-aanval.
In EU-verband en bilateraal werkt Nederland overigens ook goed samen met België aan de versterking van cyberweerbaarheid. De Nederlandse ambassade in België heeft op dinsdag 4 mei jl. contact gehad met de Belgische federale overheid over de DDoS-aanval en de maatschappelijke impact hiervan. De ontvangen informatie is direct gedeeld met het Ministerie van Buitenlandse Zaken en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Vraag 7

Welke lessen zijn er te leren aan de hand van de cyberaanvallen in België?

Digitale incidenten zijn niet gebonden aan landsgrenzen. Incidenten of dreiging daarvan in andere landen kunnen ook op organisaties in Nederland effect hebben. Internationale samenwerking is daarom van groot belang. Door snelle informatie-uitwisseling wordt bijvoorbeeld het NCSC in de gelegenheid gesteld organisaties binnen de doelgroep tijdig te waarschuwen en te informeren.
In Nederland wordt snelle informatie-uitwisseling over DDoS-aanvallen ook bevorderd door de Anti-DDoS-Coalitie.17 Dit is een samenwerkingsverband van publieke, private en wetenschappelijke partijen waarbinnen informatie en kennis over DDoS-aanvallen gedeeld kan worden om de weerbaarheid tegen aanvallen te verhogen.
In algemene zin tonen de cyberaanvallen in België wederom het belang van het op orde hebben van de digitale weerbaarheid aan.

Vraag 1

Bent u bekend met het artikel «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.

Vraag 2

Wat is uw reactie op deze berichtgeving, die erop wijst dat het Centraal Bureau voor de Statistiek (CBS) jarenlang toegang had tot gevoelige locatiegegevens van klanten van T-Mobile?

Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek naar aanleiding van het NRC-artikel. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht alvorens hierop een reactie kan worden gegeven.

Vraag 3

Klopt het dat medewerkers van het CBS toegang hadden tot verkeersgegevens voor facturering van T-Mobile klanten, waarmee kan worden achterhaald wie wanneer op welke locatie was en met wie men contact had?

Het is aan de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens om dit te beoordelen. Volgens het CBS heeft het geen toegang gehad tot individuele klantgegevens van personen. Het CBS en T-Mobile hebben aangegeven dat het CBS inzicht heeft gehad in gegevens die niet herleidbaar zijn tot klanten en dat de gegevens waar het om gaat geen exacte plaatsbepaling aangeven. Dit neemt niet weg dat er toch vragen zijn gerezen over het verstrekken van gegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.

Vraag 4

In hoeverre zijn dergelijke verkeers- en factureringsgegevens te beschouwen als anonieme datasets?

Verkeers- en factureringsgegevens zijn te beschouwen als persoonsgegevens en dus niet anoniem.

Vraag 5

Welke definitie hanteert u van gepseudonimiseerde persoonsgegevens in dit verband? Zijn gegevens van telecommunicatieverkeer waaruit enkel de unieke IMSI-nummers zijn verwijderd nog steeds persoonsgegevens, of niet?

De definitie die wordt gehanteerd is afkomstig uit artikel 4 lid 5 van de AVG: het verwerken van persoonsgegevens op zodanige wijze dat de persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en technische en organisatorische maatregelen worden genomen om ervoor te zorgen dat de persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Of de gegevens van het telecommunicatieverkeer na verwijdering van de IMSI-nummers nog zijn te beschouwen als persoonsgegevens hangt af van de inhoud van de resterende gegevens (maken die nog steeds herleiding tot persoon mogelijk) en kan dus niet zonder nader onderzoek beantwoord worden.

Vraag 6

Klopt het dat CBS-medewerkers zelfs toegang hadden tot direct herleidbare persoonsgegevens, met inbegrip van IMSI-nummers?

Het CBS heeft aangeven dat de CBS-medewerkers geen IMSI-nummers hebben gezien en ook geen toegang hebben gehad tot individueel herleidbare persoonsgegevens. Het is aan de toezichthouders om hier een oordeel over te vellen.

Vraag 7

Hoe verhoudt de samenwerking tussen het CBS en T-Mobile zich tot het voorstel voor de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19? Is de verstrekking van de data, zoals die heeft plaatsgevonden tussen het CBS en T-Mobile, enigszins vergelijkbaar met het voorstel om informatie door te geven via het CBS aan het Rijksinstituut voor Volksgezondheid en Milieu (RIVM)?

De Telecommunicatiewet maakt het de aanbieders van telecommunicatiediensten mogelijk om zonder toestemming van de gebruikers locatiegegevens te verwerken onder de voorwaarde dat deze gegevens zijn geanonimiseerd. Na de anonimisering mogen de gegevens, als de aanbieders van telecommunicatiediensten dat zouden willen, ook met derden worden gedeeld. Het CBS geeft aan dat het in de pilot ging om vrijwillig door de aanbieder ter beschikking gestelde geanonimiseerde gegevens. Voor wat betreft het gebruik van telecommunicatiedata voor de bestrijding van Covid-19 hebben diverse aanbieders verklaard hieraan alleen te willen meewerken als zij daartoe wettelijk verplicht worden. In de Tijdelijke wet informatieverstrekking RIVM in verband met de bestrijding van Covid-19 is een dergelijke verplichting voor aanbieders opgenomen. Daarnaast zijn in het wetsvoorstel regels opgenomen over de wijze waarop de telecommunicatie-aanbieders de gegevens aan het CBS moeten leveren.

Vraag 8

Hoe kijkt u nu naar het antwoord in de nota naar aanleiding van het verslag, waarin u schreef dat CBS-medewerkers op het kantoor van T-Mobile werkzaam waren in het kader van een pilot om te kunnen meekijken en overleggen, en dat gedurende de pilot enkel anonieme uitkomsten (tellingen) aan het CBS zijn geleverd? Deelt u de mening dat dit antwoord niet correct was? Zo ja, hoe verklaart u dit?

Nee. In de nota naar aanleiding van het verslag heeft de regering opgemerkt dat het op grond van de Telecommunicatiewet toegestaan is verkeersgegevens te verwerken als deze geanonimiseerd zijn. Voorts is melding gemaakt van het feit dat het CBS heeft aangegeven dat bij de samenwerking met T-Mobile sprake is geweest van verwerking van anonieme gegevens. Dit neemt niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.

Vraag 9

Klopt het dat het CBS in regulier overleg met de toezichthouders heeft verzwegen toegang te hebben gehad tot niet-geanonimiseerde locatiedata van T-Mobile klanten? Zo ja, wat vindt u hiervan?

Naar eigen zeggen heeft het CBS geen toegang gehad tot niet-geanonimiseerde locatiedata van T-Mobile klanten. Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht.

Vraag 10

Klopt het dat de Autoriteit Persoonsgegevens wegens tijdgebrek nog niet was toegekomen aan het bekijken van opgevraagde CBS-documenten? Deelt u de mening dat deze casus eens te meer aantoont dat een forse intensivering nodig is van de capaciteit van de Autoriteit Persoonsgegevens?

De Autoriteit Persoonsgegevens heeft besloten nadere vragen te stellen aangaande de situatie bij het CBS in relatie tot de pilot. Het CBS heeft aan de Autoriteit Persoonsgegevens documentatie over de pilot aangeleverd. Deze aangeleverde documentatie van CBS heeft de Autoriteit Persoonsgegevens eind 2020 behandeld. Zoals hierboven benoemd, doen het Agentschap Telecom en de Autoriteit Persoonsgegevens momenteel gezamenlijk onderzoek. Uit deze gang van zaken zijn geen conclusies te trekken over de noodzaak van een capaciteitsintensivering voor de Autoriteit Persoonsgegevens.

Vraag 11

Klopt het dat in het projectplan voor deze samenwerking staat vermeld dat medewerkers van het CBS volledige toegang zouden hebben tot gevoelige locatiedata, terwijl het contract enkel gaat over geaggregeerde gegevens?

De overeenkomst tussen het CBS en T-Mobile waarin de voorwaarden voor samenwerking zijn opgenomen, is openbaar gemaakt2. Het CBS heeft te kennen gegeven dat in het projectplan staat dat er, conform de overeenkomt, wordt gewerkt met geaggregeerde gegevens.

Vraag 12

Hoe is het mogelijk dat het CBS, als zelfstandig bestuursorgaan, deze samenwerking is aangegaan? Op welke manier wordt binnen de organisatie getoetst of projectplannen voldoen aan de privacy-wetgeving? Hoe is het mogelijk dat niemand hierover aan de bel heeft getrokken? Bent u bereid om een extern onderzoek te starten naar de wijze waarop het CBS omgaat met privacy-vraagstukken?

Het CBS heeft als wettelijke taak om van overheidswege statistieken te produceren en te publiceren. Nieuwe maatschappelijke en technologische ontwikkelingen hebben geleid tot meer vraag naar data. Samenwerking van het CBS met wetenschap en private partijen biedt voor het CBS mogelijkheden om voor het ontwikkelen van statistieken meer inzicht te krijgen in unieke data of methoden.
Volgens het CBS en T-Mobile hebben zij zich ervan vergewist dat dit onderzoek binnen de kaders van de Telecommunicatiewet en de AVG was toegestaan. Bovendien worden jaarlijks audits door externe auditors uitgevoerd naar de taakuitoefening door het CBS, waaronder op het gebied van privacy. HetCBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen3. Zoals eerder aangegeven neemt dit niet weg dat er vragen zijn gerezen over het verstrekken van telecommunicatiegegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.

Vraag 13

Hoe beoordeelt u het feit dat het CBS, een zelfstandig bestuursorgaan, bekostigd uit de rijksbegroting, opereert op basis van een business plan dat inzet op het combineren van datasets, waarmee tientallen miljoenen euro’s per jaar kunnen worden verdiend? Vindt u dit wenselijk?

Het CBS heeft als wettelijke taak om van overheidswege statistieken te produceren en te publiceren. Om dat op een doelmatige en veilige wijze te doen, worden ook onderzoeken gedaan naar de gebruiksmogelijkheden van nieuwe databronnen. Het doel is daarbij altijd het genereren van informatie die aansluit bij de maatschappelijke behoefte. Alle uitkomsten en methoden worden openbaar gemaakt.
Het CBS ontvangt ieder jaar een lumpsumbijdrage van het Ministerie van Economische Zaken en Klimaat voor de uitvoering van het werkprogramma, waaruit onder andere de verplichte Europese statistieken worden bekostigd. Hiernaast kunnen overheden, vanuit hun eigen begrotingen, het CBS verzoeken om aanvullende statistische dienstverlening. Hiervoor brengt het CBS de integrale kostprijs in rekening conform artikel 5 van de Beleidsregel taakuitoefening CBS. Het CBS heeft geen winstoogmerk, maar moet de kosten voor dienstverlening waar de bijdrage van het Ministerie van Economische Zaken en Klimaat niet in voorziet, wel in de vorm van een integrale kostprijs aan zijn opdrachtgevers doorberekenen om te voorkomen dat er sprake is van oneerlijke concurrentie met private statistische dienstverleners. Het is van belang dat het handelen van het CBS niet leidt tot marktverstorend gedrag. Om duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS, zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden.

Vraag 14

Vindt u het wenselijk dat het CBS contracten aangaat met private bedrijven waar toegang tot gevoelige gegevens als het ware wordt uitgewisseld tegen het leveren van algoritmen waar die private bedrijven dan weer van kunnen profiteren? In hoeverre is dit verenigbaar met de publieke taak van het CBS?

De mogelijkheid van samenwerking met private bedrijven is wenselijk om het CBS in staat te kunnen stellen te voldoen aan zijn wettelijke taak om van overheidswege statistieken te produceren en te publiceren ten behoeve van praktijk, beleid en wetenschap. De algoritmen en andere kennis die uit dergelijke samenwerkingen voortvloeien, worden altijd publiekelijk beschikbaar gesteld, zodat ook anderen, zoals bedrijven, overheden of onderzoeksinstellingen daarvan gebruik kunnen maken. Op de website van het CBS is een overzicht van innovatieve projecten te vinden4.

Vraag 15

In hoeverre zijn de nationale statistiekbureaus in andere Europese landen op een vergelijkbare wijze ingericht, waarbij zij zich op de markt begeven als ontwikkelaar van algoritmen?

Het CBS begeeft zich niet op de markt voor algoritmen. Het CBS ontwikkelt algoritmen die het nodig heeft voor zijn wettelijke taak en stelt deze vervolgens publiekelijk beschikbaar.

Vraag 16

Deelt u de strekking van het artikel dat het CBS zich op de markt nadrukkelijk profileert als een betrouwbare partij, vanwege haar banden met de overheid, om zo marktvoordeel te behalen ten opzichte van concurrenten?

Overheidspartijen kunnen voor statistische informatie die ze nodig hebben bij de uitvoering van hun publieke taak bij het CBS terecht. Voor dergelijke werkzaamheden brengt het CBS de integrale kostprijs in rekening. Het CBS verricht daarnaast incidenteel werkzaamheden voor derden (private partijen). Tegen deze achtergrond, heeft het Ministerie van Economische Zaken en Klimaat signalen ontvangen dat marktpartijen en het CBS elkaar op de markt voor statistische diensten steeds vaker tegenkomen. Er is onduidelijkheid ontstaan of het CBS de aangewezen partij is om een statistische opdracht te leveren, of dat dit aan een marktpartij moet worden overgelaten. Hiertoe zijn sinds 1 juli 2020 de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS in werking getreden. Deze regelgeving heeft tot doel meer duidelijkheid te scheppen over de rolverdeling tussen private statistische dienstverleners en het CBS. Het CBS richt zich daarvoor zichtbaarder op zijn kerntaken en heeft bij het leveren van aanvullende diensten of het uitvoeren van innovatieve projecten permanent aandacht voor de belangen van marktpartijen. In 2022 worden de effecten van de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS geëvalueerd.

Vraag 17

Deelt u de strekking van het artikel dat zowel T-Mobile als het CBS misleidend zijn geweest in hun externe communicatie over dit samenwerkingsproject door te benadrukken dat het alleen zou gaan om anonieme geaggregeerde data, ook toen men al wist dat er ook met ruwe locatiedata was gewerkt?

Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht.

Vraag 18

Herkent u het beeld dat wordt geschetst van bedrijven en onderzoekers die pogen om de coronacrisis aan te wenden om toegang tot gegevens te verkrijgen op een manier die eerder niet mogelijk was? Zo ja, wat vindt u van deze trend?

Dergelijke signalen hebben het kabinet niet bereikt. Indien dit wel het geval zou zijn, is dat natuurlijk zorgwekkend. De coronacrisis mag niet worden misbruikt om op oneigenlijke wijze toegang tot eerder ontoegankelijke gegevens te verkrijgen.

Vraag 19

Kunt u een overzicht geven van alle vergelijkbare contracten die het CBS heeft met private bedrijven rond toegang tot klantgegevens en de ontwikkeling en levering van algoritmen?

Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Op de website van het CBS staat een overzicht van innovatieve projecten en de resultaten daarvan, die zich soms in publiekelijk toegankelijke algoritmen vertalen5.

Vraag 1

Hebt u kennisgenomen van de gevolgen van het hackschandaal met behulp van de Pegasus-software waarbij door landen die de software van het Israëlische particuliere bedrijf NSO hebben aangeschaft tal van politici, journalisten, advocaten en mensenrechtenverdedigers in tal van landen hebben afgeluisterd?1 Deelt u de opvatting over soft ware van NSO dat «Targeted surveillance is a serious threat facing human rights defenders globally. Though often carried out by states, this practice is enabled by digital surveillance tools provided by private companies?»2 Zo nee, waarom niet?

Vraag 2

Is u bekend dat ook Nederlandse politici, advocaten, mensenrechtenverdedigers en journalisten via andere landen die Pegasus-software gebruiken zijn gehackt? Kunt u melden om hoeveel personen het gaat en welke beroepen zij hebben? Zo nee, waarom niet?

Vraag 3

Zijn er Nederlandse instellingen die gebruik maken van Pegasus-software?3 Zo ja, welke? Hebt u contact opgenomen met deze instellingen naar aanleiding van dit nieuws?

Vraag 4

Hebben deze Nederlandse instellingen contact opgenomen met NSO, de leverancier? Zo ja, wat was de inzet en wat het resultaat? Deelt u de opvatting dat een einde moet worden gemaakt aan het gebruik van deze software? Zo nee, waarom niet?

Vraag 5

Hebt u kennis genomen van de veroordeling tot zes jaar gevangenisstraf voor de Marokkaanse journalist Omar Radi, een veroordeling op basis van chats die zijn verkregen met behulp van een met Pegasus-software gehackte telefoon?4

Vraag 6

Deelt u de opvatting dat het hier om een politieke veroordeling gaat en dat deze moet worden afgekeurd zeker nu blijkt dat gebruik wordt gemaakt van hacking? Zo nee, waarom niet?5

Vraag 7

Deelt u de opvatting dat de buitenlandse politiek ten opzichte van Marokko aan herziening toe is? Zo nee, waarom niet? Zo ja, wat betekent dat voor uw houding ten opzichte van de Marokkaanse regering in het licht van «onuitzetbaren» uit Nederland naar het veilige land Marokko? Is Marokko een veilig land en kunnen uitgeprocedeerde asielzoekers worden teruggestuurd?

Vraag 8

Deelt u de kritiek van de EU dat gebruik van het Pegasus-software onaanvaardbaar is? Zo ja, op welke manier hebt u daarvan mededeling gedaan en aan wie?6

Vraag 1

Bent u bekend met het bericht «Coronavirus en de uitfasering van Interconnecting Leased Lines (ILL) en (WLR) ISDN 15/20/30/30CPA1»? Wat vindt u daarvan?

Vraag 2

Bent u ervan op de hoogte dat voor de uitfasering van ISDN30 en andere technieken door KPN een deadline wordt gehanteerd van 1 april 2022 en dat Tele2 een deadline hanteert van 1 oktober 2021 in plaats van april 2022? Bent u ervan op de hoogte dat belangenverenigingen Federatie Veilig Nederland (waaronder particuliere alarmcentrales) & WDTM (zorgtechnologie, e-health en zorginnovatie) aangeven dat, mede door de coronapandemie, de Tele2-deadline van 1 oktober 2021 veel te krap is, en dat een aantal leden van deze twee belangenverenigingen aangeeft de migratie naar een nieuwe oplossing voor tienduizenden cliënten niet tijdig te kunnen realiseren? Hoe beoordeelt u het risico dat alarmberichten en de daarachterliggende hulpvraag na 1 oktober wellicht niet meer worden ontvangen door de zorg- en alarmcentrales?

Vraag 3

Deelt u de de mening dat het onwenselijk is dat door een niet betrouwbaar netwerk de dienstverlening van de betreffende zorg- en alarmcentrales, veiligheidsrisico’s ontstaan? Zo nee, waarom niet?

Vraag 4

Bent u bereid te kijken naar een tijdelijke oplossing waarbij de continuïteit van de dienstverlening gewaarborgd blijft, zodat de cliënten en hun naasten zich geen zorgen hoeven te maken over de stabiliteit van hun netwerk en dus hun eigen veiligheid? Welke oplossing zou dat kunnen zijn?

Vraag 5

Kunt u deze vragen zo snel mogelijk beantwoorden, in ieder geval ruim voor 1 oktober 2021?

Vraag 1

Bent u bekend met het artikel «DNB: Amerikaanse BigTech vormt gevaar voor Europese financiële stabiliteit»?1

Vraag 2

Deelt u de zorgen van De Nederlandsche Bank (DNB) over de groeiende rol van Amerikaanse BigTech-bedrijven als Google, Amazon, Apple en Facebook in de financiële sector?

Vraag 3

Ziet u ook risico’s in de opkomst van Chinese techbedrijven en een dominante positie van die bedrijven in een nieuwe financiële infrastructuur?

Vraag 4

Acht u het waarschijnlijk dat China middels financiële innovatie een dominante positie krijgt in het internationale financiële systeem? Kunt u hierbij ook ingaan op de digitale Yuan?

Vraag 5

Deelt u in dit kader de zorgen over mogelijke privacyschending, misbruik van marktmacht en het borgen van een vrij en toegankelijk financieel systeem?

Vraag 6

Hoe beoordeelt u de huidige samenwerking tussen financiële toezichthouders, cybersecurity-instellingen, mededingingsautoriteiten en privacywaakhonden? Welke verbeteringen zijn mogelijk en welke wetgeving moet hiervoor aangepast worden?

Vraag 7

Deelt u de analyse dat er een gezamenlijk beleid moet komen, waarin het toezicht op techbedrijven geregeld is? Welke stappen moeten hiervoor op nationaal en Europees niveau genomen worden?

Vraag 8

Staan buitenlandse techbedrijven volgens u onder voldoende financieel toezicht? Bent u het eens dat de Europese bankenautoriteit een centrale rol moet spelen bij het toezicht op partijen die buiten het financieel toezicht staan?

Vraag 9

Deelt u de opvatting dat technologische innovatie ook kansen biedt voor de financiële sector? Welke nationale en Europese wet- en regelgeving staat hierbij nog in de weg? Kunt u hierbij ook ingaan op privacywetgeving?

Vraag 10

Hoe kijkt u aan tegen de houdbaarheid van het huidige verdienmodel van banken? Deelt u de analyse dat banken drastisch moeten innoveren om te overleven?

Vraag 11

Kunt u een appreciatie geven op het rapport van DNB «Veranderend landschap, veranderend toezicht. Ontwikkelingen in de relatie tussen BigTechs en financiële instellingen»?2 Kunt u daarbij specifiek ingaan op de vier scenario’s die geschetst worden voor de relatie tussen BigTechs en financiële instellingen?

Vraag 1

Kent u het bericht van de NOS van 23 juni jl.?1 Aan welke eisen moeten alle apps van de overheid precies voldoen volgens de toegankelijkheidsverklaring?

Vraag 2

Erkent u het belang van digitale toegankelijkheid voor mensen met een beperking?

Vraag 3

Kunt u aangeven hoeveel apps van de overheid toegankelijk zijn, dan wel een toegankelijkheidsverklaring hebben? Welke apps zijn dit?

Vraag 4

Wat gaat u doen om de digitale toegankelijkheid te verbeteren?

Vraag 5

Kunt u toezeggen dat alle nieuwe overheidsapps voldoen aan de toegankelijkheidseisen zodat overheidsapps beschikbaar en toegankelijk zijn voor iedereen?

Vraag 1

Bent u bekend met het feit dat Russische hackers toegang hadden tot de politiesystemen door een hack?1

Vraag 2

Wat vindt u van de uitspraak dat de politiesystemen voor de hack slecht beveiligd waren?

Vraag 3

Hoe kan het zijn dat de politiesystemen zo slecht beveiligd waren?

Vraag 4

Waarom monitorde de politie niet structureel of de systemen veilig waren?

Vraag 5

Onderzoekt de regering structureel of de digitale beveiligingsystemen op orde zijn? Zo nee, waarom niet en bent u hiertoe bereid? Zo ja, zijn er meer overheidssystemen die slecht beveiligd zijn? Zo ja, welke?

Vraag 6

Wat vindt u van de keuze van de politie om de Russen er eerst uit te jagen, gelet op het feit dat we niet weten waar de Russen naar op zoek waren?

Vraag 7

Klopt het dat Russische hackers ook toegang hebben proberen te krijgen tot de digitale systemen van het Openbaar Ministerie (OM)? Zo ja, is dit gelukt?

Vraag 8

Klopt het dat de politie zelf controle houdt over het oplossen van de hack en dat daarom kostbare tijd verspild is?

Vraag 9

Klopt het dat het aandringen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) tot snelle beveiligingsmaatregelen bij de politie tot frictie leidde?

Vraag 10

Is er vaker frictie tussen de politie en veiligheidsdiensten?

Vraag 11

Wat doet u eraan om deze frictie op te lossen, zodat er in de toekomst sneller gehandeld kan worden bij hacks?

Vraag 12

Klopt het dat niet alle voorgestelde beveiligingsvoorstellen zijn ingevoerd door de politie?

Vraag 13

Welke beveiligingsmaatregelen zijn nog niet ingevoerd bij de politie?

Vraag 14

Wat is het gevolg van het nog niet invoeren van beveiligingsmaatregelen op de digitale weerbaarheid van de politie?

Vraag 15

Zijn de belangrijkste data van de politie nu wel veilig? Zo nee, welke data zijn niet veilig en wat doet u eraan om dit zo snel mogelijk op te lossen?

Vraag 16

Bent u bereid om structureel ethische hackers in te zetten om te zoeken naar gaten in de digitale systemen?

Vraag 1

Bent u bekend met het bericht «ISIDOOR 2021: NCTV en NCSC organiseren grootste cybercrisisoefening ooit»?1

Vraag 2

Is ISIDOOR 2021 naar uw mening succesvol verlopen? Kunt u uw mening toelichten?

Vraag 3

Hoe is de selectie van deelnemers van ISIDOOR 2021 tot stand gekomen? Welke criteria zijn hierbij gebruikt? Wat was de verhouding vitaal/niet-vitaal?

Vraag 4

Hoe hebben de deelnemers van ISIDOOR 2021 de oefening ervaren? Komt er een brede evaluatie onder alle deelnemers? Zo ja, op welke termijn en kunt u deze met de Kamer delen? Zo nee, waarom niet?

Vraag 5

Bent u het ermee eens dat structureel oefenen met cybercrises van essentieel belang is voor (vitale) organisaties om hun cyberveiligheid te vergroten en om digitale ontwrichting te voorkomen? Zo ja, hoe staat het met de uitvoering van de motie-Weverling (Kamerstuk 24 095, nr. 496)? Hoe verhoudt ISIDOOR 2021 zich tot een structureel oefenprogramma conform de motie-Weverling? Met welke frequentie gaan dit soort oefeningen in de toekomst plaatsvinden?

Vraag 1

Bent u bekend met het artikel in ScienceGuide «AIVD: hoger onderwijs is zich totaal niet bewust van digitale dreiging»1 over uitspraken van de heer Akerboom tijdens de technische briefing van de AIVD aan de Vaste Commissie voor Binnenlandse Zaken ten aanzien van het gebrek aan bestuurlijke aandacht voor digitale veiligheid bij hogescholen en universiteiten?

Vraag 2

Hoe kijkt u aan tegen de uitspraak van de heer Akerboom dat kennisinstellingen in het hoger beroepsonderwijs en wetenschappelijk onderwijs niet zijn doordrongen van de dreiging van cyberaanvallen van statelijke actoren? Bent u het eens met de heer Akerboom dat het bewustzijn hierover bij universiteiten en hogescholen nog te laag is? Zo ja, wat gaat u hieraan doen? Zo nee, waarom niet?

Vraag 3

Hoe verhouden de uitspraken van de heer Akerboom zich met uw uitspraken in de kamerbrief2 van 19 mei 2021 waarin u stelt dat «cyberveiligheid bij de hoger onderwijs- en onderzoekinstellingen hoog op de agenda staat»? Baseert u deze veronderstelling enkel op gesprekken met kennis- en onderzoeksinstellingen of heeft u hier zelf ook actief onderzoek naar gedaan? Hoe verklaart u de uitspraak van de heer Akerboom dat er bij hogescholen en universiteiten onvoldoende bestuurlijke aandacht is voor digitale veiligheid?

Vraag 4

In hoeverre hebben kennisinstellingen oog voor ogenschijnlijk «onschuldige» incidenten, zoals de cyberaanvallen bij de Universiteit van Amsterdam en de Hogeschool van Amsterdam van afgelopen februari, die mogelijkerwijs grotere gevolgen kunnen hebben? Zoals een opmaat tot cyberaanvallen met meer impact?

Vraag 5

Erkent u, naast de dreiging van ransomware aanvallen, de dreiging vanuit statelijke actoren als het gaat om spionage, met name gericht op het verkrijgen van hightech kennis en informatie, en sabotage? Zo ja, welke gerichte stappen gaat u nemen naar aanleiding van dit signaal van de AIVD om de bestuurlijke aandacht voor digitale veiligheid te vergroten? Zo nee, waarom niet?

Vraag 6

Bent u het ermee eens dat de activiteiten van statelijke actoren een hogere prioriteit moeten krijgen als het gaat om de (digitale) beveiliging van onze kennisinstellingen? Zo ja, hoe gaat u dit concreet oppakken in samenwerking met universiteiten, hogescholen en de AIVD? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het nieuwsbericht «Tientallen websites overheid voldoen niet aan veiligheidsrichtlijnen» van de NOS?1

Vraag 2

Wat vindt u van het feit dat tientallen websites van de overheid, waaronder websites van de Belastingdienst, GGD’s, veiligheidsregio's en waterschappen, niet voldoen aan de richtlijnen voor digitale beveiliging?

Vraag 3

Erkent u dat de overheid tekort heeft geschoten in het treffen van digitale beveiligingsmaatregelen tegen eventuele hackers?

Vraag 4

Deelt u de mening dat de burgers erop zouden moeten kunnen vertrouwen dat overheden als de Belastingdienst, GGD's, veiligheidsregio's en waterschappen, vertrouwelijk en verantwoord met gevoelige gegevens omspringen? Zo nee, waarom niet?

Vraag 5

Deelt u de mening dat een overheidsorgaan pas aan (gevoelige) persoonsgegevensverzameling zou mogen doen als het de risico’s voor de beveiliging van de informatie in kaart heeft gebracht en de digitale beveiliging afdoende is? Zo nee, waarom niet?

Vraag 6

Bent u bekend met het feit dat het National Cyber Security Centrum (NCSC) als sinds 2014 waarschuwt voor 36 veiligheidsrisico's van Wordpress en dat desondanks 165 openbare overheidswebsites op Wordpress draaien? Wat is met deze waarschuwingen gedaan?

Vraag 7

Bent u bekend met het feit dat ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, draait op Wordpress? Wat vindt u hiervan?

Vraag 8

Bent u bekend met het feit dat de richtlijnen van het NCSC adviseren om de openbare pagina en de plek waar beheerders in kunnen loggen strikt van elkaar te scheiden? Wat gaat u hiermee doen?

Vraag 9

Bent u bereid om zo snel mogelijk de in de media genoemde overheidssites te laten voldoen aan de veiligheidseisen?

Vraag 10

Welke beleidsmatige inspanningen wilt u verder doen om de digitale weerbaarheid van de overheidswebsites te vergroten?

Vraag 1

Kunt u op korte termijn zorgen voor actuele cijfers over de bereikbaarheid van telefoon en internet op het platteland?1

Vraag 2

Kunt u aangeven wie er aansprakelijk is wanneer een burger komt te overlijden of ernstig gehandicapt raakt door het niet kunnen bereiken van 112 door een slechte bereikbaarheid van telefoon en internet?

Vraag 3

Kunt u op korte termijn uitleggen wat de overheid doet om ervoor te zorgen dat er 100 procent bereikbaarheid van telefoon en internet is voor iedereen in Nederland?

Vraag 1

Bent u bekend met recente berichtgeving over (de gevolgen van) het wereldwijde chiptekort, zoals «VDL Nedcar legt autoproductie stil vanwege chiptekort»1 en «Speaker of vaatwasser kopen? Mogelijk langere levertijd door chiptekort»?2

Ja.

Vraag 2

Kunt u kwantificeren wat dit chiptekort betekent voor Nederland? Hoe groot is de economische schade? Welke bedrijven, sectoren en regio’s worden het hardste geraakt? Wat zijn de gevolgen voor zowel de zakelijke als particuliere markt?

Vooralsnog zijn de negatieve gevolgen van het chiptekort in Nederland in hoofdzaak beperkt tot bedrijven in de automotive industrie. Voor zover ons bekend treft dit momenteel met name VDL Nedcar, waar de productie enkele keren heeft stilgelegen vanwege een tekort aan chips.
Voor wat betreft signalen uit andere sectoren heeft Philips recent bij de presentatie van de jaarcijfers gewezen op mogelijke risico’s voor de medische sector. Tevens zijn er signalen dat consumenten van goederen als wasmachines, speakers en gaming consoles vertragingen in productie en levering ervaren door de chiptekorten.
Aan de andere kant zijn er (grote en kleinere) Nederlandse bedrijven in de halfgeleiderindustrie die baat hebben bij de huidige dynamiek en gegroeide vraag op de halfgeleidermarkt. Door de complexiteit en grote mate van mondiale verwevenheid van de toeleveringsketen is een exacte balans van de economische schade en de precieze impact voor Nederland lastig te maken.
Signalen van de mogelijke impact van de tekorten op Nederland worden door het Ministerie van Economische Zaken en Klimaat (EZK) nauwgezet in de gaten gehouden.

Vraag 3

Kunt u aangeven welke typen chips zorgen voor het grootste tekort? Welke leveranciers uit welke landen leveren deze? Kunt u zorgen voor een compleet overzicht?

Een eindproduct, zoals een auto of een laptop, bestaat vaak uit een combinatie van meerdere types chips (in een auto kunnen bijvoorbeeld wel meer dan 1000 chips zitten van allerlei soorten en functionaliteiten). Het is daarom niet zomaar mogelijk voor elk type product een overzicht te geven welke precieze chip door wie wordt gemaakt en hoe dit zich verhoudt tot de (mogelijke) tekorten. Dit vereist een zeer gedetailleerde analyse van vele soorten eindproducten in vele soorten eindmarkten. Tevens is de toeleverketen dusdanig complex dat een verschuiving of het wegvallen van orders voor het ene product op een onverwachte manier kan doorwerken op een groep andere producten. Ook bestaat het productieproces van chips uit veel verschillende stappen (fabricage, testen, assemblage, etc.), elk van deze stappen kan bij een ander bedrijf in een andere regio in de wereld plaatsvinden en op elk van deze stappen kan een mogelijk knelpunt ontstaan. Dit heeft tot resultaat dat een chipproduct tot wel 70 keer een landsgrens over kan gaan voordat het uiteindelijk in het eindproduct beland. Daarnaast is er ook een verantwoordelijkheid voor bedrijven zelf om scherp in beeld te hebben waar mogelijke zwaktes in toeleveringsketens zitten.
Chipproductie concentreert zich bij bedrijven in Azië (Taiwan en Zuid Korea), de Verenigde Staten en Europa. Er bestaan verschillende businessmodellen voor chipproducten, de zogenaamde pure play foundry en bedrijven die als Integrated Device Manufacturers (IDM) opereren. IDM’s ontwerpen hun eigen chipproducten en produceren deze ook deels zelf, maar kunnen ook delen van hun productie hebben ondergebracht bij pure play foundries. Deze pure play foundry’s produceren voor een breed scala aan klanten en ontwerpen dus geen eigen chipproducten. De grote pure play foundry’s die massaproductie leveren voor chips zijn voornamelijk geconcentreerd in Azië. Ook veel bedrijven die diensten aanbieden voor bijvoorbeeld de processtap van het testen in het productieproces zijn geconcentreerd in Azië.

Vraag 4

Wat beschouwt u zelf als de belangrijkste oorzaken waardoor dit chiptekort heeft kunnen ontstaan? In welk specifiek onderdeel in de waardeketen zitten de grootste problemen?

De halfgeleiderwaardeketen heeft een hoge mate van complexiteit en mondiale verwevenheid. Het is daarom lastig om één specifieke oorzaak aan te wijzen. Er zijn verschillende elementen die gezamenlijk van invloed zijn op de huidige dynamiek in deze markt:

Vraag 5

Kunt u schetsen in welk tempo de huidige problemen door chiptekorten worden opgelost? Bent u hierover in overleg met het bedrijfsleven en betrokken sectoren/verenigingen?

Voor Nederland geldt dat er geen grootschalige productiebedrijvigheid is gericht op de toepassing van deze chips(downstream markt, denk hierbij aan Original Equipment Manufacturers (OEMs) in de automotive industrie, of bedrijven in de smartphone-industrie zoals Apple en Samsung). Zoals aangegeven treft het Nederland wel daar waar het toeleveranciers van bijvoorbeeld de automotive industrie betreft, maar is deze vooralsnog beperkt. Het Ministerie van EZK houdt (mogelijke) tekorten goed in de gaten en staat hierover in contact met het bedrijfsleven.
Het opschalen van de huidige productiecapaciteit is het snelst gerealiseerd via bestaande spelers. Het opstarten van nieuwe productiebedrijven of productielocaties is een langdurig proces en vereist in deze industrie zeer omvangrijke investeringen (meerdere miljarden). Toch zien we momenteel dergelijke ontwikkelingen, met het oog op het versneld terugdringen van het chiptekort.
Zo is op 27 januari 2021 een overeenkomst getekend tussen de Taiwanese overheid en vier grote chipfabrikanten (TSMC, UMC, Vanguard en Powerchip) waarin is afgesproken dat de productiecapaciteit zal worden geoptimaliseerd, waar mogelijk zal worden uitgebreid en anders gealloceerd. Op 21 mei 2021 is tevens door TSMC aangekondigd dat ze de output voor de chipindustrie met 60% zullen opschroeven, naar verwachting nog dit jaar.

Vraag 6

Bent u bekend met de oproep voor een «Airbus of chips» die Eurocommissaris Kroes in 2013 deed?3 Hoe is, in Nederland en in Europa, opvolging gegeven aan deze oproep? Kunt u alle beschikbare informatie hieromtrent met de Kamer delen?

Ja. Deze oproep van Eurocommissaris Kroes, destijds verantwoordelijk voor de «Digital Agenda Electronics for Europe», werd gedaan tijdens het IMEC Technology Forum op 24 mei 2012 in Brussel. Zij onderstreepte het belang van de micro- en nano elektronica als belangrijke sleuteltechnologie voor een veelheid van toepassingen. Daarnaast gaf zij aan dat Europa toegang tot deze technologie nodig heeft voor de belangrijke uitdagingen zoals op het gebied van mobiliteit, energievoorziening, gezondheidszorg en klimaatverandering.
Kroes betoogde dat geen Europees land alleen op eigen kracht mondiaal kan concurreren over de gehele waardeketen. Daarom achtte zij het van belang dat de brede expertise binnen Europa zou worden samengebracht om te komen tot een «Airbus of Chips»: een micro elektronica-ecosysteem, naar het voorbeeld van de Europese vliegtuigindustrie. Tot zo’n initiatief is het uiteindelijk niet gekomen. Echter, in 2014 heeft de Europese Commissie wel het staatsteunkader verruimd voor zogenaamde «Important Projects of Common European Interest» (IPCEI). Dit zijn projecten die een belangrijke bijdrage leveren aan de doelstellingen van de Unie, zoals de Europese strategie voor micro- en nano-elektronische onderdelen en systemen. Bij deze projecten kan de staatssteun hoger zijn dan die voor reguliere onderzoeksinspanningen is toegestaan en bijvoorbeeld ook betrekking hebben op de eerste industriële toepassing van een bepaalde technologie.
Een eerste IPCEI voor micro elektronica werd in 2017 opgezet, met onder meer Frankrijk, Duitsland, Italië, het Verenigd Koninkrijk (VK) en Oostenrijk als deelnemende landen. Nederland heeft hieraan niet deelgenomen, vanwege andere prioritering van mogelijke Nederlandse deelnemers. Thans is een tweede IPCEI in ontwikkeling, waarvoor vanuit het Nederlandse bedrijfsleven wel grote interesse bestaat. Ter voorbereiding van mogelijke Nederlandse participatie aan de IPCEI is door RVO een interessepeiling uitgeschreven.4 Deze is gesloten op 21 mei 2021, op dit moment worden ingediende voorstellen inhoudelijk beoordeeld.
In het antwoord op vraag 9 en vraag 10 gaan wij in op de stappen die in Europa worden gezet op het gebied van het Europese ecosysteem van halfgeleiders.

Vraag 7

Hoezeer staat het chiptekort inmiddels voldoende op het netvlies van het kabinet? Is het prioriteit om dit zo spoedig mogelijk met het bedrijfsleven, kennisinstellingen en alle relevante partners op te lossen en de onderliggende problemen, zoals een te grote afhankelijkheid van productie elders in de wereld, aan te pakken? Welke acties heeft het kabinet hiertoe tot dusver ondernomen?

De signalen van de chiptekorten in verschillende sectoren worden nauwlettend gevolgd door het Ministerie van EZK. Op Europees niveau wordt dit in bredere context meegenomen in strategische discussies voor het gehele Europese ecosysteem van halfgeleiders en afhankelijkheden van waardeketens. In het antwoord op vraag 9 en vraag 10 gaan wij verder in op de lopende trajecten om het Europese halfgeleider-ecosysteem te versterken.

Vraag 8

Hoe kijkt u aan tegen de disbalans in de productie van chips, namelijk (afgerond) 8% in Europa, 22% in de Verenigde Staten en 70% in Azië?4

Zoals verder toegelicht onder antwoord vraag 9 en 10 is het van belang dat er een balans bestaat in het totale wereldwijde ecosysteem. In het recent gepubliceerde «Europe’s Digital Decade: digital targets for 2030» is de ambitie gesteld om het Europese aandeel in de waardeketen op te schroeven.

Vraag 9

Deelt u de mening dat het chiptekort behalve een Nederlands ook een Europees probleem is, dat in Europees verband moet worden opgelost? Vindt u net als wij dat hiervoor een sterke, onafhankelijke Europese halfgeleiderindustrie van cruciaal belang is? Waarom wel/niet?

Ja, wij delen uw mening dat het chiptekort niet alleen een Nederlands, maar ook een Europees probleem is dat Europees moet worden opgelost. Ook het Ministerie van EZK ziet een sterke Europese halfgeleiderindustrie als van cruciaal belang. De hoge kapitaal- en R&D-intensiteit van de halfgeleiderindustrie leent zich echter niet voor een ontkoppeling van de waardeketen in verschillende geografische regio’s. Daarnaast is het een dusdanig verweven mondiale waardeketen dat alle regio’s in de wereld voor bepaalde delen van deze waardeketen van elkaar afhankelijk zijn.
Onszelf afsnijden van de mondiale waardeketen is niet in het belang van Europa, omdat daarmee de koploperspositie die Europa op bepaalde onderdelen in de waardeketen heeft niet behouden kan worden. Hiermee zal de Europese sector toegang tot belangrijke groei- en afzetmarkten worden bemoeilijkt waardoor omzet en marktkansen worden misgelopen. Daardoor kunnen de benodigde omvangrijke R&D-investeringen niet meer worden gedaan en zal Europa in deze sector achterop raken. Het is van belang een juiste balans te hebben in wederzijdse afhankelijkheden tussen regio’s in de wereld. Dit is ook in lijn met onze inzet op het gebied van open strategische autonomie. De Europese Unie opereert in een onderling afhankelijke wereld waarin wederzijdse afhankelijkheid stabiliteit biedt.
Op 7 december 2020 heeft Nederland samen met 19 andere lidstaten de «Joint declaration on processors and semiconductor technologies» ondertekend. Hierin wordt de intentie uitgesproken tot het versterken van het Europese halfgeleider-ecosysteem en een opmaat gegeven voor het vormen van een «Important Project of Common European Interest» (IPCEI) en het vormen van een «Industry Alliance» voor deze industrie.
Er zijn verschillende manieren om het gehele Europese halfgeleider-ecosysteem te versterken. Één onderdeel van het palet aan mogelijkheden zijn de belangrijke Europese R&D-programma’s die al lopen en verscheidene trajecten bevatten die van belang zijn voor dit ecosysteem. Het «Key Digital Technologies Partnershop» (KDT) Joint Undertaking ECSEL is hiervan een goed voorbeeld. Dit is een Europees partnerschap van lidstaten, geassocieerde landen, de industrie en de Europese Commissie. ECSEL ondersteunt industriële R&D&I-inspanningen binnen de sector elektronische componenten en systemen (ECS) door middel van gezamenlijke medefinanciering door de Europese Unie en deelnemende landen. Nederland is, met Duitsland en Frankrijk, één van de grotere participanten in ECSEL. Onder het nieuwe Kaderprogramma voor Onderzoek en technologische ontwikkeling, «Horizon Europe», zal dit partnerschap onder de naam KDT worden gecontinueerd. Ook binnen het intergouvernementele EUREKA-programma wordt actieve ondersteuning gegeven aan Europese industriële R&D&I samenwerking. In deze programma’s wordt ook met landen buiten Europa, zoals Canada samengewerkt. Het Europees R&D-vermogen is krachtig en wereldwijd onderscheidend, met name ook voor het ecosysteem van halfgeleiders. Het ondersteunen van fundamenteel onderzoek is echter niet het enige stukje van de puzzel die moet worden gelegd om de gehele waardeketen en Europese positie te waarborgen en versterken.
Nederland is zeer intensief betrokken bij de totstandkoming en verdere invulling van de strategische richting van de IPCEI Micro-elektronica 2 (IPCEI ME2). Nederland wordt hier door de Europese Commissie gezien als een land met een sleutelpositie in de mondiale waardeketen. Belangrijke partnerlanden in IPCEI-context voor de halfgeleiderindustrie zijn Frankrijk en Duitsland. Duitsland heeft in hun Recovery & Resilience Plan (RRP) een bedrag van 1,5 miljard euro gereserveerd en ook Frankrijk heeft in deze ordegrootte een post opgenomen in hun RRP. Nederland kijkt momenteel welke mogelijkheden er zijn ten aanzien van financiering, met inbegrip van het RRP.
De «Industry Alliance» wordt op dit moment gevormd onder aanvoering van Eurocommissaris Breton. Hierin zullen belangrijke producenten en OEMs van de Europese halfgeleiderindustrie zijn vertegenwoordigd. Ook ASML heeft zijn commitment voor de «Industry Alliance» recent uitgesproken, waardoor Nederland met een vooraanstaand bedrijf in de sector is vertegenwoordigd.

Vraag 10

Indien ja, wat is nodig om een dergelijk sterke, onafhankelijke Europese halfgeleiderindustrie tot stand te brengen? Hoe kan en gaat Nederland hieraan bijdragen?

Zie antwoord vraag 9.

Vraag 11

Kunt u uiteenzetten welke bedrijven en instellingen, in welke Europese landen, thans een sterke positie hebben en/of een toekomstige positie kunnen hebben voor het opzetten van een huidige chipgeneratie (elektronica) waardeketen en een toekomstige nieuwe chipgeneratie (fotonica) waardeketen?

Het Ministerie van EZK heeft goed in beeld waar de krachten van Nederland liggen en hoe deze complementair zouden kunnen zijn aan de krachten in andere Europese landen. Zoals eerder aangegeven zijn Frankrijk en Duitsland hierin belangrijke partners. Daarnaast heeft EZK veelvuldig en nauw contact met het bedrijfsleven Nederland, evenals Europa, heeft krachtige ecosystemen die zich concentreren rondom grotere bedrijven en kennisinstellingen zoals ASML en ASMI, maar waar ook veel belangrijke toeleveranciers een rol in spelen. Dit brede ecosysteem-is waar Nederland zich voor inzet.
Nederland heeft zelf belangrijke clusters rondom Eindhoven (met name rondom de machinebouw), maar bijvoorbeeld ook een sterk cluster rondom Nijmegen. Ook is het cluster rondom Leuven met bijvoorbeeld onderzoeksinstelling Imec van groot belang voor het Nederlandse ecosysteem.
Andere sterke Europese halfgeleiderclusters bevinden zich in Duitsland rondom Saksen, waar bedrijven zitten als Global Foundries, Infineon en Bosch. Deze bedrijven zijn deels Integrated Device Manufacturers en leveren daarmee ook deels productie van chips. Het ecosysteem hier levert aan klanten in verschillende eindmarkten, van de automotive industrie tot de mobiele markt, connectiviteit en servers, medische en industriële toepassingen.
In Frankrijk bevindt een sterke concentratie zich rondom Grenoble, met bedrijven als ST Microelectronics (Frans/Italiaans), Exyte en Soi Tech (productie van speciale wafers). Ook deze bedrijven leveren aan eindmarkten als telecom, automotive, communicatie en servers, mobiele markt, farmacie en biotechnologie. Daarnaast kent Frankrijk een aantal grote OEM’s die van belang zijn voor de halfgeleider industrie, zoals Thales, Airbus, Continental en PSA (Peugeot, Opel, Citroën).

Vraag 12

Welke rol en mogelijkheden in productieprocessen en productontwerp voorziet u voor SMART Photonics, waarin het kabinet 20 miljoen euro heeft geïnvesteerd en dat onderdeel is van een Nederlands consortium?

SMART Photonics is een belangrijke speler in het verder uitbouwen van een krachtig ecosysteem en de Nederlandse positie in de geïntegreerde fotonica. Op dit moment is het de enige foundry in Europa voor de productie van fotonische chips op basis van indiumfosfide. Hiermee kunnen hoogwaardige chips worden gebouwd die gecombineerde functionaliteit kunnen bieden van bijvoorbeeld lasers met microelectronica-onderdelen. Dit soort functionaliteit kan bijvoorbeeld niet worden gerealiseerd op wafers gemaakt van silicium.
Op het moment komen de meeste klanten van dit bedrijf uit Nederland, maar het bedrijf trekt ook klanten uit Japan, de VS en China. Er worden momenteel ongeveer 500 wafers per jaar geproduceerd. Wanneer dit kan worden opgeschaald zal het naar verwachting internationaal een belangrijke strategische positie in het Europese ecosysteem innemen. Mogelijkheden tot opschalen (in zowel de huidige 3-inch-productie als het werken met grotere wafers) is een belangrijke overweging geweest voor de investering.
De Nederlandse geïntegreerde fotonica-industrie is de afgelopen jaren gegroeid en omvat momenteel zo’n 25 bedrijven met ruim 3.000 werknemers. Nederland heeft een positie in bijna de gehele waardeketen: van R&D tot ontwerp en software design, tot fabricage, packaging en testen. Het mondiale marktpotentieel van fotonica is groot. Een logische eindmarkt voor fotonische producten is die van dataverwerking en telecom – met fotonische oplossingen kan datacommunicatie sneller, met grotere hoeveelheden en minder stroomverbruik worden gerealiseerd. Een andere opkomende eindmarkt is die voor verschillende types sensoren die weer toepassingen hebben in bijvoorbeeld de automotive industrie, luchtvaart en gezondheidszorg.

Vraag 13

Op welke manier is Nederland thans betrokken bij de (oprichting van) een Europese alliantie om chiptekorten tegen te gaan?5

Zie antwoord op vraag 9 en 10. Er is momenteel een Europese alliantie in oprichting. Deze zal zich buigen over de algehele strategie voor de Europese halfgeleiderindustrie, en richt zich daarmee niet enkel op de chiptekorten. Het huidige chiptekort en hoe dit op de lange termijn aan te pakken zal echter zeker onderdeel zijn van de gesprekken.

Vraag 14

Zijn er op dit moment serieuze gesprekken gaande met betrekking tot samenwerking van buitenlandse partijen die een volwassen ervaring hebben in de internationale chipproductieketens?

Ja, hier lopen gesprekken met diverse buitenlandse partijen. Dit is ook voor de NFIA en haar regionale partners in het Invest in Holland-netwerk een belangrijk aandachtsgebied. Omwille van de vertrouwelijke aard van deze gesprekken kunnen wij niet nader ingaan op de inhoud hiervan.

Vraag 15

Deelt u de mening dat het huidige chiptekort een exemplarisch gevolg is van het weggaan/wegblijven van maakindustrie uit Nederland en Europa? Indien ja, hoe komt dat volgens u? Indien niet, waarom niet?

Nee, deze mening delen wij niet. De wijze waarop de productie van microchips zich in verschillende regio’s van de wereld heeft geconcentreerd, is het gevolg van procesoptimalisatie en bijbehorende schaalvergroting in de mondiale waardeketen. Zuid-Korea en Taiwan hebben hier een specialisatie in opgebouwd in de grootschalige productie van chips. Nederland heeft in andere onderdelen van de waardeketen specialisaties en sterke posities opgebouwd. De Nederlandse positie in de halfgeleidermachinebouw is daarvan een goed voorbeeld, maar bijvoorbeeld ook de positie in geïntegreerde fotonica is sterk. wij zijn positief over de positie van de Nederlandse maakindustrie. In de Kamerbrief over de kabinetsvisie op de maakindustrie van oktober 2020 (Kamerstuk 29 826, nr. 124) hebben wij een beeld geschetst van die positie, maar ook van de uitdagingen waar we in de komende jaren voor staan.

Vraag 16

Bent u bereid om de brief «Visie op de toekomst van de industrie in Nederland» van 30 oktober 2020 (Kamerstuk nr. 29 826, nr. 124), waarin het belang van maakindustrie voor Nederland wordt onderkend, nog dit jaar samen met het bedrijfsleven te vertalen naar een actieplan met concrete acties hoe enerzijds maakindustrie voor Nederland te behouden en anderzijds maakindustrie naar Nederland terug te halen («reshoring»)?

Dit kabinet hecht groot belang aan een sterke maakindustrie in Nederland. Wij zijn voornemens om hier, in navolging op de genoemde industriebrief, nog dit jaar een actieplan aan te koppelen. Over de wijze van invulling van het actieplan en het precieze moment van publicatie zal echter een volgend kabinet moeten beslissen. Daarbij de aantekening dat de potentie tot reshoring voor de Nederlandse maakindustrie niet moet worden overschat. Recente studies van de SER (SER advies 21/01 2021 Reshoring) en onderzoek van Berenschot in opdracht van Innovation Quarter (Berenschot, «Reshoring: kansen en bedreigingen voor Zuid-Holland» (februari 2021)) geven dit ook aan. Over de kansen en uitdagingen van reshoring zal uw Kamer voor de zomer nader geïnformeerd worden in reactie op de motie Amhaouch-Wiersma over de kansen en uitdagingen voor Nederland op het gebied van reshoring Kamerstuk 35 570 XIII, nr. 30).

Vraag 1

Bent u bekend met het artikel «Nederland verliest controle op beveiliging van het internet?»1

Ja.

Vraag 2

Hoe beoordeelt u het advies van de Cyber Security Raad dat het kabinet dringend moet ingrijpen om te voorkomen dat onze economie te afhankelijk wordt van buitenlandse technologie? Kunt u uw analyse toelichten?

Op 14 mei jl. heeft de Cyber Security Raad (CSR) het advies «Nederlandse Digitale Autonomie en Cybersecurity» uitgebracht. Het vraagstuk van digitale autonomie en het verhogen van onze digitale weerbaarheid heeft de nadrukkelijke aandacht van het kabinet. Digitale autonomie is echter geen vanzelfsprekendheid.
Nederland is verweven met de mondiale economie die bestaat uit een veelheid aan onderlinge, wederzijdse afhankelijkheden. Dat betekent dat leveranciers van over de hele wereld als onderdeel van complexe waardeketens producten en diensten leveren in het digitale domein. Deze verwevenheid biedt in algemene zin zeer grote economische voordelen, is in een open en gespecialiseerde economie onvermijdelijk en kan bijdragen aan een weerbare internationale economische positie van Nederland. Door deze verwevenheid kunnen er in het digitale domein echter ook ongewenste afhankelijkheidsrelaties met partijen van buiten EU ontstaan. Dit kan onze publieke belangen, waaronder onze (nationale) digitale veiligheid, in het geding brengen. De CSR wijst er in zijn advies op dat ongewenste (digitale) afhankelijkheden een bedreiging kunnen vormen die geadresseerd moeten worden. Tegelijkertijd onderschrijft de CSR dat naast de dreiging die uitgaat van deze afhankelijkheidsrelaties, globalisering enorme voordelen voor Nederland heeft gebracht. Balkanisering (versplintering) van technologie en protectionisme kan wereldwijde handel belemmeren en daarmee ook welvaart en banen kosten in Nederland, aldus de CSR.
Bij het adresseren van ongewenste afhankelijkheidsrelaties moeten protectionisme en fragmentatie dan ook zo veel mogelijk worden vermeden. In dat licht ziet het kabinet digitale autonomie niet als doel op zich maar als middel. Dit moet, in samenspraak met onze Europese partners, zorgvuldig en proportioneel worden bezien zodat Nederland het vermogen heeft om voldoende voor de eigen publieke belangen, waaronder onze (nationale) digitale veiligheid, op te komen en deze belangen zeker te stellen.
Het is nodig voor onze digitale autonomie dat we open, eerlijke en duurzame internationale relaties aangaan, waarbij onze normen en waarden zijn beschermd. De voordelen van internationale handel en investeringen, toegang tot wereldwijde waardeketens en internationale concurrentie moeten zoveel mogelijk behouden blijven.
Tegelijkertijd is het zaak dat we actief blijven investeren in de weerbaarheid van onze digitale infrastructuur. Waar nodig en wenselijk moeten we maatregelen nemen om ongewenste strategische afhankelijkheden weg te nemen of te voorkomen. Om tot effectieve en proportionele maatregelen te komen dient een zorgvuldige analyse van en afweging tussen de risico’s en de verwachte (veiligheids)baten en de verwachte kosten van de mogelijke maatregelen.
Er lopen al acties die concreet bijdragen aan onze digitale autonomie. Zo wordt binnen het nieuwe samenwerkingsplatform voor kennis en innovatie cybersecurity (dcypher) gewerkt aan een routekaart voor cryptocommunicatie. Het kabinet werkt daarnaast voortdurend aan de versterking van de digitale weerbaarheid via het beleid dat is uiteengezet in de Nederlandse Cybersecurity Agenda (NCSA). Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij digitale producten hanteert het kabinet de overwegingen die zijn vermeld in de brief aan de Tweede Kamer over C2000.2 Meer specifiek voor de telecommunicatiesector heeft het kabinet op 1 juli 2019 aanvullende beschermingsmaatregelen aangekondigd op basis van een risicoanalyse die is uitgevoerd door de Taskforce Economische Veiligheid3. Dit heeft er onder andere toe geleid dat mobiele netwerk operators in kritieke onderdelen alleen gebruik mogen maken van vertrouwde leveranciers.
Daarnaast overweegt Nederland deelname aan een Important Project of Common European Interest voor Cloudinfrastructuur en services (IPCEI CIS), een concreet Europees project wat als doel heeft om nieuwe generatie cloud-oplossingen in Europa te ontwikkelen en de waardeketen in Europa te versterken. Ook kijkt Nederland naar deelname aan een Important Project of Common European Interest voor de semiconductorsector (IPCEI Micro-elektronica 2, IPCEI ME2). De resultaten om onder het Nederlandse bedrijfsleven en kennisinstellingen de belangstelling te identificeren volgen in de zomer.
Het is essentieel dat we nu en in de toekomst blijven inzetten op digitale autonomie en cybersecurity.

Vraag 3

Hoe beoordeelt u de onderliggende waarschuwing van de Cyber Security Raad dat Nederland haar greep op de beveiliging van het internet anders dreigt kwijt te krijgen? Kunt u uw analyse toelichten?

Zie antwoord vraag 2.

Vraag 4

Wat is de status van de uitvoering van de motie van de leden Buitenweg en Yesilgöz-Zegerius over inzicht verkrijgen in de afhankelijkheid van digitale processen en diensten bij vitale processen? In hoeverre zijn processen van onze vitale infrastructuur ondergebracht en afhankelijk van buitenlandse aanbieders? In hoeveel van deze gevallen is het beheer van deze digitale processen uitbesteed aan buitenlandse aanbieders? Hoeveel van deze aanbieders zijn gevestigd in staten die een offensief cyberprogramma kennen?2

Met de brief «Beleidsreactie op het Dreigingsbeeld Statelijke Actoren (DBSA) en voortgang aanpak statelijke dreigingen» gaf het kabinet invulling aan de motie Buitenweg/Yesilgöz-Zegerius over het inzichtelijk maken van cyberafhankelijkheden in vitale processen.5 Hierin wordt de opzet van een structurele aanpak voor de telecomsector benoemd. Ook staat hierin aangegeven dat in de komende periode in kaart wordt gebracht wat er nodig is qua mensen, middelen en expertise om deze aanpak te verbreden naar andere vitale processen.
Er wordt niet integraal bijgehouden in hoeverre de dienstverlening binnen vitale processen plaatsvindt door of afhankelijk is van buitenlandse aanbieders, en daarmee ook niet in hoeveel gevallen het beheer van digitale processen wordt uitbesteed aan buitenlandse aanbieders. Dit is, gezien het grote aantal leveranciers van producten en diensten van vitale processen, ook niet realistisch. Uitgangspunt is een risicogestuurde aanpak, zodat dreigingen en kwetsbaarheden gericht kunnen worden geadresseerd. Zo zijn binnen de aanpak tegengaan statelijke dreigingen verschillende instrumenten ontwikkeld en maatregelen genomen om nationale veiligheidsrisico’s te adresseren, zoals de voorbereiding van wetgeving ten behoeve van het stelsel van investeringstoetsing en de herziening en beschikbaarstelling van het instrumentarium voor inkoop en aanbesteding.6

Vraag 5

Bent u het met de mening eens dat het uit nationale veiligheidsoverwegingen, onwenselijk is om digitale technologieën die wij gebruiken voor vitale processen zoals energievoorziening en betalingsverkeer af te nemen van staten met een offensief cyberprogramma? Zo ja, waar liggen volgens u mogelijkheden om meer grip te krijgen op de digitale processen van onze vitale infrastructuur? Zo nee, waarom niet?

Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA) beschreven is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.7
Tegelijkertijd bestaan er risico’s op digitale spionage en -sabotage, die kunnen leiden tot verstoring van de continuïteit van de vitale infrastructuur en aantasting van de integriteit of exclusiviteit van gevoelige kennis en informatie. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers die afkomstig zijn, of onder controle staan van bedrijven, uit een land met wetgeving die commerciële partijen dwingt tot samenwerking met de overheid van dat land. De risico’s voor de nationale veiligheid worden verder vergroot als het land in laatstbedoelde zin een offensief inlichtingenprogramma voert dat gericht is op Nederlandse belangen. Van belang is het juist ook met betrekking tot deze risico’s telkens te bepalen of en welke beheersmaatregelen mogelijk, wenselijk, en realiseerbaar zijn om voldoende bescherming hiertegen te bieden.
Versterking van de weerbaarheid van netwerk- en informatiesystemen is dan ook van groot belang. Het kabinet werkt hieraan via de aanpak statelijke dreigingen, de versterkte aanpak vitaal en de aanpak zoals beschreven in de Nederlandse Cybersecurity Agenda (NCSA). Het in kaart brengen van de te beschermen belangen en de daarop betrekking hebbende dreigingen, alsmede het nemen van maatregelen om die belangen te beschermen, staan daarbij steeds centraal. De combinatie van technologische ontwikkelingen en geopolitieke veranderingen vraagt erom met een andere blik te kijken naar welke belangen we willen beschermen. Hiervoor wordt nauw samengewerkt met onder meer bedrijven en kennisinstellingen. Met een geactualiseerd instrumentarium worden deze veranderende omstandigheden integraal meegewogen in het beoordelen van risico’s en bij het naar aanleiding daarvan waar nodig nemen van weerbaarheidsverhogende maatregelen. Hierbij wordt digitale en fysieke weerbaarheid in zijn geheel bezien. Ketenafhankelijkheden worden daarbij beter in kaart gebracht, omdat vitale processen onderling sterk verweven zijn en sterk afhankelijk zijn van toeleveranciers.

Vraag 6

Hoeveel geld ontvangt Nederland jaarlijks uit het EU Resilience and Recovery Fund om te investeren in digitale innovaties? Hoe groot is dit bedrag ten opzichte van andere lidstaten? Op basis van welke voorwaarden wordt dit geld verdeeld onder lidstaten?

Nederland ontvangt naar verwachting € 5,96 mld. aan middelen uit de Recovery and Resilience Facility. Om aanspraak te maken op de RRF-middelen moet Nederland een Recovery and Resilience plan (RRP) indienen met ambitieuze hervormingen en investeringen die invulling geven aan de landspecifieke aanbevelingen die de Europese Commissie voor Nederland heeft geïdentificeerd. Deze middelen moeten ingezet worden voor het bevorderen van economisch herstel en het aanjagen van de groene en digitale transitie. Minstens 20% van de middelen moeten ten goede komen aan de digitale transitie. Hiernaast moet minstens 37% bijdragen aan de groene transitie. De middelen worden in tranches uitgekeerd op basis van het behalen van vooraf geformuleerde mijlpalen en doelen die voor 31 augustus 2026 moeten zijn afgerond. Dezelfde voorwaarden zijn van toepassing op andere lidstaten. Het staat lidstaten verder vrij om binnen de criteria uit de RRF-verordening meer focus te leggen op de digitale transitie in hun eigen RRP’s.
De allocaties uit de RRF worden op twee momenten vastgesteld. De allocatie voor 2021–2022 is gebaseerd op werkloosheidscijfers (2015–2019), de omvang van de bevolking (2019) en het bbp per capita (2019). Voor de allocatie in 2023 geldt een aangepaste verdeelsleutel waarbij de factor werkloosheid wordt vervangen door (in gelijke delen) het bbp-verlies in 2020 en het cumulatieve bbp-verlies over de periode 2020–21 op basis van de cijfers die eind juni 2022 beschikbaar zijn. Op de website van de Europese Commissie vindt u de allocatie van de RRF-middelen per lidstaat8. Lidstaten worden geacht een RRP in te dienen voor 100% van de verwachte allocatie. Naar aanleiding van de definitieve vaststelling kunnen lidstaten hun RRP’s wijzigen voor zover de definitieve allocatie is gewijzigd.

Vraag 7

Bent u het met de mening eens dat het voor Nederland, zowel uit veiligheids- als innovatieoogpunt van groot belang is dat wordt geïnvesteerd in Nederlandse technologie? Zo ja, hoe beoordeelt u het bedrag dat Nederland jaarlijks ontvangt uit het EU Resilience and Recovery Fund? Zo nee, waarom niet?

Ja, vanuit zowel veiligheids- als innovatieoogpunt is het van groot belang dat wij blijven investeren in technologische ontwikkeling. Het bedrag dat Nederland zal ontvangen vanuit de Resilience and Recovery Facility is een welkome aanvulling. De RRF-middelen betreft echter een incidentele impuls en is daarmee van beperkte meerwaarde voor de uitdagingen waar Nederland voor staat. Het is voor onze brede welvaart van groot belang dat wij ook structureel blijven investeren in het versterken van onze lange termijn verdienvermogen.

Vraag 8

Kunt u deze vragen binnen de gestelde termijn beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «Miljoenen liters diesel liggen bij de «groene» datacenters van Microsoft en Google in Hollands Kroon»?1

Vraag 2

Klopt het dat er miljoenen liters diesel in Hollands Kroon zijn opgeslagen en dat dit mogelijk nog met miljoenen liters gaat toenemen?

Vraag 3

Wie is verantwoordelijk voor de besluitvorming over het neerzetten van deze tientallen dieselaggregaten?

Vraag 4

Vindt u het ook opmerkelijk dat het college Hollands Kroon opnieuw besluitvorming neemt waartoe zij niet bevoegd is?

Vraag 5

Vindt u het ook onwenselijk dat de dieselaggregaten van deze datacenters eens per maand staan te ronken, waardoor stinkende dieselrook de lucht ingaat?

Vraag 6

Vindt u ook dat Google en Microsoft maatregelen dienen te nemen om deze vieze dieselrook voor omwonenden te verminderen?

Vraag 7

Vindt u ook dat de claim van Google en Microsoft dat zij klimaatpositief wensen te worden niet strookt met het feit dat Google en Microsoft nu tussen grootvervuilers staan en bovendien een enorme CO2-uitstoot hebben?

Vraag 8

Hoe kan het zo zijn dat de brandweer nauwelijks informatie heeft over de machines en de opslagtanks? Vindt u het ook niet zorgwekkend dat de brandweer nauwelijks informatie over deze dieselaggregaten heeft en bovendien de Veiligheidsregio Noord-Holland Noord weinig risico’s ziet, terwijl diesel een zeer gevaarlijke stof met ontploffingsgevaar is?

Vraag 9

In hoeverre is deze opslag van diesel een gevaar voor de bewoners van Wieringenmeer?

Vraag 10

Vindt u met de enorme stroombehoeften, chemicaliën in het water en het enorme ruimtebeslag op het landschap het überhaupt wenselijk dat dit soort datacenters zich vestigen in Nederland?

Vraag 11

Bent u daarom ook van mening dat er scherpere vestigingseisen, op het gebied van duurzaamheid, waterverbruik, beperking overlast, inpassing in het landschap en veiligheid moet worden gesteld aan deze techgiganten bij het bouwen van datacenters? Welke maatregelen gaat u daartoe nemen?

Vraag 1

Kent u het artikel «Belgische overheden getroffen door grote cyberaanval»?1

Ja.

Vraag 2

Hoe vaak is de Nederlandse overheid doelwit geweest van een cyberaanval, zoals een DDOS aanval?

Er is geen volledig beeld van het aantal aanvallen waarvan de Nederlandse overheid doelwit is geweest. In algemene zin is bekend dat Nederlandse instellingen, waaronder overheden, te kampen hebben met digitale aanvallen. Het jaarlijks gepubliceerde Cybersecuritybeeld Nederland (CSBN) geeft inzicht in de digitale dreiging in Nederland, waaronder tegen de overheid, en de belangen die daardoor kunnen worden aangetast.2
De meest gestructureerde statistieken die beschikbaar zijn over DDoS-aanvallen zijn afkomstig van de Nationale Beheersorganisatie voor Internet Providers (NBIP). NBIP rapporteert jaarlijks over de DDoS-aanvallen die gemeten zijn door de Nationale DDoS Wasstraat (NaWas).3 Ik verwijs u voor meer informatie hierover door naar de beantwoording van eerdere Kamervragen over DDoS gericht aan de Staatssecretaris van EZK.4

Vraag 3

Is Nederland voldoende weerbaar tegen cyberaanvallen, waaronder DDOS-aanvallen? Zo ja, waaruit blijkt dat? Zo nee, hoe verbeteren we de Nederlandse weerbaarheid tegen cyberaanvallen?

Het CSBN 2020 laat zien dat de weerbaarheid tegen digitale dreigingen nog niet overal op orde is.5 Cyberincidenten hebben de potentie om grote schade aan te richten en in uiterste gevallen maatschappelijke ontwrichting te veroorzaken.
De afgelopen jaren is daarom ingezet op het versterken van cybersecurity. De kabinetsbrede aanpak van cybersecurity is vastgelegd in de Nationale Cybersecurity Agenda (NCSA).6 De uitvoering daarvan wordt ondersteund met investeringen door het kabinet die oplopen tot 95 miljoen euro structureel. Om in te kunnen spelen op technologische en maatschappelijke ontwikkelingen, en actuele dreigingen en risico’s zijn de maatregelen uit de NCSA in de loop van de tijd verder uitgewerkt en versterkt. Dit is sinds de verschijning van de NCSA meerdere keren gebeurd.7, 8, 9, 10 De zeven ambities uit de NCSA blijven hierbij het uitgangspunt en over de voortgang op deze ambities wordt jaarlijks gerapporteerd aan uw Kamer. De NCSA is opgesteld onder leiding van en uitgevoerd onder coördinatie van het Ministerie van Justitie en Veiligheid en met de vakdepartementen vanuit hun eigen specifieke beleidsverantwoordelijkheden. De Minister van Justitie en Veiligheid is de coördinerend bewindspersoon op het gebied van cybersecurity.
Over het niveau van de digitale weerbaarheid in Nederland en de maatregelen die in dat kader zijn genomen, verwijs ik graag naar het CSBN 2021 en de begeleidende beleidsbrief die de Minister van Justitie en Veiligheid op korte termijn aan uw Kamer zal aanbieden.
Specifiek voor de overheid geldt de Baseline Informatiebeveiliging Overheid
(BIO) sinds eind 2018 als basisnormenkader voor informatiebeveiliging waaraan alle overheden zich moeten houden.11 Door implementatie van de BIO hebben overheidsorganisaties de basisbeveiliging op orde. Dit levert een bijdrage aan de weerbaarheid tegen cyberaanvallen, bijvoorbeeld door het verplicht minimaal jaarlijks testen op feitelijke veiligheid. Een voorbeeld hiervan is het uitvoeren van penetratietesten. Een penetratietest is een beveiligingscontrole die gericht is op een deel van het systeem. Bij een penetratietest wordt gekeken of het mogelijk is om kwetsbaarheden en risico's ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken.

Vraag 4

Is de Nederlandse overheid proactief op zoek naar kwetsbaarheden in de beveiliging? Zo nee, waarom niet?

Alle overheden hanteren de overheidsbrede BIO als basis voor de inrichting van hun digitale veiligheid. De baseline is erop gericht om de weerbaarheid van overheidsorganisaties ten aanzien van cyberdreigingen en incidenten te vergroten. Het proactief monitoren op kwetsbaarheden en waar nodig verhelpen van deze kwetsbaarheden is een van de relevante maatregelen daarbij. Zoals ik op 18 maart jl. aan uw Kamer heb gemeld in mijn voortgangsbrief over informatieveiligheid bij de overheid12, testen steeds meer overheden hun feitelijke veiligheid op verschillende manieren. Het overheidsbrede ondersteuningsprogramma BIO van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), dat overheden sinds 2019 helpt met de implementatie van de BIO, besteedt ook aandacht aan het belang van testen. Eveneens vinden er bij de overheid ook verschillende cyberoefeningen plaats, die kwetsbaarheden in de beveiliging kunnen aantonen. De Nederlandse overheid is dus inderdaad proactief op zoek naar kwetsbaarheden in de beveiliging.
Specifiek voor het Rijk is geïnventariseerd bij de departementen op welke wijze het geautomatiseerd zoeken naar kwetsbaarheden gestalte krijgt. Uit deze inventarisatie blijkt dat dit breed wordt toegepast. In het kader van kennisdeling heeft het Ministerie van BZK in samenwerking met een groep experts binnen de rijksoverheid en de departementen een handreiking opgesteld en vastgesteld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksoverheidsorganisaties. Daarnaast worden er door departementen diverse middelen ingezet om proactief naar kwetsbaarheden te zoeken, waaronder penetratietesten en red teaming oefeningen, en voert de Auditdienst Rijk in opdracht van de departementen en het Ministerie van BZK onderzoeken uit naar de feitelijke veiligheid van systemen en netwerken.
Een belangrijk uitgangspunt is dat iedere private en publieke organisatie primair zelf verantwoordelijk is voor zijn eigen digitale beveiliging.
De computercrisisteams (CSIRTS)13 van de overheden spelen een belangrijke rol om overheidsorganisaties te ondersteunen bij het voorkomen en verhelpen van digitale incidenten. Wel geldt voor organisaties die deel uitmaken van de rijksoverheid (en vitale aanbieders) dat het Nationaal Cybersecurity Centrum (NCSC) krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak heeft om hen bijstand te verlenen om hun digitale weerbaarheid te waarborgen en te versterken. Daarnaast deelt het NCSC in algemene zin informatie over kwetsbaarheden en daarbij behorende beveiligingsadviezen op zijn website.

Vraag 5

Is er een noodprotocol om de overheid te laten functioneren als de overheid te maken krijgt met een cyberaanval? Zo nee, vindt u het zinvol om een noodprotocol te ontwikkelen? Wilt u uw antwoord motiveren?

Alle overheden kennen herstel- en continuïteitsplannen voor wanneer er sprake is van digitale verstoring. Ook worden er diverse maatregelen getroffen om de continuïteit van de digitale overheid te kunnen waarborgen. Zo verplicht de BIO dat overheidsorganisaties hun informatiebeveiligingscontinuïteit plannen, implementeren, verifiëren, beoordelen en evalueren.14 Voor bedrijfskritische onderdelen in de bedrijfsvoering geldt de eis van herstel binnen een week. Op die manier voorzien overheden in de continuïteit van processen en systemen van de digitale overheid.
Voor situaties waarvan sprake is van maatschappelijke ontwrichting kan in het uiterste geval de nationale crisisstructuur in werking treden. Deze is door het kabinet vastgelegd in het Instellingsbesluit Ministeriële Commissie Crisisbeheersing en het Nationaal Handboek Crisisbesluitvorming. Het Nationaal Crisisplan Digitaal (NCP-Digitaal) is een specifieke uitwerking voor de aanpak van een crisis veroorzaakt in het digitale domein.15
Ten slotte wordt er ook geoefend bij de overheid. Omdat de ketenafhankelijkheid een gegeven is op de digitale snelweg, wordt er jaarlijks sinds 2019 geoefend met gesimuleerde hackaanvallen op processen en systemen van de overheid. Deze jaarlijkse Overheidsbrede Cyberoefening16 wordt georganiseerd door het Ministerie van BZK. Met alle overheden wordt het oefenscenario zo realistisch mogelijk uitgewerkt waarbij een digitale verstoring merkbaar zichtbaar is bij meerdere overheidslagen. Juist door ketens heen, interbestuurlijk en met een brede doelgroep (van IT-professional tot aan de bestuurder van een overheidsorganisatie).

Vraag 6

Heeft u contact gehad met uw Belgische ambtgenoot over de DDOS-aanval? Zo ja, wat is er besproken en wat heeft het gesprek opgeleverd?

Internationaal wordt op continue basis met partners op operationeel niveau zoveel als mogelijk informatie over dreigingen en incidenten uitgewisseld. Het NCSC heeft op dinsdag 4 mei en donderdag 6 mei jl. contact opgenomen met het Belgische Collectief Computer Security Incident Response Team (CSIRT), CERT-BE, voor het opvragen van technische details van de DDoS-aanval.
In EU-verband en bilateraal werkt Nederland overigens ook goed samen met België aan de versterking van cyberweerbaarheid. De Nederlandse ambassade in België heeft op dinsdag 4 mei jl. contact gehad met de Belgische federale overheid over de DDoS-aanval en de maatschappelijke impact hiervan. De ontvangen informatie is direct gedeeld met het Ministerie van Buitenlandse Zaken en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Vraag 7

Welke lessen zijn er te leren aan de hand van de cyberaanvallen in België?

Digitale incidenten zijn niet gebonden aan landsgrenzen. Incidenten of dreiging daarvan in andere landen kunnen ook op organisaties in Nederland effect hebben. Internationale samenwerking is daarom van groot belang. Door snelle informatie-uitwisseling wordt bijvoorbeeld het NCSC in de gelegenheid gesteld organisaties binnen de doelgroep tijdig te waarschuwen en te informeren.
In Nederland wordt snelle informatie-uitwisseling over DDoS-aanvallen ook bevorderd door de Anti-DDoS-Coalitie.17 Dit is een samenwerkingsverband van publieke, private en wetenschappelijke partijen waarbinnen informatie en kennis over DDoS-aanvallen gedeeld kan worden om de weerbaarheid tegen aanvallen te verhogen.
In algemene zin tonen de cyberaanvallen in België wederom het belang van het op orde hebben van de digitale weerbaarheid aan.

Vraag 1

Hoe beoordeelt de Minister de conclusie van de Inspectie Leefomgeving en Transport (ILT) dat er een verhoogd – maar moeilijk te kwantificeren – risico aanwezig is op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater?

Ik ga uit van het oordeel dat de ILT in het inspectierapport over de cyberweerbaarheid bij Waternet heeft gegeven. Er wordt op het gebied van cybersecurity niet voldaan aan de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Drinkwaterwet. Waternet staat daarom onder verscherpt toezicht. Het is de eerste keer in Nederland dat een drinkwaterbedrijf door de ILT onder verscherpt toezicht wordt geplaatst omdat de grip op de cyberweerbaarheid niet op orde is. Voor Waternet is het nu de opgave om er met prioriteit voor te zorgen dat de cyberverdediging weer op orde is. Hiertoe heeft Waternet op 29 april jl. een verbeterplan bij de ILT ingediend. Het is nu aan de ILT om in het kader van het verscherpt toezicht de uitvoering van het verbeterplan actief te bewaken.

Vraag 2

Taxeert de Minister dat dit risico aanvaardbaar is, hangende het verscherpte toezicht? En zo nee, wat gaat de Minister doen om de risico’s beter in beeld te krijgen en te beheersen?

Op dit moment doen zich voor zover mij bekend geen acute risico’s voor bij Waternet ten aanzien van de veiligstelling van de openbare drinkwatervoorziening die aanleiding zouden kunnen zijn tot verdere interventies. De ILT heeft tot op heden geen incidentmeldingen ingevolge de Wbni of Drinkwaterwet met betrekking tot de levering en kwaliteit van drinkwater ontvangen die kunnen worden gerelateerd aan het geconstateerde verhoogde risico voor cyberincidenten. In mijn Kamerbrief van 4 november 20201 heb ik toegelicht dat de eindverantwoordelijkheid voor cybersecurity bij Waternet (drinkwaterrelevante deel) primair bij het bestuur van de gemeente Amsterdam ligt. De ILT constateert dat het risicomanagement bij Waternet onvoldoende op orde is. Het is daarom in de eerste plaats aan het Stichtingsbestuur van Waternet en de gemeente Amsterdam om invulling te geven aan de bestuurlijke taxatie van de risicoacceptatie van de digitale beveiliging in relatie tot de bedrijfscontinuïteit. Dit overeenkomstig de bepalingen omtrent de risicogebaseerde aanpak in de bijlage bij artikel 3a, eerste lid, van het Besluit beveiliging netwerk- en informatiesystemen (Bbni).2
Waternet heeft op basis van de gesignaleerde tekortkomingen in het ILT-rapport een verbeterplan ingediend. De ILT zal beoordelen of de onderbouwing van de risicoacceptatie en daarbij gehanteerde systematiek (en prioriteit van te nemen risicobeheersingsmaatregelen) van Waternet voldoende is. Vervolgens moet Waternet de noodzakelijke risicobeheersingsmaatregelen treffen om de cybersecurity in voldoende mate op orde te krijgen. Daar kan ik nu niet op vooruit lopen.

Vraag 3

Wat is de Minister voornemens te doen om het tempo te verhogen van het implementeren van de door de ILT voorgestelde oplossingen?

In het verbeterplan dat door Waternet aan de ILT is aangeboden is voor alle in het ILT-rapport vermelde tekortkomingen aangegeven hoe en wanneer deze zijn opgelost, inclusief de stappen op weg daarnaartoe. Het is aan de ILT om te beoordelen of de planning en uitvoering van de voorgestelde maatregelen voldoet en de voortgang daarvan gedurende het verscherpte toezicht te bewaken.

Vraag 4

Wordt er in het verscherpte toezicht ook nader gekeken naar de organisatiestructuur en de besturing van de organisatie, en de bijdrage die dat volgens het ILT-onderzoek levert aan de tekortkomingen in de cybersecurity? Zo ja, op welke manier? Zo nee, waarom niet?

Ja. Het oplossen van de tekortkomingen in de besturing, zoals in het onderzoek aangegeven, maakt onderdeel uit van het verbeterplan van Waternet. Waternet pakt zaken op die op korte termijn verbeterd kunnen worden en evalueert de zaken waarvoor een meer structurele verandering noodzakelijk is die meer voorbereiding vraagt. Gedurende het onderzoek heeft Waternet al stappen gezet die bijdragen aan de verbetering van de cybersecurity, bijvoorbeeld door de aanstelling van een CIO (Chief Information Officer). Bij het verscherpt toezicht onderhoudt de ILT intensief contact met Waternet over de voortgang van de verbeteringen.

Vraag 5

Zijn er naast het verscherpte toezicht nog andere stappen die door u of de ILT worden gezet om te zorgen dat de cybersecurity bij Waternet structureel verbetert? Welke stappen worden er door de organisatie van Waternet zelf precies gezet en dragen die naar uw mening voldoende bij aan het voorkomen van cyberincidenten?

De ILT beoordeelt eerst het verbeterplan dat door Waternet is opgesteld. Waternet is nu aan zet om de gesignaleerde tekortkomingen te verbeteren. De ILT monitort de voortgang daarvan.
Voor wat betreft de andere stappen heb ik u in mijn brief van 2 april 20213 toegezegd om u ten behoeve van de commissievergadering Water en Wadden van 10 juni as. schriftelijk te informeren over de vervolgacties in het kader van het versterken van cybersecurity in watersector. De instrumenten die in het kader van dit programma worden ontwikkeld, zijn ook bedoeld voor de structurele verbetering van de cyberweerbaarheid van Waternet. Hierbij gaat het onder andere om de Ministeriële Regeling beveiliging netwerk- en informatiesystemen die voor alle AED’s van IenW per 1 juli as. in werking treedt en om de ontwikkeling van een brede cyberstandaard/handreiking voor de procesautomatisering als aanvulling op deze regeling en de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast wordt specifiek voor de drinkwatersector een haalbaarheidsstudie gestart naar de samenwerkingsopties voor een security operations centre (SOC) en is een serious game op het gebied van cybersecurity, crisismanagement en operationele technologie ontwikkeld. Verder wordt een Red Team Blue Team training voor professionals in de watersector aangeboden, waaraan ook Waternet deelneemt.

Vraag 6

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

Vraag 1

Kunt u zich herinneren dat het CDA in de afgelopen jaren herhaaldelijk aandacht heeft gevraagd voor plaatsen in Nederland waar de mobiele bereikbaarheid onvoldoende was en alarmnummer 112 slecht bereikbaar, zoals Olland in Brabant1 Termunten/Termunterzijl in Groningen2 en Vilsteren/Hoge Hexel in Overijssel3?

Vraag 2

Bent u bekend met de berichtgeving over de problemen rond de mobiele bereikbaarheid van alarmnummer 112 in delen van Gelderland4 en de schriftelijke vragen die de Provinciale Statenfractie van CDA Gelderland hierover onlangs heeft gesteld?5

Vraag 3

Deelt u de mening dat het van levensbelang is dat de mobiele bereikbaarheid in het algemeen en die van alarmnummer 112 in het bijzonder overal in Nederland optimaal is?

Vraag 4

Kunt u voor ons visualiseren hoe het thans gesteld is met de mobiele bereikbaarheid van alarmnummer 112 in Nederland? Kunnen wij een dekkingskaart ontvangen met «vlekken» waaruit kan worden afgeleid in welke gebieden de mobiele bereikbaarheid slecht/onvoldoende is en dus actie is gewenst?

Vraag 5

Wat zijn de oorzaken van de slechte mobiele bereikbaarheid van 112 in bepaalde delen van Nederland? Betreft het onvoldoende netwerkdekking door onvoldoende masten of spelen ook andere oorzaken als isolatie en weeromstandigheden een rol? In welke mate zorgen juridische procedures tegen het afgeven van een (omgevings)vergunning voor het plaatsen van nieuwe masten voor vertraging?

Vraag 6

Acht u het mogelijk dat met de dekkingsverplichting van 98 procent voor telecomproviders, voortkomend uit de veiling van de 700Mhz-band in 2020, alsnog 100 procent mobiele dekking van alarmnummer 112 kan worden gerealiseerd? Indien niet, hoe kan dan de veiligheid van inwoners in plaatsen met onvoldoende mobiele dekking worden gegarandeerd?

Vraag 7

Bent u bereid om het bovenstaande met branchevereniging Monet (waarin telecomproviders verenigd zijn), Agentschap Telecom, gemeenten in de Vereniging van Nederlandse Gemeenten (VNG) en provincies in het Interprovinciaal Overleg (IPO) te bespreken en te verkennen met welke aanvullende acties de mobiele bereikbaarheid van alarmnummer 112 kan worden verbeterd en onveilige situaties voorkomen?

Vraag 8

Kunt u bij het Agentschap Telecom en/of de VNG nagaan in hoeverre gemeentes bekend zijn met en gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten», waarmee lokaal de mobiele bereikbaarheid kan worden verbeterd? Wat is hiervan uw eigen indruk?

Vraag 9

Kunt u deze vragen in ieder geval voor het eerstvolgende commissiedebat Telecommunicatie op 20 mei 2021 beantwoorden?

Vraag 1

Bent u bekend met het artikel «Oproep na kaashack: bestempel voedselvoorziening als vitale infrastructuur»?1

Ja.

Vraag 2

Wat zijn de voor- en nadelen van de voedselvoorziening als vitale infrastructuur te benoemen?

Bij het identificeren van vitale infrastructuur gaat het niet om een afweging waarbij voor- en nadelen leidend zijn. Dit gebeurt aan de hand van vooraf vastgestelde criteria (zie hiervoor het antwoord op vraag 4) op basis waarvan processen al dan niet als vitaal worden aangemerkt middels een vitaliteitsbeoordeling. Uitgangspunt is hierbij dat uitval of verstoring van het proces tot ernstige maatschappelijke ontwrichting kan leiden. Binnen een als vitaal aangemerkt proces kunnen aanbieders die een belangrijke rol vervullen als vitale aanbieders worden aangemerkt. Rechten en plichten voor deze vitale aanbieders volgen bijvoorbeeld uit de Wet beveiliging netwerk- en informatiesystemen (Wbni) of uit sectorale wetgeving.

Vraag 3

Wat voor hulp biedt het Nationaal Cyber Security Centrum (NCSC) aan bedrijven die als vitale infrastructuur worden gezien?

Het Nationaal Cyber Security Centrum (NCSC) heeft krachtens de Wbni primair tot taak om vitale aanbieders en andere aanbieders die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen, waar nodig op andere wijze bijstand te verlenen bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen, en ten behoeve daarvan analyses en technisch onderzoek te verrichten.
Het NCSC werkt hiertoe voortdurend aan de eigen informatiepositie. Dit gebeurt onder meer door het bevorderen van meldingen van organisaties uit bovengenoemde doelgroep van het NCSC (Rijk en vitaal) en het aangaan van samenwerkingsrelaties met andere organisaties.

Vraag 4

Wat zijn de criteria om een bedrijf te kenmerken als vitale infrastructuur?

De Nederlandse vitale infrastructuur wordt gevormd door processen die zo vitaal zijn voor het functioneren van onze samenleving, dat verstoring ervan grote gevolgen voor onze samenleving heeft.2 De verantwoordelijke vakdepartementen beoordelen of en welke processen vitaal zijn. Dit gebeurt in elk geval om de 4 jaar, maar ook wanneer maatschappelijke ontwikkelingen, zoals veranderende dreigingen of risico´s, daar aanleiding toe geven. Bij deze vitaliteitsbeoordelingen worden vooraf centraal opgestelde impactcriteria gehanteerd. Op hoofdlijnen is bepalend dat uitval of verstoring van het proces tot ernstige maatschappelijke ontwrichting kan leiden. Meer concreet wordt getoetst op basis van criteria als grootschalige economische schade, fysieke gevolgen en cascade effecten. Deze criteria zijn ontwikkeld aan de hand van Europese richtlijnen en een nationale beoordelingssystematiek.

Vraag 5

Wat vindt u van de oproep om de voedselvoorziening toe te voegen aan de lijst met bedrijven die worden gezien als vitale infrastructuur?

Ik begrijp die oproep, want voedselvoorziening is vanzelfsprekend heel belangrijk voor onze samenleving. Een objectieve vitaliteitsbeoordeling bepaalt, zoals hierboven vermeld, of een proces wordt aangemerkt als vitaal proces en daarmee deel uitmaakt van de vitale infrastructuur. Elke vier jaar wordt de vitaliteitbeoordeling van processen in elk geval opnieuw doorlopen, zodat nieuwe ontwikkelingen in sectoren of in dreigingen kunnen worden meegenomen. Een dergelijke vitaliteitsbeoordeling van de voedselvoorziening vindt in het kader hiervan later dit jaar plaats door het verantwoordelijke Ministerie (Landbouw, Natuur en Voedselkwaliteit). Hierbij moet wel opgemerkt worden dat hoewel voedselvoorziening heel belangrijk is, een proces pas vitaal is als de uitval van een individuele aanbieder leidt tot grootschalige gevolgen.

Vraag 6

Deelt u de verwachting van IT-beveiligingsexperts, dat hackaanvallen op de voedselvoorziening vaker voor zullen komen? Zo nee, waarom niet?

In het Cybersecuritybeeld Nederland (CSBN 2020)3 wordt geconstateerd dat de digitale dreiging inmiddels een permanent karakter heeft gekregen. Afpersing via ransomware, waar volgens het artikel van de NOS in dit geval sprake van is, is bijvoorbeeld nog altijd een aantrekkelijk verdienmodel voor criminele actoren, en kan leiden tot financiële maar ook maatschappelijke schade. Daarbij richten ze zich op organisaties waarvan zij verwachten dat die de mogelijkheid hebben om grotere geldbedragen te betalen of waarvoor bedrijfscontinuïteit en een belangrijke rol speelt. In de voedselvoorziening kan dit het geval zijn.
Op dit moment is mij geen beeld van de digitale veiligheid van specifiek de voedselvoorziening bekend. In algemene zin constateert het CSBN 2020 wel dat de weerbaarheid tegen digitale dreigingen nog niet overal op orde is. Bij veruit de meeste digitale aanvallen wordt nog steeds gebruik gemaakt van eenvoudige methoden. Het nemen van basismaatregelen kan helpen om barrières op te werpen of schade te beperken.

Vraag 7

Kunt u reflecteren op het bericht dat ethische hackers aangeven dat de digitale veiligheid van de voedselvoorziening niet op orde is?

Zie antwoord vraag 6.

Vraag 8

Wat vindt u van de uitspraak dat de pakkans bij hacken laag is? Wat is de reden van de lage pakkans?

Uit voorlopige cijfers blijkt dat het aantal geregistreerde gevallen van computervredebreuk stijgt4. Al eerder heb ik uw Kamer geïnformeerd over de uitdagingen bij opsporing in het digitale domein5. Het internet is inherent grensoverschrijdend en biedt veel schaalvoordelen. Daders kunnen gemakkelijk in verschillende landen veel slachtoffers maken. Verder zijn online de mogelijkheden tot anonimisering groot, wat het moeilijker maakt de identiteit van verdachten te achterhalen. Het Team High Tech Crime van de Politie en het Landelijk Parket signaleren een toename in de (technische) complexiteit van opsporingsonderzoeken. Dit beïnvloedt de duur en benodigde capaciteit voor opsporingsonderzoeken.
Aangezien het opsporen en vervolgen van cybercrimedelicten complex is zetten de politie en het OM in op een bredere bestrijding. Hieronder vallen ook alternatieve interventies, gericht op preventie en verstoring.

Vraag 9

Moet de overheid meer doen om de pakkans bij hacken te vergroten? Zo ja, wat voor maatregelen heeft u in gedachten? Zo nee, waarom niet?

De afgelopen jaren is er geïnvesteerd in de aanpak van cybercrime bij politie en OM. Zo is de politie met 145 fte uitgebreid, waarmee o.a. de regionale cybercrimeteams zijn versterkt. Vanwege de complexiteit van de opsporing vraagt cybercrime een bredere bestrijding. Daarnaast blijft het van belang dat burgers en organisaties voldoende weerbaar zijn tegen cybercrime.
Er worden ook internationaal maatregelen genomen. Nederland neemt actief deel aan de Europese gesprekken over de E-Evidence-verordening en de gesprekken over een tweede protocol bij het Cybercrimeverdrag, ter bevordering van de grensoverschrijdende opsporing, zowel binnen als buiten de EU. Het is belangrijk om te blijven inzetten op de aanpak van cybercrime, zodat het internet geen vrijplaats wordt voor criminelen.

Vraag 1

Kent u het bericht «ICT-adviseur corporaties had financiële banden met ICT-leveranciers waarover het adviseert»?1

Ja.

Vraag 2

Hoe kijkt u aan tegen de wisselwerking tussen advies- en implementatierollen voor ICT binnen de corporatiesector?

Voor de ICT sector geldt – net als voor andere sectoren – dat een wisselwerking tussen advies- en implementatierollen een ongewenste (schijn van) belangenverstrengeling kan opleveren. Een ICT-aanbieder moet hierover, op zijn minst, transparant zijn. Dit geldt wanneer hij in opdracht werkt voor de corporatiesector, net zo goed als bij welke andere sector dan ook.
Uit het krantenartikel blijkt dat er hier mogelijk sprake is geweest van vermenging van rollen bij een ICT-aanbieder die door woningcorporaties werd ingehuurd. Mogelijke vermenging van rollen is primair de verantwoordelijkheid van de ondernemer, en niet in die van de afnemer. De ondernemer is immers op de hoogte van de mogelijke vermenging van rollen, de afnemer is dat in de regel niet. Wel is het aan woningcorporaties om goed beleid te voeren voor inhuur en aanbesteding, en hierbij kritisch te zijn. Zo kan de corporatiesector bijvoorbeeld van de ondernemer in de (pre)contractuele fase eisen om eventuele mogelijke vermengingen van rollen te melden. Corporaties moeten conform de «Governancecode woningcorporaties» ook alert zijn en vragen stellen bij de inhuur van diensten van een derde partij. Verder hanteren veel corporaties het «Model algemene inkoopvoorwaarden levering diensten en werken» van Aedes. In dit model is een bepaling opgenomen waarin wordt uitgesloten dat een in te huren partij betrokken is bij afspraken met andere ondernemingen waardoor ongewenste prijsvorming kan ontstaan, afstemming van offerten of verdeling van werkzaamheden. Daarnaast heeft Aedes verschillende tools beschikbaar voor de corporaties om professioneel opdrachtgeverschap in inkoop te ondersteunen en vorm te geven.

Vraag 3

Hoe zorgt u ervoor dat advies- en implementatierollen voor bijvoorbeeld ICT, (financieel) management en accountancy binnen de corporatiesector niet door elkaar heen lopen?

De ICT-sector, (financieel) management en accountancy-sector hebben tot taak om ongewenste samenloop van belangen in die sectoren te voorkomen of op zijn minst daar transparant over te zijn richting hun afnemers. NL Digital heeft, als branchevertegenwoordiger van de ICT-sector, een Gedragscode opgesteld voor haar leden. In deze code is onder meer aangegeven het belang te erkennen van integer en transparant handelen voor het vertrouwen in de ICT-branche. Ook is bepaald dat de ondernemer die lid is van NL Digital op integere wijze omgaat met zijn zakenpartners en steeds zorgvuldig de belangen van eenieder afweegt.
Daarnaast besteedt de Autoriteit woningcorporaties (Aw) risicogericht aandacht aan het onderwerp aanbesteding, in het toezicht op de governance van corporaties, en aan de integriteit van beleid en beheer van corporaties. Verder is de Aw bezig vorm te geven aan een nieuwe versie van het hoofdstuk governance van het beoordelingskader voor woningcorporaties, waarbij het onderwerp aanbesteding een expliciet onderdeel wordt van het onderwerp integriteit. Ik ondersteun de inzet van de Aw hierop.

Vraag 4

Hoe kijkt u aan tegen Europese aanbestedingsregels voor corporaties? Bent u bereid om corporaties toch deze regels te laten volgen om dit soort belangenverstrengeling tegen te gaan?

In mijn antwoorden op het Verslag Schriftelijk Overleg over de brief van 8 december 2017 houdende informatie over het besluit van de Europese Commissie om een inbreukprocedure tegen Nederland te starten (Kamerstuk 29 453, nr. 468) heb ik uiteengezet waarom woningcorporaties niet kwalificeren als een aanbestedende dienst in de zin van de Europese aanbestedingsregelgeving. Kortgezegd komt het erop neer dat woningcorporaties kunnen kwalificeren als een instelling die werkt in het algemeen belang maar waar geen sprake is van «toezicht op het beheer», een voorwaarde om als publiekrechtelijke instelling te kwalificeren en daarmee als aanbestedende dienst. Om van «toezicht op het beheer» te spreken moet er sprake zijn van een overheid die actief toezicht uitoefent op het beheer van de instelling. Dit toezicht moet verder gaan dan louter controle achteraf en een dusdanig karakter hebben dat de overheid de mogelijkheid heeft de beslissingen van de betrokken instelling inzake overheidsopdrachten te beïnvloeden. Dat was in het Nederlandse stelsel in 2018 niet het geval en is dat nu nog steeds niet.
Het toepassen van de Europese aanbestedingsregels op woningcorporaties voorkomt de (schijn van) belangenverstrengeling niet zoals aan de orde is in het artikel waar deze vragen op zien. Bepalingen in de Aanbestedingswet 2012 zien op belangenconflicten aan de zijde van de aanbestedende dienst of over de consequenties van een belangenconflict aan de zijde van de ondernemer voor de aanbestedende dienst. Met toepassing van deze regelgeving kan niet meer worden bereikt dan nu met interne regelgeving al kan. Zoals in mijn antwoord op vraag 2 is aangegeven kunnen corporaties dat ook nu al in hun eigen inkooptraject als voorwaarde stellen.

Vraag 5

Hoe gaat u ervoor zorgen dat er meer initiatieven uit de corporatiesector zelf komen, om dit soort belangenverstrengeling tegen te gaan?

Het is niet aan de corporatiesector om op dit vlak verdere initiatieven te ontplooien, bovenop de in antwoord op vraag 2 genoemde governance-code, inkoopvoorwaarden en de beschikbaarheid van verschillende tools. Zoals hierboven omschreven ligt er primair een rol voor ondernemers, in dit geval de ICT-sector. Verder dienen corporaties bij inhuur alert te zijn.

Vraag 6

Welke rol ziet u voor de ACM (Autoriteit Consument & Markt) om dit soort belangenverstrengelingen tegen te gaan?

Het is van belang dat de afnemer op de hoogte is van de mogelijke verschillende rollen die een ondernemer vervult. Het niet-melden van een dergelijke mogelijke belangenverstrengeling is een privaatrechtelijke aangelegenheid waar het publiekrechtelijke toezicht van de ACM niet op past. Het is aan private partijen zelf om hier op een zorgvuldige manier mee om te gaan. Om deze reden hebben Aedes en NL Digital hier ook richtlijnen voor op gesteld. Als een ondernemer zich niet houdt aan de inkoopprocedure van de woningcorporaties, en daarmee een belangenverstrengeling die gemeld had moeten worden bewust verzwijgt, is het aan partijen, al dan niet met tussenkomst van de rechter, om daar een oplossing voor te vinden.

Vraag 7

Deelt u de mening dat de corporatiesector dezelfde strenge normen moet hanteren die ook al gelden voor andere sectoren, zoals voor advies- en implementatierollen binnen de bankensector? Zo nee, waarom niet?

In het aangehaalde artikel gaat het om een mogelijke belangenverstrengeling aan de kant van een ingehuurde derde, niet in het kader van de primaire dienstverlening door de woningcorporaties zelf. De normen die voor de financiële sector gelden om belangenverstrengeling tegen te gaan, zien op belangenverstrengeling in de primaire dienstverlening door de sector zelf.2 Het zou ongewenst zijn om de corporatiesector op te leggen dat zij toezien op integriteitsrisico’s bij in te huren partijen en daarmee verantwoordelijk worden voor interne aangelegenheden bij alle ondernemers van wiens diensten zij afnemer zijn. Dit ligt niet in de lijn van hun primaire taak en corporaties zijn hiervoor niet toegerust.
De accountant en de Aw houden toezicht op het risicomanagement van corporaties. Voor corporaties met meer dan 5000 woningen vloeit dit voort uit de OOB-status. Deze corporaties zijn wettelijk verplicht de interne beheersing te versterken en de accountant inzicht te geven in de beheersing van risico’s waaronder integriteitsrisico’s.

Vraag 8

Hoe kijkt u aan tegen een governance code voor corporaties? Bent u bereid om corporaties een governance code te laten ontwikkelen om dit soort belangenverstrengeling tegen te gaan?

De sector kent een governancecode, zoals in antwoord op vraag 2 ook vermeld. Deze «Governancecode woningcorporaties» is in 2020 vernieuwd. Corporaties dienen volgens deze code zorg te dragen voor een visie op opdrachtgeverschap en het beleid van aanbestedingen. In principe 5.3 van de governancecode is opgenomen dat het bestuur een aanbestedingsbeleid dient op te stellen. Dit beleid onderschrijft de beginselen van gelijke behandeling, objectiviteit, transparantie en proportionaliteit

Vraag 9

Deelt u de mening dat de corporatiesector een statement moet maken om afstand te nemen van de huidige wisselwerking tussen advies- en implementatierollen voor ICT?

Zie mijn antwoord op vraag 5.

Vraag 1

Kent u de berichten «Dijkverhoging dreigt door datacenters: kosten voor burger» en «Zeewolde wil onrust over datacenter te lijf met digitale informatieavond»?1 2

Ja.

Vraag 2

Klopt het dat de dijken in de kop van Noord-Holland door de komst van het datacenter opgehoogd moeten worden? Zo ja, wat is de reden hiervoor?

Nee. De Wieringermeerdijk hoeft niet versterkt te worden omdat deze aan de wettelijke norm voldoet. Dit blijkt uit de wettelijke beoordeling die het waterschap heeft uitgevoerd.3
De komst van het datacenter zorgt voor toename van de economische waarde achter de dijk (bepaalt mede de hoogte van de norm) maar blijft binnen de verwachte economische groei tot 2050, waar rekening mee is gehouden bij het bepalen van de norm voor de Wieringermeerdijk.
Ten algemene geldt dat als een dijk niet aan de norm voldoet deze versterkt zal worden, zoals in de Waterwet vastgelegd. Het waterschap is verantwoordelijk voor de realisatie van een versterking. De kosten voor het versterken worden door het Rijk en de waterschappen gezamenlijk betaald.

Vraag 3

Hoeveel kost dit en wie is hiervoor verantwoordelijk?

Zie antwoord vraag 2.

Vraag 4

Acht u het bij dergelijk grote projecten, zoals de bouw van een datacenter, wenselijk dat burgerinspraak vorm krijgt voordat de vergunningverlening plaatsvindt? Zo ja, hoe wilt u dit vormgeven? Zo niet, waarom niet?

Ja, dit acht ik wenselijk en dit is al het geval. Inspraak door burgers en andere belanghebbenden is mogelijk op zowel het ontwerpbestemmingsplan, waarmee een gemeente in een gebied ruimte reserveert voor een datacenter, als op de milieueffectrapportage die daarmee gepaard kan gaan. Ook bij het opstellen van datacenterstrategieën door de regio’s, zoals in de Haarlemmermeer, is inspraak in het verleden mogelijk geweest.4

Vraag 5

Hoeveel datacenters hebben we in Nederland en hoeveel worden er verwacht?

In uitvoering van de motie Beckerman en Mulder (Kamerstuk 32 813, nr. 590) is op 24 maart 2021 een Kamerbrief verstuurd door de Minister van Economische Zaken en Klimaat (Kamerstuk 32 813, nr. 675) waarin in de bijlage een overzicht wordt gegeven van het aantal datacenters in Nederland. In de bijlage wordt tevens ingegaan op de verwachte groei van datacenters. Hieronder volgen de hoofdlijnen uit deze bijlage:
Volgens de Dutch Datacenter Association waren er in 2020 189 commerciële grote multi-tenant datacenters in Nederland. Verder zijn er volgens die vereniging 5.772 organisaties die een eigen datacenter hebben. In Nederland zijn er momenteel twee locaties met hyperscale datacenters (Eemshaven en Middenmeer), en is er sprake van de mogelijke vestiging van een derde in de regio Zeewolde. Een sluitend inzicht in datacenters die in ontwikkeling zijn is landelijk niet voorhanden; deze gegevens zijn ook vaak bedrijfsvertrouwelijk.

Vraag 6

Wat zijn volgens u de belangrijkste redenen dat grote datatechbedrijven zich zo graag in Nederlands vestigen?

Per bedrijf kan het verschillen welke factoren zij meenemen in de keuze van vestigingslocatie en hoe zwaar zij deze factoren ten opzichte van elkaar wegen. Dit is meestal zeer bedrijfsspecifiek. Op basis van gesprekken met bedrijven en signalen uit de praktijk komt wel naar voren dat bedrijven Nederland als een aantrekkelijke locatie zien voor datacenter activiteiten. Factoren die hierbij een rol spelen zijn het beschikken over een betrouwbare overheid, goede digitale connectiviteit, een hoogopgeleide beroepsbevolking en betrouwbare elektriciteitsvoorzieningen. Voor colocatie datacenters, datacenters waarvan de ruimte wordt gedeeld tussen meerdere partijen (multi-tenant), heeft Nederland in het bijzonder een zeer gunstig vestigingsklimaat vanwege de hyperconnectiviteitsclusters rond Amsterdam; de Amsterdam Internet Exchange (AMS-IX). Voor hyperscale datacenters, grootschalige datacenters die worden beheerd door één partij (single-tenant), is deze hyperconnectiviteit minder relevant. Dit komt omdat hyperscale datacenters voor hun diensten geen gebruik maken van hyperconnectiviteit.

Vraag 7

Wordt er vanuit de Nederlandse overheid gestimuleerd dat grote datatechbedrijven zich hier vestigen?

Grootschalige datacenters worden ook wel hyperscale datacenters genoemd. Het actief aantrekken van hyperscale datacenters wordt op dit moment niet door het Rijk gestimuleerd. Dit geldt ook voor andere soorten datacenters. Als een partij zich meldt bij de Netherlands Foreign Investment Agency (NFIA), de uitvoeringsorganisatie van het Ministerie van EZK die op landelijk niveau verantwoordelijk is voor het aantrekken van buitenlandse bedrijven, wordt deze doorverwezen naar regionale overheden. In beginsel zijn gemeenten en provincies aan zet om deze afweging te maken. Daarbij gelden de kaders zoals die zijn vastgesteld in de Nationale Omgevingsvisie (NOVI).

Vraag 8

Wie is nu het bevoegd gezag voor het verlenen van de omgevingsvergunning bij datacenters, aangezien de Minister van Infrastructuur en Waterstaat (IenW) ervan uitgaat dat dit de provincie Noord-Holland is3, terwijl de vergunningen door de gemeente Hollands Kroon verleend worden en de provincie Noord-Holland stelt dat deze niet geldig zijn omdat de provincie bevoegd gezag is?4 Wat gaat u doen aan deze bestuurlijke onduidelijkheid en chaos?

Mijn uitspraak in het Noordhollands Dagblad ging specifiek over eerdere berichtgeving in het Noordhollands Dagblad7 over het grote drinkwaterverbruik van datacenters. Om helderheid over deze zaak te krijgen heb ik navraag gedaan bij zowel de provincie Noord-Holland als het drinkwaterbedrijf PWN, en hierover bericht in antwoord op eerdere Kamervragen van het lid van Dijk (PvdA, met kenmerk IENW/BSK-2021/91034).
De berichtgeving op RTL Nieuws ging over de omgevingsvergunning. Deze is in eerste instantie afgegeven door de gemeente Hollands Kroon die zichzelf als bevoegd gezag zag. Dit werd vanwege de grootte van een noodstroominstallatie betwist door de provincie Noord-Holland. Het betreft hier een technische-juridische kwestie. Recent is gebleken dat de gemeente op basis van advies van de landsadvocaat Pels Rijcken, het aangepaste standpunt van Infomil en de praktijk in andere provincies en bij de Omgevingsdienst Noordzeekanaalgebied tot een ander inzicht is gekomen over de bevoegdheid tot het verstekken van een vergunning.8

Vraag 9

Klopt het dat watergebruik en lozing geen criteria zijn in de beoordeling van een omgevingsvergunning voor een datacenter? Zo ja, vindt u dit wenselijk? En welke wet- en regelgeving is van toepassing op het waterverbruik en lozingen van datacenters en wie controleert dit?

Het watergebruik en lozing van een datacenter worden in het traject van planvorming tot realisatie op verschillende momenten beoordeeld.
Als een gemeente de realisatie van een datacenter mogelijk wil maken zal het een bestemmingsplan moeten opstellen of wijzigen. Afhankelijk van de grootte van het datacenter en de activiteiten die gepaard zullen gaan met de aanleg, is een mer dan vereist. In een mer moet onder andere aandacht worden besteed aan waterverbruik en lozing en kunnen verschillende opties worden vergeleken, zodat een goede keuze gemaakt kan worden.
Als oppervlaktewater wordt gebruikt moet bij het waterschap of Rijkswaterstaat een vergunning in het kader van de Waterwet worden aangevraagd. Als grondwater wordt gebruikt moet een vergunning in het kader van de Waterwet worden aangevraagd bij het waterschap of provincie. Voor kleinere onttrekkingen kan soms volstaan worden met een melding. Indien gebruik van drinkwater wordt voorzien, zal het waterbedrijf moeten oordelen of de gevraagde aansluiting qua capaciteit past. Hierbij wordt opgemerkt dat het waterbedrijf vanuit de Drinkwaterwet een verantwoordelijkheid heeft die primair gericht is op de levering van drinkwater aan consumenten (dus niet op levering van koelwater aan bedrijven). Een waterbedrijf kan hierbij de gevraagde aansluiting of levering weigeren op basis van zijn algemene voorwaarden.
Voor wat betreft de regelgeving voor lozingen wordt verwezen naar het antwoord op vragen 10, 11 en 12.

Vraag 10

Welke chemicaliën worden gebruikt in het (koel)water van datacenters, hoeveel chemicaliën en voor welke redenen?

Als datacenters afvalwater willen lozen, vragen ze een vergunning aan of doen een melding bij het bevoegd gezag. Voor lozen op oppervlaktewater is dit het waterschap of Rijkswaterstaat. Voor lozen op een riool is dit de Omgevingsdienst namens de gemeente of Provincie. Er is geen landelijk centraal overzicht van alle chemicaliën die worden gebruikt, de hoeveelheden en redenen. In zijn algemeenheid geldt dat het bevoegd gezag alleen een vergunning afgeeft als de waterkwaliteit van het ontvangende water niet verslechtert. Dus mogelijke negatieve effecten van een lozing worden onderzocht en meegenomen in de vergunningaanvraag.
Specifiek over de vraag over welke chemicaliën in koelwater zitten, heb ik eerder navraag gedaan bij het Hoogheemraadschap Hollands Noorderkwartier (HHNK). Dit naar aanleiding van eerdergenoemde Kamervragen van het lid van Dijk (met kenmerk IENW/BSK-2021/91034). HHNK is bevoegd gezag voor de lozing van water voor de twee actieve datacenters in de Wieringermeer: Bij één datacenter wordt niets toegevoegd aan het drinkwater dat voor koeling wordt gebruikt. Bij het andere datacenter wordt zout toegevoegd om het water te ontharden.
Het gebruik van additieven in koelwater voor datacenters verschilt per situatie. Het is afhankelijk van het soort koeling en de bron van water. In oppervlaktewater zitten over het algemeen meer voedingsstoffen voor micro-organismen, die in een koelinstallatie voor aangroei en verstopping kunnen zorgen. Wanneer drinkwater wordt gebruikt is dat veel minder het geval en kan zonder additieven worden gekoeld.

Vraag 11

Klopt het dat het afvalwater met chemicaliën geloosd mag worden in het oppervlaktewater?

Zie antwoord vraag 10.

Vraag 12

Zijn de mogelijke negatieve effecten van de geloosde chemicaliën op het watersysteem onderzocht? Zo ja, wat waren de uitkomsten? Zo nee, waarom niet?

Zie antwoord vraag 10.

Vraag 13

Wat zijn de toegestane lozingsconcentraten en in welke regelgeving zijn deze vastgelegd?

Ik neem aan dat hiermee concentraties van stoffen in afvalwater bedoeld worden. Het bevoegd gezag beoordeelt de lozing op basis van de te verwachte effecten in het ontvangende water. Dit geldt zowel voor de te lozen stoffen als het effect van de warmtelozingen. Er mag geen achteruitgang zijn in waterkwaliteit of de functie van het oppervlaktewater. Hierbij speelt een aantal zaken een rol zoals de grootte en duur van de lozing, de concentraties van stoffen, de temperatuur van het te lozen water. Daarnaast zijn ook eigenschappen van het water waarin geloosd wordt belangrijk, zoals achtergrondconcentraties, aanwezige natuurwaarden, grootte en doorstroming. Om al deze aspecten integraal mee te kunnen nemen in een beoordeling, is de emissie-immissie toets ontwikkeld.9 De warmtevracht wordt beoordeeld met de beoordelingssystematiek warmtelozingen.10 Deze zijn beide opgenomen in de beoordeling-systematiek voor koelwaterlozingen welke te vinden is op de Helpdesk Water.11
De regelgeving voor lozingen is vastgelegd in het Activiteitenbesluit milieubeheer voor lozingen binnen een inrichting, en het «Besluit lozen buiten inrichtingen».

Vraag 14

Wie controleert of datacenters zich houden aan de toegestane lozingsconcentraten?

Voor lozen op oppervlaktewater is dit het waterschap of Rijkswaterstaat. Voor lozen op een riool is dit de Omgevingsdienst namens de gemeente of Provincie.

Vraag 15

Zijn de lozingsconcentraten anders voor warme dagen wanneer de kwaliteit van het oppervlaktewater al vaak in een kritieke toestand verkeerd en wordt hiermee rekening gehouden in de vergunning? Zo nee, waarom niet? Zo ja, wat zijn de toegestane lozingsconcentraten voor warme dagen?

De invloed van lozingen op de waterkwaliteit in het ontvangende water zal inderdaad afhangen van het weer en de mate van doorstroming in oppervlaktewater. Hier wordt bij de beoordeling van de emissie ten behoeve van vergunningverlening rekening mee gehouden. De meest beperkende situatie is daarbij bepalend voor de emissiegrenswaarden.

Vraag 16

Wordt in de vergunning rekening gehouden waar het water wordt gedumpt en of dat waterlichaam gebruikt wordt voor irrigatie van gewassen? Zo nee, waarom niet? Zo ja, wat zijn de toegestane lozingsconcentraten?

Ja, zie vraag 13.

Vraag 17

Klopt het dat er een enorme variatie in koelwaterverbruik is bij datacenters? Zo ja, waarom is er geen maximum gesteld aan het gebruik van koelwater in wet- en regelgeving?

Ja het klopt dat er variatie is in het koelwaterverbruik. Het verbruik van koelwater is sterk afhankelijk van het soort koelsysteem dat wordt gebruikt en het proces wat gekoeld wordt. Het is aan het bevoegd gezag om een afweging te maken of er gebruik wordt gemaakt van de Best Beschikbare Technieken (BBT). Zaken die hier een rol spelen zijn onder andere energieverbruik, waterverbruik, techniekkeuze en koelmedium. Europees zijn voor bedrijven die vallen onder de Richtlijn industriële emissies (2010/75/EU) afspraken gemaakt in de BREF koelsystemen. BREF staat hierbij voor «referentiedocument betreffende de beste beschikbare technieken voor industriële koelsystemen». Dit document is beschikbaar als onderdeel van de eerder genoemde beoordeling-systematiek voor koelwaterlozingen genoemd bij het antwoord op vraag 13. Er wordt dus geen maximum gesteld aan het gebruik van koelwater, maar er wordt een integrale beoordeling gemaakt van de milieuprestaties van een koelsysteem binnen een productieproces.

Vraag 18

Hoeveel koelwater gebruikten de datacenters in Noord-Holland in 2020? Hoeveel zou een groot datacenter, zoals gebouwd wordt in Zeewolde gebruiken in 2020?

Er is geen informatie beschikbaar over gebruik van koelwater voor specifieke datacenters in Noord-Holland. Wel heb ik, in antwoord op eerdere Kamervragen van het lid van Dijk (PvdA, met kenmerk IENW/BSK-2021/91034), laten weten dat uit gegevens van het waterbedrijf PWN blijkt dat 0,6% (650,000 m3 in 2020) van het door hen geleverde drinkwater wordt gebruikt als koeling door verschillende bedrijven (waaronder datacenters).
De gemeente Zeewolde heeft op haar website informatie gepubliceerd over het waterverbruik van het geplande datacenter.12
Het datacenter koelt voornamelijk met lucht. Alleen als het warm is of de lucht erg droog wordt er oppervlaktewater gebruikt. De gemeente geeft aan dat de maximale capaciteit nodig is als de temperatuur boven 26ºC komt en de luchtvochtigheid onder de 60% ligt. Dit zal naar verwachting 4 tot 5 dagen per jaar het geval zijn. Het datacenter neemt op die dagen maximaal 270 m3/uur in, waarvan 216 m3/uur weer wordt geloosd. Het netto-verbruik tijdens die piekmomenten is dus 54 m3/uur.

Vraag 19

Klopt het dat datacenters juist op warme dagen, wanneer de temperatuur boven de 25 graden Celsius komt, drinkwater gebruiken om te koelen? Klopt het dat in droge zomermaanden het verbruik van drinkwater door datacenters twee en een half keer zo groot is als het gemiddelde gebruik van een datacenter?

Ja. De koelbehoefte is het grootst op warme dagen. De verhouding tussen piek en gemiddeld verbruik zal afhankelijk zijn van de gekozen koeltechniek en het weer. Het waterbedrijf PWN heeft aangegeven dat zij bij datacenters een vrij constante afname zien met een verhoging in de zomermaanden. Bij één datacenter zien zij een piek in de zomermaanden die twee keer zo groot is als het gemiddeld maandverbruik.

Vraag 20

Vindt u het wenselijk dat datacenters drinkwater gebruiken om te koelen? Zo ja, vindt u het wenselijk dat datacenters meer drinkwater gebruiken in droge tijden, gezien de droogte problematiek van de afgelopen drie jaar?

Nee. Ik vind het over het algemeen niet wenselijk dat datacenters drinkwater geleverd door een waterbedrijf gebruiken om te koelen. Zeker niet gezien de droogte in de afgelopen jaren.
De afweging of een datacenter aangesloten moet worden op het drinkwaternet ligt uiteindelijk bij het waterbedrijf. Hierbij wordt opgemerkt dat het waterbedrijf vanuit de Drinkwaterwet een verantwoordelijkheid heeft die primair gericht is op de levering van drinkwater aan consumenten (dus niet op levering van koelwater aan bedrijven). Een waterbedrijf kan hierbij de gevraagde aansluiting of levering weigeren op basis van zijn algemene voorwaarden.

Vraag 21

Zijn er mogelijkheden om datacenters af te koppelen van drinkwater, indien nodig, terwijl het datacenter doordraait?

Ja, er zijn mogelijkheden om datacenters af te koppelen. Als in droge tijden water moet worden verdeeld wordt de zogenaamde «verdringingsreeks» toegepast. Dit is wettelijk verankerd in de Waterwet. De verdringingsreeks heeft vier categorieën van heel belangrijk naar minder urgent. Voorbeelden in afnemende volgorde van belang: zorgen dat dijken stabiel blijven (categorie 1), drinkwater/en elektriciteitsvoorziening (categorie 2), hoogwaardig proceswater (categorie 3), en als laatste grootschalige irrigatie/koeling (categorie 4). Koelwater wordt dus als eerste afgekoppeld. PWN geeft aan dat de bedrijven die drinkwater voor koeling gebruiken op de hoogte zijn van mogelijk afkoppelen tijdens droogte.
De brancheorganisatie Dutch Data Center Association geeft aan goed op de hoogte te zijn van de verdringingsreeks. Ze heeft hier ook over gepubliceerd op haar website.13 Moderne datacenters gebruiken vaak een combinatie van vrije koeling (alleen met lucht) en adiabatische koeling (lucht en water). Andere moderne datacenters kiezen voor een combinatie van WKO (warmte/koude opslag) en vrije koeling, waardoor er geen of amper water wordt verbruikt voor de koeling. Alle professionele datacenters kunnen, in het geval dat er geen water beschikbaar is, operationeel blijven en met lucht koelen, ook als het warmer dan 20 graden is. Dit kost dan wel meer stroom, maar daar wordt in het ontwerp rekening mee gehouden.
Sommige datacenters hebben ook een eigen waterbuffer. Dit geldt voor zowel het datacenter van Microsoft in de Wieringermeer als bij het beoogde datacenter in Zeewolde.

Vraag 22

Bent u bereid om te onderzoeken welk ander water, zoals industriewater of grijs water, gebruikt kan worden om datacenters te koelen? Zo nee, waarom niet? Zo ja, per wanneer?

Hoewel ik niet voornemens ben om specifiek voor datacenters onderzoek te laten uitvoeren, lopen er verschillende beleidstrajecten, die ervoor kunnen zorgen dat (toekomstige) datacenters ander water gaan gebruiken.
Zoals bij de vorige vraag aangegeven, zijn waterbedrijven beleid aan het ontwikkelen om te zorgen dat er geen drinkwater meer wordt afgenomen als dat voor het gebruik niet nodig is. Dit betekent dat waterbedrijven een aansluiting kunnen weigeren. Daarnaast is de branche ervan op de hoogte dat koelwater bij waterschaarste als eerste wordt afgekoppeld. De initiatiefnemer zal dus afhankelijk van de lokale situatie op zoek moeten gaan naar een alternatief en/of back-up. Dit kan industriewater, grijswater, of vaak nog beter hemelwater zijn.
De keuze voor de bron van water moet meegenomen worden in de locatiekeuze van een datacenter. Omdat hierbij ook andere zaken een rol spelen (ruimte, beschikbaarheid van energie, internetkabels) is dit een lokale afweging. Verschillende regionale overheden hebben of ontwikkelen beleid dat meer duidelijkheid moet verschaffen over de vestigingsvoorwaarden voor datacenters. Voorbeelden zijn de Metropoolregio Amsterdam, de provincie Noord-Holland, en de gemeente Haarlemmermeer.14 15 16
Met het Deltaprogramma Zoetwater investeer ik samen met de regio’s veel extra geld in uitvoeringsmaatregelen om ons land weerbaarder te maken tegen watertekorten door zuiniger te zijn met water, water beter vast te houden en slimmer te verdelen. Hierbij kijken we ook naar mogelijkheden voor hergebruik van grijswater. Dit water kan voor verschillende toepassingen worden gebruikt – waaronder datacenters.

Vraag 23

Bent u bereid om te onderzoeken of het mogelijk is voor datacenters om op het riool te lozen? Zo nee, waarom niet? Zo ja, per wanneer?

Nee. De keuze tussen lozing op riool of oppervlaktewater hangt af van de verontreinigingsvracht, het volume aan afvalwater, en het soort stoffen. In de datacenters van de Wieringermeer is het afvalwater vooral zouter. Zout wordt niet verwijderd in een rioolwaterzuivering, dus voor de waterkwaliteit heeft dit geen effect. In de Wieringermeer wordt geloosd op een vaart die uitkomt op een gemaal dat loost op de Waddenzee. Er is in dat specifieke geval geen nadelig effect door het relatief zoute lozingswater. Voor het beoogde datacenter in Zeewolde, wordt een zuiveringsinstallatie voorzien in het ontwerp. Dit zorgt ervoor dat de zuivering is afgestemd op de kwaliteit van het koelwater en eisen die vanuit het ontvangende water worden gesteld. Daarnaast voorkomt dit een extra belasting van de communale zuivering.

Vraag 24

Bent u het eens dat er voorwaarden aan de komst van datacenters moeten worden gesteld, zoals een circulair koelsysteem? Zo nee, waarom niet?

In de huidige situatie worden er voor verschillende activiteiten die gepaard gaan met datacenters in vergunningverlening voorwaarden gesteld. Het gaat dan om zowel waterverbruik (zie het antwoord op vraag 9), als koelwaterlozingen (zie het antwoord op vraag 17).
Ik ben het eens dat aanvullende sturing en voorwaarden nodig zijn in die regio’s waar in de toekomst veel nieuwe datacenters zijn te verwachten. Zoals in het antwoord op vraag 22 beschreven zijn de Metropoolregio Amsterdam, de provincie Noord-Holland en de gemeente Haarlemmermeer hier al mee bezig.17 18 19 In dit regionale beleid worden vestigingsvoorwaarden bepaald voor datacenters rond onder meer water, ruimte en hergebruik van restwarmte.
Met het begrip «circulair koelsysteem» neem ik aan dat gedoeld wordt op hergebruik van restwarmte. Dit is één van de aspecten waar in regionaal beleid voorwaarden voor kunnen worden gesteld. Dit zal vooral kansen bieden in gebieden waar de warmte gebruikt kan worden, bijvoorbeeld in stedelijk gebied. Dit wordt al op verschillende locaties in Nederland toegepast, bijvoorbeeld in Hengelo, Heerlen en Eindhoven.20

Vraag 25

Bent u bereid tot ontwikkeling van landelijke wetgeving met betrekking tot het gebruik van drinkwater voor koeling en het lozen van koelwater van datacenters? Zo nee, waarom niet?

Voor wat betreft het gebruik van drinkwater verwijs ik naar de antwoorden op vragen 20 en 21. Daarnaast gaat Het Rijk samen met de partners (provincies, waterschappen, drinkwaterbedrijven en industrie via VEMW) een verkenning uitvoeren naar het juiste water voor het juiste gebruik. Dit is een actie die zal worden opgenomen in de nieuwe Beleidsnota drinkwater, die ik binnenkort naar de Kamer stuur. Dit is niet specifiek voor datacenters. De Drinkwaterwet geeft aan waterbedrijven de mogelijkheid om een gevraagde aansluiting of levering te weigeren, op basis van zijn algemene voorwaarden. Dit betekent dus dat er geen aanvullende wetgeving nodig is om aansluiting bedoeld voor koeling te weigeren.
Voor wat betreft de lozing van koelwater, is er een robuust stelsel zoals beschreven in de antwoorden op vragen 10 tot en met 17. Ik acht aanvullende wetgeving specifiek voor de datacenters momenteel niet nodig.

Vraag 1

Bent u bekend met het artikel «Huawei had toegang tot gegevens miljoenen Telfort-klanten»?1

Ja, ik ben met het artikel bekend.

Vraag 2

Wat is uw reactie op deze berichtgeving, die erop wijst dat Huawei toegang had tot de klant- en facturatiegegevens van miljoenen Telfort abonnees?

Aanleiding van het artikel is een intern audit-rapport van KPN uit 2011 waarin KPN een reguliere audit doet naar de beveiliging van een destijds nieuw systeem van Telfort, toen onderdeel van KPN, waarop klant- en facturatiegegevens (zoals persoons- en verkeersgegevens) werden bewaard. KPN heeft ons gemeld dat het Amerikaanse bedrijf HP hoofdaannemer was voor de realisatie van het systeem en diverse onderaannemers gebruikte, waaronder Huawei, voor de bouw en het beheer. Uit dat rapport zou blijken dat beveiligingsmaatregelen niet op orde waren, zoals logging en monitoring van wie toegang heeft tot het systeem en wie wat met de gegevens doet. Uit het rapport kwam een groot aantal verbeterpunten waarvan de meeste waren gericht aan HP als hoofdaannemer. Volgens KPN zijn alle verbetermaatregelen in de jaren erna opgevolgd. Huawei had als leverancier toegang tot het systeem voor reguliere beheer- en onderhoudsactiviteiten. Ons is niet bekend of via deze beheertoegang klantgegevens zijn ontvreemd. Navraag bij KPN leert dat dit KPN niet is gebleken. Het systeem is in het voorjaar van 2018 vervangen.

Vraag 3

Klopt het dat uit het aangehaalde KPN-rapport blijkt dat Huawei geregeld bestanden uit de klantomgeving van Telfort haalde? Zo ja, wat is uw reactie op de verklaring van hetzelfde bedrijf dat er geen enkele aanleiding is om te veronderstellen dat er gegevens van Telfort-klanten waren ontvreemd, door wie dan ook? Bent u bereid om hier bij KPN opheldering over te vragen?

Zie antwoord vraag 2.

Vraag 4

Kunt u helder uiteenzetten tot welke specifieke datavariabelen Huawei precies toegang had?

Zie antwoord vraag 2.

Vraag 5

Is het denkbaar dat de Chinese autoriteiten op deze manier, via Huawei, de Oeigoerse diaspora of andere specifieke groepen in beeld konden brengen of konden volgen?

Het is ons niet bekend of, voor zover sprake is geweest van ontvreemding van klantgegevens, Chinese autoriteiten op deze manier Oeigoerse diaspora of andere groepen in beeld konden brengen of konden volgen. In algemene zin is bekend dat statelijke actoren zich richten op het vergaren van (onder meer) persoonsgegevens voor het monitoren en profileren van doelwitten. Daarbij is bekend dat de inlichtingen- en beïnvloedingsactiviteiten van China zich mede op zijn diaspora richten. Ongewenste buitenlandse beïnvloeding en inmenging hebben de aandacht van het kabinet en de inlichtingen- en veiligheidsdiensten in het bijzonder. Op het moment dat concrete activiteiten in dat verband worden waargenomen, wordt bezien of passende maatregelen nodig en mogelijk zijn.

Vraag 6

Welke acties zijn ondernomen in 2019 toen medewerkers van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en specialisten van KPN een verborgen toegangspad naar klantgegevens ontdekten waar alleen Huawei bij kon?

Het kabinet doet in het openbaar geen uitspraken over het kennisniveau of de activiteiten van de Nederlandse inlichtingen- en veiligheidsdiensten.
In het algemeen kan gesteld worden dat de Telecommunicatiewet sinds 2012 een zorgplicht kent die ertoe strekt dat aanbieders van openbare telecommunicatienetwerken en -diensten passende technische en organisatorische maatregelen dienen te nemen om de risico’s voor de veiligheid en de integriteit van hun netwerken en diensten te beheersen. In het kader van die zorgplicht past het niet dat er toegangspaden tot een netwerk en diensten bestaan die niet zijn geautoriseerd of gecontroleerd door de desbetreffende aanbieder van openbare telecommunicatienetwerken en -diensten. Het ongeautoriseerd aanbrengen van geheime toegangspaden kan daarnaast een verdenking opleveren van een misdrijf als bedoeld in de artikelen 350c Sr en/of 138ab Sr.

Vraag 7

Is het bestaan van dat toegangspad destijds gemeld bij de Autoriteit Persoonsgegevens? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 8

Is destijds bij Huawei om opheldering gevraagd over het ontdekte toegangspad? Zo ja, door wie, en wat was de reactie? Zo nee, waarom niet? Op welke wijze is het toegangspad gesloten? In hoeverre is het aanbrengen van geheime toegangspaden in strijd met de wet?

Zie antwoord vraag 6.

Vraag 9

Klopt het dat het bewuste klantsysteem momenteel niet meer in gebruik is? Tot wanneer was het systeem wel in gebruik?

Het klopt dat dit bewuste klantsysteem, uit het audit rapport van 2011, momenteel niet meer in gebruik is. Het betreft hier een oud klantsysteem van Telfort. Het systeem was in gebruik tot voorjaar 2018.

Vraag 10

Kunt u uitsluiten dat Huawei op dit moment dergelijke toegang heeft tot klantgegevens van Nederlandse burgers? Hoe wordt voorkomen dat dit weer kan gebeuren? In hoeverre is de logging van toegang tot klantgegevens van telecombedrijven nu verplicht?

Wij kunnen aan de hand van een intern KPN-rapport uit 2011 geen conclusies verbinden over hoe Huawei in het algemeen producten aanlevert. Het kabinet neemt actief maatregelen om de weerbaarheid van telecommunicatienetwerken te verhogen en misbruik via leveranciers van producten en diensten tegen te gaan. In 2019 heeft de Taskforce Economisch Veiligheid (TFEV), met medewerking van de drie mobiele netwerk operators (KPN, T-Mobile en VodafoneZiggo) een risicoanalyse naar de kwetsbaarheid van de netwerken voor dergelijk misbruik uitgevoerd. Uw Kamer is op 1 juli 2019 geïnformeerd over de uitkomsten hiervan. Op basis van deze analyse heeft het kabinet besloten tot het nemen van de volgende drie maatregelen:
Voor de eerste twee genoemde maatregelen is een grondslag gecreëerd in het Besluit veiligheid en integriteit telecommunicatie, met daarin nadere regels met betrekking tot de in het antwoord op vraag 6–8 genoemde zorgplicht voor telecomaanbieders krachtens de Telecommunicatiewet. De derde maatregel is essentieel om de telecomnetwerken ook in de toekomst veilig te houden.
De standaarden op het gebied van veiligheid die in de praktijk in het kader van deze zorgplicht worden gehanteerd door telecomaanbieders, en worden getoetst door de toezichthouder (Agentschap Telecom), zijn er mede op gericht te voorkomen dat onbevoegden in systemen kunnen komen. Specifieke eisen aan toegang tot systemen, zoals autorisatie, monitoring en logging, ongeacht de leverancier, zijn daar onderdeel van.

Vraag 11

Deelt u de mening van hoogleraar Bas Jacobs, tevens lid van de Cyber Security Raad, dat het interne KPN-rapport ook iets zegt over de wijze waarop Huawei in het algemeen haar producten aanlevert, dat het bedrijf zichzelf een plek diep in de geleverde systemen verschaft? Zo ja, is het dan verantwoord om Huawei een rol te laten spelen in het aanleggen van 5G-netwerken? Zo nee, waarom niet?

Zie antwoord vraag 10.

Vraag 12

Was u al op de hoogte van dit rapport, of is deze informatie nieuw voor u? In hoeverre waren de bevindingen van het rapport al meegenomen in het structurele proces ten aanzien van de risicobeoordeling van kwetsbaarheden van de netwerken van telecomaanbieders?

Wij waren niet op de hoogte van dit rapport. Van belang is om te realiseren dat het hier gaat om een bedrijfsintern rapport uit 2011. Het feit dat KPN dit type audits liet uitvoeren geeft inzage in de wijze waarop KPN invulling geeft aan de toetsing van haar eigen systemen. In de eerder benoemde risicoanalyse van de TFEV is het risico op ongeautoriseerde toegang tot systemen en data en hoe misbruik daarvan te voorkomen meegenomen.

Vraag 13

Deelt u de mening dat dit interne KPN-rapport laat zien dat het onverstandig is om gebruik te maken van andere dan volledig betrouwbare leveranciers in het telecomnetwerk, niet alleen in de kritieke delen van het netwerk, maar ook in het radio- en antennenetwerk? Zo nee, waarom niet?

Op basis van de eerdergenoemde risicoanalyse van de TFEV is besloten om mobiele netwerk operators bij beschikking te verplichten om in kritieke onderdelen van hun netwerken enkel gebruik te maken van vertrouwde leveranciers. Het kabinet doet geen openbare uitspraken welke onderdelen als kritiek zijn aangemerkt. Er is op dit moment geen noodzaak om eenzelfde verplichting op te leggen voor het gehele netwerk. Eén van de maatregelen die het kabinet heeft genomen naar aanleiding van de eerder genoemde risicoanalyse van de TFEV in 2019 is het inrichten van een structureel proces, waarin nieuwe informatie over dreiging en technologie wordt beoordeeld door overheid en de telecomsector samen. Als daar aanleiding toe is, kunnen er op basis van dit structurele proces aanvullende veiligheidsmaatregelen genomen worden.

Vraag 1

Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1

Ja.

Vraag 2

Wat is uw eerste reactie op deze berichtgeving?

Het Agentschap Telecom en de Autoriteit Persoonsgegevens doen op dit moment als toezichthouders samen onderzoek naar aanleiding van het NRC-artikel. In dit onderzoek wordt bekeken wat er precies gebeurd is en of daarbij privacyregels zijn geschonden. De resultaten van dit onderzoek zullen moeten worden afgewacht alvorens hierop een reactie kan worden gegeven.

Vraag 3

Vanaf welk moment bent u op de hoogte van deze kwestie? Welke acties hebt u tot dusver ondernomen?

Als Minister van Economische Zaken en Klimaat ben ik politiek verantwoordelijk voor de wetgeving omtrent het CBS en het budget. Het CBS is een zelfstandig bestuursorgaan en derhalve niet hiërarchisch ondergeschikt aan de Minister. Dit brengt met zich mee dat ik geen aanwijzingen aan het CBS kan geven op dossierniveau en dat ik ook niet van alle individuele contracten die het CBS sluit op de hoogte word gesteld. Hierdoor ligt het dus niet voor de hand dat ik van tevoren op de hoogte word gesteld van een dergelijke samenwerking tussen T-Mobile en het CBS. Naar aanleiding van het NRC-artikel ben ik geïnformeerd over deze kwestie. Het publicatiebeleid en de methoden waarmee de statistieken gemaakt worden, vallen onder de eigen verantwoordelijkheid van de DG CBS. Directe politieke invloed op de onderzoeksmethoden en de wijze van publicatie van de resultaten van statistieken zou de geloofwaardigheid en de betrouwbaarheid van de onderzoeken ter discussie kunnen stellen.

Vraag 4

Klopt het dat het verkrijgen van toegang tot de data van telecomproviders hoog op de agenda van staat van de Europese statistiekbureaus en het Nederlandse Centraal Bureau voor de Statistiek (CBS), zoals naar voren komt uit de correspondentie bij vernoemd nieuwsbericht?

Dat is juist. Het gebruik van mobiele data voor statistiek komt in diverse Europese landen voor. Zo heeft de Europese Commissie op 8 april 2020 een aanbeveling uitgebracht over het gebruik van o.a. geanonimiseerde mobiliteitsgegevens bij de bestrijding van Covid-192. Ook voor andere statistieken gebruiken diverse landen telecomdata. Zo gebruikt Destatis (het Duitse federale statistiekbureau) mobiele telefoniedata voor informatie over mobiliteit3 en voor bevolkingsstatistieken4, en gebruikt het Belgische statistiekbureau dergelijke data voor woon-werkverkeer5.

Vraag 5

Welke afspraken hebben het CBS en T-Mobile gemaakt over het uitwisselen van datasets? Kunt u de Kamer, desnoods vertrouwelijk, inzage geven in de documenten waarin deze afspraken en bijbehorende voorwaarden zijn vastgelegd?

De overeenkomst tussen het CBS en T-Mobile waarin de voorwaarden voor samenwerking zijn opgenomen, is openbaar gemaakt6.

Vraag 6

Van hoeveel mobiele klanten van T-Mobile, en eventuele andere telecomproviders, zijn gegevens uitgewisseld? Is het juist dat deze klanten hiervan niet op de hoogte zijn? In hoeverre is dit toegestaan?

Volgens het CBS heeft het geen toegang gehad tot individuele klantgegevens van personen. Het CBS en T-Mobile hebben aangegeven dat het CBS inzicht heeft gehad in gegevens die niet herleidbaar zijn tot klanten en dat de gegevens waar het om gaat geen exacte plaatsbepaling aangeven. Dit neemt niet weg dat er toch vragen zijn gerezen over het verstrekken van gegevens van T-Mobile aan het CBS. Daarom is er een onderzoek ingesteld door het Agentschap Telecom daarin bijgestaan door de Autoriteit Persoonsgegevens.

Vraag 7

Kunt u uitleggen waarom voor een dergelijke uitwisseling van gegevens in het kader van een «pilot-project», zoals een woordvoerder van het CBS omschrijft, geen toestemming nodig zou zijn, terwijl voor een vergelijkbaar initiatief in het kader van coronabestrijding parlementaire goedkeuring gevraagd zou worden?

De Telecommunicatiewet maakt het de aanbieders van telecommunicatiediensten mogelijk om zonder toestemming van de gebruikers locatiegegevens te verwerken onder de voorwaarde dat deze gegevens zijn geanonimiseerd. Na de anonimisering mogen de gegevens, als de aanbieders van telecommunicatiediensten dat zouden willen, ook met derden worden gedeeld. Het CBS geeft aan dat het in de pilot ging om vrijwillig door de aanbieder ter beschikking gestelde geanonimiseerde gegevens. Voor wat betreft het gebruik van telecommunicatiedata voor de bestrijding van Covid-19 hebben diverse aanbieders verklaard hieraan alleen te willen meewerken als zij daartoe wettelijk verplicht worden. In de Tijdelijke wet informatieverstrekking RIVM in verband met de bestrijding van Covid-19 is een dergelijke verplichting voor aanbieders opgenomen. Daarnaast zijn in het wetsvoorstel regels opgenomen over de wijze waarop de telecommunicatie-aanbieders de gegevens aan het CBS moeten leveren.

Vraag 8

Kunt u aangeven of er sprake is van een uitwisseling van geanonimiseerde, niet tot individuele personen herleidbare gegevens en/of gepseudonomiseerde data dan wel van data van niet-anonieme bellers?

Zie antwoord op vraag 6. Het is aan de toezichthouders het Agentschap Telecom en de Autoriteit Persoonsgegevens om dit te beoordelen.

Vraag 9

Kunt u duiden hoezeer de ontwikkeling van een algoritme ten behoeve van het leveren van mobiliteitsinformatie aan overheden, bekostigd met overheidsgeld en in gebruik door commerciële partijen, en het verrijken van databestanden ten behoeve van het in kaart brengen van financiële relaties binnen huishoudens binnen de nieuwe beleidsregels voor het CBS vallen?

Voor deze pilot uit 2017 waren de nieuwe beleidsregels (Beleidsregel taakuitoefening CBS) van 1 juli 2020 niet van toepassing, bovendien betrof de pilot ook geen aanvullende statistische dienst waar de beleidsregels betrekking op hebben. Over het algemeen geldt dat het antwoord op de vraag of de Beleidsregel op een bepaalde activiteit van toepassing is, afhankelijk is van het soort activiteit. Op aanvullende statistische diensten is de Beleidsregel taakuitoefening CBS van toepassing, op activiteiten die worden bekostigd uit de algemene (lumpsum)bijdrage van de Minister van Economische Zaken en Klimaat niet.

Vraag 10

Bent u bereid de Autoriteit Persoonsgegevens om een oordeel te vragen over deze activiteiten en de werkwijze van het CBS?

De Autoriteit Persoonsgegevens en het Agentschap Telecom doen reeds onderzoek naar de pilot van het CBS met T-Mobile.

Vraag 11

Hoe zijn de verschillende onderdelen van de motie-Van den Berg/Wiersma over het tegengaan van oneerlijke concurrentie door het CBS uitgevoerd?2

Graag verwijs ik u hiervoor naar de Kamerbrief die ik 1 juli 2020 heb verstuurd naar de Tweede Kamer over de Consultatieverslagen Beleidsregel taakuitoefening CBS en Regeling werkzaamheden derden CBS en moties Van den Berg en Wiersma8. Hierin informeer ik over het uitvoeren van de motie Van den Berg/Wiersma door het CBS. In het kort komt het erop neer dat het CBS het gevraagde onafhankelijke toezicht op naleving van de beleidsregels in de motie heeft uitgevoerd door het aanstellen van een Competitive Neutrality Officer. Deze functionaris weegt de belangen van marktpartijen mee, heeft kennis van mededingingsvraagstukken en adviseert op onafhankelijke wijze over de toepassing van de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS. Deze functionaris moet minimaal een keer per jaar schriftelijk verslag uitbrengen aan de directeur-generaal van het CBS. Ik heb in de Kamerbrief toegezegd om de Kamer over dit verslag jaarlijks te rapporten. Dit zal ik aankomende zomer doen. Daarnaast heeft de directeur-generaal van het CBS een onafhankelijke klachtencommissie ingesteld met als voorzitter Michaël van Straalen waar marktpartijen klachten kunnen indienen over gedragingen van het CBS met betrekking tot de toepassing van de Beleidsregel taakuitoefening CBS of de Regeling werkzaamheden derden CBS. Ook is in de Raad van Advies van het CBS Henk Don benoemd als extra lid met een achtergrond in mededingingsvraagstukken. De Raad van Advies kijkt met de blik van een externe toezichthouder naar het CBS.

Vraag 12

Is uw indruk dat sinds de inwerkingtreding van de nieuwe beleidsregels het gedrag van het CBS op de markt voor statistiekonderzoek ten goede is veranderd? Waar blijkt dit uit?

De interne werkprocessen bij het CBS en de externe communicatie zijn in 2020 in lijn gebracht met de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS. Zo registreert het CBS alle verzoeken voor aanvullende statistische diensten centraal en is er een stroomschema en afwegingskader opgesteld ter ondersteuning bij het maken van afwegingen om een verzoek wel of niet te honoreren. Mijn vorige antwoord op vraag 11 beschrijft hoe het verdere toezicht is geregeld. Aankomende zomer zal ik de Kamer informeren over het verslag van de Competitive Neutrality Officer over de uitvoering van de Regeling werkzaamheden derden CBS en de Beleidsregel taakuitoefening CBS. Conform de toezegging aan uw Kamer zullen de regelingen twee jaar na inwerkingtreding worden geëvalueerd (in 2022).

Vraag 13

Hebt u sinds de inwerkingtreding van de nieuwe beleidsregels nog klachten van commerciële statistiekbureaus of andere partijen ontvangen over oneerlijke concurrentie door het CBS? Zo ja, wat hebt u met deze klachten gedaan?

Er zijn tot heden geen formele klachten ingediend bij de ingestelde klachtencommissie van het CBS. Wel loopt er momenteel een rechtszaak over de Beleidsregel taakuitoefening CBS en de Regeling werkzaamheden derden CBS. Deze rechtszaak is aangespannen door een brancheorganisatie voor marktonderzoek. Deze organisatie vordert onder meer een verklaring voor recht dat de Regeling werkzaamheden derden CBS onverbindend is, omdat volgens deze regeling onder het begrip derden enkel private partijen moeten worden verstaan.

Vraag 14

Wanneer is het onderzoek door het Agentschap Telecom naar mogelijke privacyschendingen afgerond? Zal dit met de Kamer worden gedeeld?

Het formele onderzoek naar mogelijke overtredingen van de wet- en regelgeving bij het verstrekken van (toegang tot) telecommunicatiegegevens van T-Mobile aan het CBS is begin maart door het Agentschap Telecom gestart. De Autoriteit Persoonsgegevens draagt aan het onderzoek bij, met expertise op het gebied van persoonsgegevens. Een einddatum is nog niet bekend, die hangt mede af van de feiten die uit dit onderzoek naar voren komen. De uitkomst van het onderzoek zal met de Kamer gedeeld worden.

Vraag 15

Bent u bereid om hangende het onderzoek door de Autoriteit Persoonsgegevens het CBS te verzoeken alle voornoemde en verwante activiteiten te staken, totdat er duidelijkheid is over de privacy, gevolgde procedures en werkwijze, aard van uitgewisselde data en toegang van CBS-medewerkers tot die data?

Het CBS heeft aangegeven dat het op dit moment geen activiteiten onderneemt waarbij mobiele telefoniedata worden gebruikt om statistieken te produceren.

Vraag 16

Deelt u de mening van het CBS dat «de data zo privacygevoelig zijn dat als er één partij vertrouwd kan worden om dit te analyseren dat het CBS is»?

Ik heb vooralsnog geen reden om daar aan te twijfelen. Van belang in dit verband is dat jaarlijks audits door externe auditors worden uitgevoerd, waaronder op het gebied van privacy. Het CBS heeft onlangs opnieuw het privacy certificaat «Privacy Audit Proof», dat gebaseerd is op het Privacy Control Framework, ontvangen9. Dit neemt niet weg dat ik niet vooruit wil lopen op de resultaten van het onderzoek van het Agentschap Telecom en de Autoriteit Persoonsgegevens.