Vraag 1

Kent u het bericht «Russische spionnen en de «hack van Amsterdam»»?1

Ja.

Vraag 2

Deelt u de mening dat de in het bericht genoemde casus een indicatie is dat Nederland geen goed antwoord heeft op digitale aanvallen vanuit statelijke actoren waarbij Europese of internationale instellingen in Nederland doelwit zijn? Zo ja, hoe komt dat en wat is er nodig om dit te verbeteren? Zo, nee waar blijkt uit deze casus dan dat er wel sprake was van een goed antwoord?

De verantwoordelijkheid voor de cyberveiligheid van internationale organisaties ligt in de eerste plaats bij de organisaties zelf. Niettemin heeft het gastland ook een inspanningsverplichting om het goed en continu functioneren van de organisatie te waarborgen. De Kabinetsinzet op cyberweerbaarheid, zoals beschreven in de NLCS, draagt daar aan bij.
Daarnaast is sinds januari 2024 de Europese verordening 2023/2841 van kracht, waarmee is beoogd de weerbaarheid van Europese instellingen, maar ook van coordinatie en afhandeling als er cyberincidenten bij deze instellingen plaatsvinden te bevorderen. Zo zijn Europese instellingen verplicht om cyberveiligheidsmaatregelen te nemen en om cyberincidenten te melden bij CERT-EU. Onder de coordinatierol van CERT-EU in crisisafhandeling schakelen zij onder andere met het Europese CSIRT-netwerk. Nederland is hierin via het NCSC vertegenwoordigd.

Vraag 3

Deelt u de mening dat, als Nederland geen bemoeienis heeft of mag hebben met het beschermen van internationale instellingen tegen digitale aanvallen, daarmee het risico op dergelijke aanvallen en schade kan toenemen? Zo ja, waarom? Zo nee, waarom niet?

Het kabinet hecht veel belang aan het werk van internationale organisaties en instellingen. Deze organisaties zijn vaak doelwit van cyberaanvallen. Ondanks dat de verantwoordelijkheid voor adequate cybersecuritymaatregelen in eerste instantie bij deze organisaties zelf ligt, kunnen deze organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident een vrijwillige melding doen bij het Nationaal Cybersecurity Centrum (NCSC) en om bijstand vragen. Daarmee kan de Nederlandse staat in die gevallen een bijdrage leveren aan het tegengaan van digitale aanvallen.
Het gastland heeft als gesteld een inspanningsverplichting om het functioneren van de internationale organisaties te faciliteren, voor zowel het fysieke als digitale domein. Voor een goede invulling van die verplichting is een goede samenwerking cruciaal. Bovendien kan Nederland zich als lidstaat van internationale organisaties actief inzetten voor (verbetering van) de cyberveiligheid van die organisatie. Zo werd na de cyberaanval op het Internationaal Strafhof met steun van Nederland een fonds voor het verhogen van de cyberveiligheid van het Hof ingesteld waaraan alle staten kunnen bijdragen.

Vraag 4

Wat is de rol van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in het geval een statelijke actor een digitale aanval op een Nederlandse organisatie dan wel een internationale organisatie in Nederland uitvoert? Is daar verschil tussen en zo ja, waarom?

De AIVD doet onderzoek naar de digitale dreiging van statelijke actoren in het belang van de nationale veiligheid, zoals benoemd in artikel 8, Wiv2017. In relatie tot de omgang van AIVD met slachtoffers van digitale aanvallen door statelijke actoren gebeurt dit, op basis van vrijwilligheid, eveneens binnen de kaders van de Wiv2017. Dit geldt zowel voor Nederlandse als voor internationale organisaties.

Vraag 5

In welke mate verschilt bovengenoemde rol van de AIVD in vergelijkbare situaties van inlichtingen- en veiligheidsdiensten in andere lidstaten van de Europese Unie (EU)?

Iedere EU-lidstaat richt zijn inlichtingen- en veiligheidsdiensten evenals zijn taken en bevoegdheden naar eigen zienswijze in. Om die reden heb ik u in het commissiedebat van 23 oktober 20242 toegezegd om de situaties in andere landen te onderzoeken. Op de invulling van een dergelijk onderzoek zal ik terugkomen bij de gesprekken over de herziening van de WIV.

Vraag 6

Welke Nederlandse of Europese instantie kan wel actie ondernemen in het geval er een internationale organisatie met vestiging in een lidstaat van de EU te maken krijgt met een digitale aanval? Zo er een dergelijke instantie is, welke afspraken zijn hiermee dan precies gemaakt? Kunt u hierbij ook het specifieke juridische kader schetsen?

Ten aanzien van internationale organisaties die in Nederland zijn gevestigd geldt, anders dan bijvoorbeeld voor organisaties die deel uitmaken van de rijksoverheid, dat het NCSC niet tot taak heeft om bij digitale dreigingen en incidenten ongevraagd bijstand te leveren. Wel kunnen deze internationale organisaties in geval van een incident met aanzienlijke gevolgen voor de continuiteit van de dienst van die organisatie, op grond van artikel 16 van de Wbni een vrijwillige melding doen bij het NCSC. Het NCSC kan in dat geval bijstand verlenen, mits het in behandeling nemen van de melding geen onevenredige of overmatige belasting voor het NCSC vormt.
Tevens doet de AIVD onderzoek naar dreigingen tegen de nationale veiligheid. Indien de AIVD constateert dat een organisatie in Nederland waarschijnlijk slachtoffer is van een digitale aanval, brengt de AIVD – vanuit de weerbaarheidstaak en binnen de kaders van de WIV2017- deze organisatie hiervan op de hoogte.
Voor in EU-lidstaten gevestigde EU-organisaties geldt dat zij andere Europese instellingen, organen en agentschappen zoals het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of CERT-EU kunnen helpen voor het verhogen van de cyberweerbaarheid of vragen om ondersteuning bij cyberincidentem De taken en bevoegdheden van ENISA en CERT-EU hieromtrent zijn vastgelegd in Verordening (EU) 2019/881 (de «Cybersecurity Act»), Raadsbesluit (EU) 2022/2504 alsook de NIS2-richtlijn (EU) 2022/2555 en in verordening 2023/2841 zoals in het antwoord op vraag 2 weergegeven. VN-instellingen kunnen zich richten tot het United Nations International Computing Centre (UNICC). In het UNICC Mandate and Governance Framework wordt bepaald dat UNICC diensten aanbiedt aan VN-entiteiten. Contractuele afspraken met VN-agentschappen zijn vastgelegd in Service Level Agreements.

Vraag 7

Deelt u de mening dat het zeer zorgelijk is dat er in Europees verband kennelijk onvoldoende samenwerking is en dat een door de Nederlandse politie in 2021 gegeven waarschuwing aan andere lidstaten geen opvolging kreeg? Zo nee, waarom niet? Zo ja, wat gaat het kabinet doen om te zorgen dat hier in de toekomst wel op geacteerd wordt?

Cyberaanvallen en digitale netwerken zijn niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak en zijn daarom van groot belang. Het Kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijn in nationale wetgeving in de Cyberveiligheidswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties te delen. Dit zal ook de samenwerking met deze landen bevorderen. Met de inwerkingtreding van de NIS1-richtlijn en de NIS2-richtlijn is het Europese CSIRT-netwerk opgericht en versterkt. Het CSIRT-netwerk bestaat uit vertegenwoordigers van de nationale CSIRT's van de Europese lidstaten en het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU). Dit CSIRT-netwerk heeft onder meer tot taak het uitwisselen van informatie over incidenten, bijna-incidenten, cyberdreigingen, risico's en kwetsbaarheden, het uitvoeren van een geco6rdineerde respons op incidenten, en het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten. Daarnaast bevordert ook de Europese verordening 2023/2841, zoals in het antwoord op vraag 2 weergegeven, de samenwerking.

Vraag 8

Deelt u de mening dat er sprake is van een lacune in de hulp aan deze internationale organisaties in het geval van een digitale aanval van een statelijke actor? Zo ja, waarom, hoe komt dat en hoe moet deze lacune opgevuld gaan worden? Zo nee, waarom niet?

Zoals geschetst in het antwoord op vraag 6, kunnen internationale organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident met aanzienlijke gevolgen voor de continufteit van hun dienst, een vrijwillige melding doen bij het NCSC en vragen om bijstand. Hierbij wil ik benadrukken dat de verantwoordelijkheid van digitale veiligheid van organisaties in Nederland primair bij de organisaties zelf ligt.

Vraag 9

Deelt u de mening dat uit de in het bericht genoemde casus blijkt dat de internationale samenwerking in het geval van digitale dreigingen niet optimaal werkt en verbetering behoeft? Zo ja, welke verbeteringen zijn er nodig en hoe en op welke termijn worden die bewerkstelligd? Zo nee, waarom niet en hoe kan het dan dat het weken duurt eer zelfs maar duidelijk is waar een verzoek tot onderzoek naar een dergelijke dreiging moet worden ingebracht?

Ik doe geen uitspraken over specifieke casussen van de AIVD. In het algemeen, zoals ook aangegeven bij vraag 7, zijn cyberaanvallen en digitale netwerken niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak zijn daarom van groot belang. Het kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking, zoals ook aangegeven bij vraag 2. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijnen in nationale wetgeving in de Cyberbeveiligingswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties to delen en versterkt de samenwerking binnen het Europese CSIRT-netwerk. Dit zal ook de samenwerking met deze landen bevorderen.

Vraag 10

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Bent u bekend met de recente wijzigingen in de beschikbaarheid en actualisatie van seismische en akoestische data door het Koninklijk Nederlands Meteorologisch Instituut (KNMI), zoals vermeld op haar website?1

Ja.

Vraag 2

Kunt u bevestigen dat tal van data met betrekking tot aardbevingen in Groningen niet langer geactualiseerd worden en/of moeilijker toegankelijk zijn, zoals onder meer de aardbevingscatalogus en modelmatig berekende peak ground acceleration-waarden (PGA) en peak ground velocity-waarden (PGV)? Zo ja, waarom is hiervoor gekozen en waarop en onder wiens bevoegdheid is deze verandering gebaseerd?

Nee, dit kan ik niet bevestigen, de data worden nog steeds geactualiseerd en blijven onverminderd beschikbaar. Het KNMI heeft in januari 2025 zijn seismologische operationele keten naar Amazon Web Services (AWS) gemigreerd, nadat hier in 2023 voor was gekozen. Onderdeel van deze migratie was het uitfaseren van verouderde producten door deze te vervangen door moderne varianten. Alle data en producten zijn op AWS onverminderd beschikbaar, in een vernieuwd en beter te onderhouden systeem dat bijdraagt aan een robuuste 24/7-beschikbaarheid. Dit is aangekondigd en staat beschreven op de KNMI-website. Op de KNMI-website blijven zowel de aardbevingscatalogus2 en PGA/PGV waarden via shakemaps3 beschikbaar voor aardbevingen die hebben plaatsgevonden en deze worden geactualiseerd in het geval van nieuwe aardbevingen.

Vraag 3

Erkent u dat de beschikbaarheid van deze data van cruciaal belang is voor bewoners en hun advocaten bij juridische procedures? Zo ja, welke maatregelen worden getroffen om de toegankelijkheid en actualiteit van deze data te waarborgen?

Ja. Deze migratie draagt bij aan de toegankelijkheid omdat het nieuwe systeem moderner en beter te onderhouden is. Hierdoor wordt de 24/7 beschikbaarheid beter gewaarborgd (zie ook het antwoord op vraag 2).

Vraag 4

Bent u het ermee eens dat Groningen hiermee in toenemende mate afhankelijk wordt van de trillingstool en de algemene maatregel van bestuur omtrent 2-millimeter, in plaats van voortschrijdende wetenschappelijke inzichten? Zo nee, waarom niet?

Nee. Zoals in het antwoord op vraag 2 aangegeven geeft het KNMI aan dat actuele gemeten PGA en PGV waarden onverminderd beschikbaar zijn via onder andere shakemaps in het KNMI Data Platform4 en shakemaps op de website. Daarnaast houdt het Instituut Mijnbouwschade Groningen (IMG) bij de beoordeling van schade rekening met voortschrijdende wetenschappelijke inzichten. Zo heeft het IMG recent onderzoek laten doen naar de effecten van gestapelde mijnbouw en doet het onderzoek naar de indirecte effecten van diepe bodemdaling. Als de resultaten daartoe aanleiding geven, wordt de werkwijze hierop aangepast. Alle onderzoeken en data op basis waarvan het IMG schade beoordeelt zijn toegankelijk en openbaar.

Vraag 5

Hoe beoordeelt u de gevolgen van deze verandering voor de controleerbaarheid en transparantie van aardbevingsgegevens voor de Groningers en andere belanghebbenden?

Het KNMI geeft aan dat de migratie naar AWS en vernieuwing van bestaande producten geen invloed heeft op de controleerbaarheid en transparantie van aardbevingsgegevens. De modernisering van de seismologische operationele keten heeft als doel een robuuste 24/7-beschikbaarheid te garanderen. In de metingen en daaruit afgeleide aardbevingsgegevens, zoals de aardbevingscatalogus, shakemaps en bijbehorende PGA/PGV-waarden, is niets veranderd. Voor het beschikbaar stellen worden nu International Federation of Digital Seismographic Networks (FDSN) webservices gebruikt, de internationale standaard hiervoor, en het KNMI Data Platform.

Vraag 6

Kunt u toelichten hoe de overstap naar de webservices van de International Federation of Digital Seismographic Networks (FDSN) en het KNMI Data Platform de toegankelijkheid en bruikbaarheid van deze gegevens verbetert voor de inwoners van Groningen? Zo nee, waarom niet?

Met FDSN webservices en het KNMI Data Platform heeft het KNMI een robuuste infrastructuur die eenduidige toegang verleent tot data en producten, waarbij 24/7-beschikbaarheid een belangrijk element van de dienstverlening is. Het KNMI is altijd bereid in samenspraak met belanghebbenden de toegankelijkheid en bruikbaarheid verder te verbeteren (zie ook het antwoord op vraag 7).

Vraag 7

Zijn er vanuit u aanvullende inspanningen om ervoor te zorgen dat inwoners, deskundigen en wetenschappers de benodigde data op een laagdrempelige manier kunnen blijven raadplegen? Zo nee, waarom niet?

De data en producten zijn en blijven onverminderd beschikbaar. Het KNMI is altijd bereid in samenspraak met belanghebbenden de beschikbaarheid te blijven verbeteren en zo eenvoudig mogelijk te maken.

Vraag 8

Bent u bereid te waarborgen dat alle noodzakelijke data beschikbaar blijven en gemakkelijk toegankelijk zijn voor de Groningse bevolking en hun juridische vertegenwoordigers? Zo nee, waarom niet?

Ja.

Vraag 9

Heeft er vanuit u communicatie plaatsgevonden met het Staatstoezicht op de Mijnen inzake de wijzigingen op de KNMI-site? Zo nee, waarom niet?

Nee, de migratie heeft geen invloed gehad op de beschikbaarheid van data en producten van het KNMI. Daarom heeft er geen directe communicatie met het Staatstoezicht op de Mijnen hierover plaatsgevonden.

Vraag 10

Kunt u uitleggen waarom het KNMI tot op heden nooit is aangesloten bij de United States Geological Survey? Zo nee, waarom niet?

Bij de United States Geological Survey zijn met name Amerikaanse observatoria aangesloten. In Europa hebben seismologische observatoria, zoals het KNMI, zich verenigd in ORFEUS (Observatories & Research Facilities for European Seismology) voor data- en kennisuitwisseling. Het KNMI is daarom aangesloten bij ORFEUS.5

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Bent u bekend met het artikel getiteld «Online oplichting in Nederland stijgt schrikbarend: 2,4 miljoen slachtoffers»?1

Vraag 2

Deelt u de mening dat het feit dat het aantal slachtoffers van online oplichting in Nederland is gestegen tot maar liefst 2,4 miljoen schrikbarend is? Zo ja, waarom? Zo nee, waarom niet?

Vraag 3

Kunt u verklaren hoe het komt dat vooral jongeren hierbij vaker getroffen worden dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers?

Vraag 4

Kunt concreet aangeven welke concrete maatregelen er de afgelopen twee jaar genomen zijn om online oplichting tegen te gaan? Kunt u per maatregel aangeven wat het effect daarvan had moeten zijn op het tegengaan van die oplichting en wat het effect in de praktijk was?

Vraag 5

Is het waar dat slachtoffers van online oplichting zich vaak onvoldoende geholpen voelen door politie en justitie? Zo ja, hoe komt dat en wat wordt er gedaan om dit vertrouwen te herstellen? Zo nee, wat is er dan niet waar?

Vraag 6

Wordt er vanuit de justitiële autoriteiten effectief samengewerkt met banken, online platforms en telecomaanbieders om oplichting te voorkomen en snel op te treden bij signalen van fraude? Waar bestaat die samenwerking concreet uit en waaruit blijkt dat die samenwerking effectief is? Acht u het nodig die samenwerking te intensiveren en op welke wijze gaat u dat doen?

Vraag 7

Hoe vaak hebben slachtoffers van online oplichting in 2024 een verzoek gedaan bij de banken om via de PNBF-regeling terugbetaling te vorderen van hun oplichters? En hoe vaak hebben zij bij weigering hiervan de NAW-gegevens van hun oplichters opgevraagd en gekregen?

Vraag 8

Kunt u aangeven hoe gevolg is gegeven aan motie-Mutluer2 waarbij is gevraagd om in samenspraak met Betaalvereniging Nederland en de Nederlandse Vereniging van Banken de PNBF-regeling bekender te maken en uit te bereiden naar paymentserviceproviders?

Vraag 9

Deelt u de mening dat de bestrijding van online oplichting meer prioriteit zou moeten krijgen binnen het justitie- en veiligheidsdomein? Zo ja, worden er in dat licht meer capaciteit en middelen vrij gemaakt voor de opsporing en vervolging van digitale fraude en online oplichting? Zo nee, waarom niet?

Vraag 10

Welke rol ziet u voor het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC) en andere instanties in de aanpak van deze problematiek?

Vraag 1

Bent u bekend met de berichtgeving «Ministeries getroffen door groot datalek» van BNR?1

Vraag 2

Welke gegevens zijn er allemaal «weggelekt»?

Vraag 3

Hoe heeft het datalek kunnen ontstaan?

Vraag 4

Wanneer was u op de hoogte van het datalek bij uw ministerie?

Vraag 5

Waarom heeft u de Kamer niet geïnformeerd over het datalek?

Vraag 6

Waarom moest de Kamer dit nieuws vernemen via de media?

Vraag 7

Kunt u deze vragen één voor één beantwoorden?

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd?1

Vraag 2

Klopt de berichtgeving dat deze datalekken een «privacyprobleem» betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Vraag 4

Welke maatregelen zijn getroffen om deze datalekken tegen te gaan en is daarmee erger voorkomen?

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Vraag 1

Bent u bekend met het bericht van de Consumentenbond «Tieneraccounts maken Instagram niet direct «veilig»»1?

Vraag 2

Deelt u de conclusies van het onderzoek? Kunt u afzonderlijk in gaan op de conclusies van de Consumentenbond?

Vraag 3

Wat is uw reactie op de problemen die de Consumentenbond schetst rondom schermverslaving, een negatief zelfbeeld, en continue privacyschending door Instagram?

Vraag 4

Zijn de conclusies van het Consumentenbond-onderzoek voor u aanleiding om Meta aan te spreken op haar verantwoordelijkheid om jongeren daadwerkelijk te beschermen? Indien Meta «tieneraccounts» niet daadwerkelijk veilig maakt, welke gevolgen moet dat wat u betreft hebben?

Vraag 5

Deelt u de mening van de indiener dat de online gezondheid van jongeren niet aan techgiganten moet worden overgelaten, maar een verantwoordelijkheid is van deskundigen en de overheid?

Vraag 6

Welke verslavende ontwerpkeuzes kent Instagram? Kunt u deze op basis van onderzoek benoemen?

Vraag 7

Vindt u dat een Digitale Kijkwijzer voor sociale media, die de vertrouwde methodiek volgt van het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM), een effectieve methode zou zijn om verslavende ontwerpkeuzes te onderzoeken en gebruikers te behoeden voor de gezondheidsrisico’s daarvan?

Vraag 8

Deelt u de mening dat het adverteren van een «tieneraccount» dat niet daadwerkelijk doet wat het belooft een vorm van schijnveiligheid biedt, en daarmee jongeren en ouders verkeerd informeert?

Vraag 9

Erkent u dat het commerciële belang van techbedrijven om zo lang mogelijk de aandacht van een gebruiker te trekken, fundamenteel in strijd is met de belangen van (mentale) gezondheid en online veiligheid?

Vraag 10

Vindt u het uitlegbaar dat techbedrijven überhaupt zelf de voorwaarden voor een tieneraccount mogen stellen, nu blijkt dat het niet doet wat het belooft en de belangen in de kern tegenstrijdig zijn?

Vraag 11

Is de voorwaarde dat ouders zelf ook een Instagram-account moeten hebben om een tieneraccount in te stellen redelijk volgens u? Wat betekent dit voor ouders zonder Instagram-account?

Vraag 12

Hoe bent u van plan om nationaal de schermtijd te verlagen? Welke maatregelen nemen andere EU-landen om hier op te sturen? Zijn deze maatregelen effectief?

Vraag 13

Hoe gaat u de motie-Kathmann [Kamerstuk 26 643-1302], die vraagt om een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes, uitvoeren?

Vraag 14

Welke EU-lidstaten delen de opvatting van de Tweede Kamer dat er een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes moet komen? Hoe trekt u samen met hen op?

Vraag 15

Steunt u de komst van een ambitieuze en sterke Digital Fairness Act (DFA) zoals voorgesteld door de Europese Commissie?2 Zou deze volgens u een verbod op verslavende ontwerpkeuzes moeten bevatten?

Vraag 16

Hoe reageert u op de uitspraken van de regering-Trump dat de Digital Services Act (DSA) niet verenigbaar is met Amerikaanse waarden?3

Vraag 17

Zal u in Europees verband blijvend en ondubbelzinnig aandringen op maximale naleving, handhaving en waar nodig versteviging van digitale wetgeving, ongeacht politieke druk vanuit de Verenigde Staten?

Vraag 18

Indien de regering-Trump wél aandringt op het afzwakken van Europese regelgeving, welke conclusie verbindt u daar in het uiterste geval aan? Bent u bereid om sociale media apps die willens en wetens EU-wetten niet naleven in het uiterste geval geheel te verbieden?

Vraag 19

Bent u van mening dat het verhogen van de minimumleeftijd voor sociale media, nationaal of Europees, ook een vorm van schijnveiligheid biedt? Deelt u de mening van de indiener dat de oplossing ligt in een combinatie van niet-bindend wetenschappelijk advies en keiharde Europese regulering van sociale media apps?

Vraag 20

Hoe gaat u komen tot nationale adviesleeftijden voor verschillende sociale media apps? Welke expertise betrekt u bij het maken van deze adviezen?

Vraag 21

Wat is de rol van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in het maken van gezaghebbend gezondheidsadvies over schermtijd bij verschillende leeftijden en verschillende soorten schermtijd? Bent u bereid om het RIVM nauw te betrekken bij het maken van de nationale adviezen?

Vraag 22

Hoe gaat u de gezaghebbende adviezen van Nederlandse experts inzetten om tot een uniforme Europese informatievoorziening over de gezondheidseffecten van sociale media apps te komen?

Vraag 23

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het rapport «GenAI: naar een productievere en toekomstbestendige publieke sector», waarin wordt geconcludeerd dat tot wel 20 miljard euro belastinggeld bespaard kan worden door de inzet van generatieve AI?1

Vraag 2

Bent u ermee bekend dat in de publieke sector sprake is van een productiviteitsdaling, terwijl er tegelijkertijd 425.0000 vacatures openstaan? Deelt u de mening dat een uitdijende overheid met steeds meer ambtenaren geen houdbare oplossing is voor het verbeteren van dienstverlening?

Vraag 3

Ziet u dat het gebruik van generatieve AI kansen biedt voor betere dienstverlening, meer werkplezier en een oplossing kan zijn van het personeelstekort? Hoe beoordeelt u de conclusie van de onderzoekers dat inzet van Generatieve AI 255.000 tot 465.000 voltijdbanen kan opleveren? Hoeveel belastinggeld kan bespaard worden door de inzet van AI?

Vraag 4

Op welke manieren experimenteert de overheid met het gebruik van generatieve AI? Op welke manier wordt al op schaal productiviteitsgroei gerealiseerd door generatieve AI?

Vraag 5

Welke lessen trekt u uit het gebruik van generatieve AI door overheden in andere landen? Kunt u aangeven welke lessen Nederland trekt uit de in het rapport genoemde voorbeelden zoals «Albert», het Franse AI-systeem waarmee taken geautomatiseerd worden en ambtenaren minder tijd kwijt met het vinden van informatie?

Vraag 6

Welke lessen trekt u uit het gebruik van generatieve AI in de private sector? Deelt u de mening dat het reëel is dat de productiviteitsgroei in de private sector in komende jaren veel hoger ligt door adaptatie van generatieve AI? Hoe zorgt u ervoor dat de publieke sector niet achterblijft?

Vraag 7

Deelt u de conclusie dat de risico’s van het gebruik van generatieve AI beperkt kunnen worden door te zorgen dat er altijd mensen meekijken?

Vraag 8

Bent u bereid aan de slag te gaan met vijf mogelijke pioniergebieden die als kansrijk worden aangewezen voor de inzet van AI? Kunt u per pionier aangeven waarom wel of niet?

Vraag 9

Op welke manier werkt zowel Europese als Nederlandse regelgeving nu de inzet van generatieve AI tegen? Bent u bereid onnodige drempels weg te halen?

Vraag 10

Vindt u dat de geschetste randvoorwaarden voor de inzet van AI in Nederland nu in orde zijn? Zo nee, welke stappen zet u om hiervoor te zorgen?

Vraag 11

Welke langetermijndoelen stelt de overheid voor het gebruik van AI?

Vraag 12

Op welke manier worden ambtenaren nu gestimuleerd om effectiever te werken door inzet van AI? Hoe wordt dit gestimuleerd op de dagelijkse werkvloer? Vindt u dat extra stappen hier nodig zijn?

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Bent u bekend met de recente wijzigingen in de beschikbaarheid en actualisatie van seismische en akoestische data door het Koninklijk Nederlands Meteorologisch Instituut (KNMI), zoals vermeld op haar website?1

Ja.

Vraag 2

Kunt u bevestigen dat tal van data met betrekking tot aardbevingen in Groningen niet langer geactualiseerd worden en/of moeilijker toegankelijk zijn, zoals onder meer de aardbevingscatalogus en modelmatig berekende peak ground acceleration-waarden (PGA) en peak ground velocity-waarden (PGV)? Zo ja, waarom is hiervoor gekozen en waarop en onder wiens bevoegdheid is deze verandering gebaseerd?

Nee, dit kan ik niet bevestigen, de data worden nog steeds geactualiseerd en blijven onverminderd beschikbaar. Het KNMI heeft in januari 2025 zijn seismologische operationele keten naar Amazon Web Services (AWS) gemigreerd, nadat hier in 2023 voor was gekozen. Onderdeel van deze migratie was het uitfaseren van verouderde producten door deze te vervangen door moderne varianten. Alle data en producten zijn op AWS onverminderd beschikbaar, in een vernieuwd en beter te onderhouden systeem dat bijdraagt aan een robuuste 24/7-beschikbaarheid. Dit is aangekondigd en staat beschreven op de KNMI-website. Op de KNMI-website blijven zowel de aardbevingscatalogus2 en PGA/PGV waarden via shakemaps3 beschikbaar voor aardbevingen die hebben plaatsgevonden en deze worden geactualiseerd in het geval van nieuwe aardbevingen.

Vraag 3

Erkent u dat de beschikbaarheid van deze data van cruciaal belang is voor bewoners en hun advocaten bij juridische procedures? Zo ja, welke maatregelen worden getroffen om de toegankelijkheid en actualiteit van deze data te waarborgen?

Ja. Deze migratie draagt bij aan de toegankelijkheid omdat het nieuwe systeem moderner en beter te onderhouden is. Hierdoor wordt de 24/7 beschikbaarheid beter gewaarborgd (zie ook het antwoord op vraag 2).

Vraag 4

Bent u het ermee eens dat Groningen hiermee in toenemende mate afhankelijk wordt van de trillingstool en de algemene maatregel van bestuur omtrent 2-millimeter, in plaats van voortschrijdende wetenschappelijke inzichten? Zo nee, waarom niet?

Nee. Zoals in het antwoord op vraag 2 aangegeven geeft het KNMI aan dat actuele gemeten PGA en PGV waarden onverminderd beschikbaar zijn via onder andere shakemaps in het KNMI Data Platform4 en shakemaps op de website. Daarnaast houdt het Instituut Mijnbouwschade Groningen (IMG) bij de beoordeling van schade rekening met voortschrijdende wetenschappelijke inzichten. Zo heeft het IMG recent onderzoek laten doen naar de effecten van gestapelde mijnbouw en doet het onderzoek naar de indirecte effecten van diepe bodemdaling. Als de resultaten daartoe aanleiding geven, wordt de werkwijze hierop aangepast. Alle onderzoeken en data op basis waarvan het IMG schade beoordeelt zijn toegankelijk en openbaar.

Vraag 5

Hoe beoordeelt u de gevolgen van deze verandering voor de controleerbaarheid en transparantie van aardbevingsgegevens voor de Groningers en andere belanghebbenden?

Het KNMI geeft aan dat de migratie naar AWS en vernieuwing van bestaande producten geen invloed heeft op de controleerbaarheid en transparantie van aardbevingsgegevens. De modernisering van de seismologische operationele keten heeft als doel een robuuste 24/7-beschikbaarheid te garanderen. In de metingen en daaruit afgeleide aardbevingsgegevens, zoals de aardbevingscatalogus, shakemaps en bijbehorende PGA/PGV-waarden, is niets veranderd. Voor het beschikbaar stellen worden nu International Federation of Digital Seismographic Networks (FDSN) webservices gebruikt, de internationale standaard hiervoor, en het KNMI Data Platform.

Vraag 6

Kunt u toelichten hoe de overstap naar de webservices van de International Federation of Digital Seismographic Networks (FDSN) en het KNMI Data Platform de toegankelijkheid en bruikbaarheid van deze gegevens verbetert voor de inwoners van Groningen? Zo nee, waarom niet?

Met FDSN webservices en het KNMI Data Platform heeft het KNMI een robuuste infrastructuur die eenduidige toegang verleent tot data en producten, waarbij 24/7-beschikbaarheid een belangrijk element van de dienstverlening is. Het KNMI is altijd bereid in samenspraak met belanghebbenden de toegankelijkheid en bruikbaarheid verder te verbeteren (zie ook het antwoord op vraag 7).

Vraag 7

Zijn er vanuit u aanvullende inspanningen om ervoor te zorgen dat inwoners, deskundigen en wetenschappers de benodigde data op een laagdrempelige manier kunnen blijven raadplegen? Zo nee, waarom niet?

De data en producten zijn en blijven onverminderd beschikbaar. Het KNMI is altijd bereid in samenspraak met belanghebbenden de beschikbaarheid te blijven verbeteren en zo eenvoudig mogelijk te maken.

Vraag 8

Bent u bereid te waarborgen dat alle noodzakelijke data beschikbaar blijven en gemakkelijk toegankelijk zijn voor de Groningse bevolking en hun juridische vertegenwoordigers? Zo nee, waarom niet?

Ja.

Vraag 9

Heeft er vanuit u communicatie plaatsgevonden met het Staatstoezicht op de Mijnen inzake de wijzigingen op de KNMI-site? Zo nee, waarom niet?

Nee, de migratie heeft geen invloed gehad op de beschikbaarheid van data en producten van het KNMI. Daarom heeft er geen directe communicatie met het Staatstoezicht op de Mijnen hierover plaatsgevonden.

Vraag 10

Kunt u uitleggen waarom het KNMI tot op heden nooit is aangesloten bij de United States Geological Survey? Zo nee, waarom niet?

Bij de United States Geological Survey zijn met name Amerikaanse observatoria aangesloten. In Europa hebben seismologische observatoria, zoals het KNMI, zich verenigd in ORFEUS (Observatories & Research Facilities for European Seismology) voor data- en kennisuitwisseling. Het KNMI is daarom aangesloten bij ORFEUS.5

Vraag 1

Kent u het bericht «Russische spionnen en de «hack van Amsterdam»»?1

Ja.

Vraag 2

Deelt u de mening dat de in het bericht genoemde casus een indicatie is dat Nederland geen goed antwoord heeft op digitale aanvallen vanuit statelijke actoren waarbij Europese of internationale instellingen in Nederland doelwit zijn? Zo ja, hoe komt dat en wat is er nodig om dit te verbeteren? Zo, nee waar blijkt uit deze casus dan dat er wel sprake was van een goed antwoord?

De verantwoordelijkheid voor de cyberveiligheid van internationale organisaties ligt in de eerste plaats bij de organisaties zelf. Niettemin heeft het gastland ook een inspanningsverplichting om het goed en continu functioneren van de organisatie te waarborgen. De Kabinetsinzet op cyberweerbaarheid, zoals beschreven in de NLCS, draagt daar aan bij.
Daarnaast is sinds januari 2024 de Europese verordening 2023/2841 van kracht, waarmee is beoogd de weerbaarheid van Europese instellingen, maar ook van coordinatie en afhandeling als er cyberincidenten bij deze instellingen plaatsvinden te bevorderen. Zo zijn Europese instellingen verplicht om cyberveiligheidsmaatregelen te nemen en om cyberincidenten te melden bij CERT-EU. Onder de coordinatierol van CERT-EU in crisisafhandeling schakelen zij onder andere met het Europese CSIRT-netwerk. Nederland is hierin via het NCSC vertegenwoordigd.

Vraag 3

Deelt u de mening dat, als Nederland geen bemoeienis heeft of mag hebben met het beschermen van internationale instellingen tegen digitale aanvallen, daarmee het risico op dergelijke aanvallen en schade kan toenemen? Zo ja, waarom? Zo nee, waarom niet?

Het kabinet hecht veel belang aan het werk van internationale organisaties en instellingen. Deze organisaties zijn vaak doelwit van cyberaanvallen. Ondanks dat de verantwoordelijkheid voor adequate cybersecuritymaatregelen in eerste instantie bij deze organisaties zelf ligt, kunnen deze organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident een vrijwillige melding doen bij het Nationaal Cybersecurity Centrum (NCSC) en om bijstand vragen. Daarmee kan de Nederlandse staat in die gevallen een bijdrage leveren aan het tegengaan van digitale aanvallen.
Het gastland heeft als gesteld een inspanningsverplichting om het functioneren van de internationale organisaties te faciliteren, voor zowel het fysieke als digitale domein. Voor een goede invulling van die verplichting is een goede samenwerking cruciaal. Bovendien kan Nederland zich als lidstaat van internationale organisaties actief inzetten voor (verbetering van) de cyberveiligheid van die organisatie. Zo werd na de cyberaanval op het Internationaal Strafhof met steun van Nederland een fonds voor het verhogen van de cyberveiligheid van het Hof ingesteld waaraan alle staten kunnen bijdragen.

Vraag 4

Wat is de rol van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in het geval een statelijke actor een digitale aanval op een Nederlandse organisatie dan wel een internationale organisatie in Nederland uitvoert? Is daar verschil tussen en zo ja, waarom?

De AIVD doet onderzoek naar de digitale dreiging van statelijke actoren in het belang van de nationale veiligheid, zoals benoemd in artikel 8, Wiv2017. In relatie tot de omgang van AIVD met slachtoffers van digitale aanvallen door statelijke actoren gebeurt dit, op basis van vrijwilligheid, eveneens binnen de kaders van de Wiv2017. Dit geldt zowel voor Nederlandse als voor internationale organisaties.

Vraag 5

In welke mate verschilt bovengenoemde rol van de AIVD in vergelijkbare situaties van inlichtingen- en veiligheidsdiensten in andere lidstaten van de Europese Unie (EU)?

Iedere EU-lidstaat richt zijn inlichtingen- en veiligheidsdiensten evenals zijn taken en bevoegdheden naar eigen zienswijze in. Om die reden heb ik u in het commissiedebat van 23 oktober 20242 toegezegd om de situaties in andere landen te onderzoeken. Op de invulling van een dergelijk onderzoek zal ik terugkomen bij de gesprekken over de herziening van de WIV.

Vraag 6

Welke Nederlandse of Europese instantie kan wel actie ondernemen in het geval er een internationale organisatie met vestiging in een lidstaat van de EU te maken krijgt met een digitale aanval? Zo er een dergelijke instantie is, welke afspraken zijn hiermee dan precies gemaakt? Kunt u hierbij ook het specifieke juridische kader schetsen?

Ten aanzien van internationale organisaties die in Nederland zijn gevestigd geldt, anders dan bijvoorbeeld voor organisaties die deel uitmaken van de rijksoverheid, dat het NCSC niet tot taak heeft om bij digitale dreigingen en incidenten ongevraagd bijstand te leveren. Wel kunnen deze internationale organisaties in geval van een incident met aanzienlijke gevolgen voor de continuiteit van de dienst van die organisatie, op grond van artikel 16 van de Wbni een vrijwillige melding doen bij het NCSC. Het NCSC kan in dat geval bijstand verlenen, mits het in behandeling nemen van de melding geen onevenredige of overmatige belasting voor het NCSC vormt.
Tevens doet de AIVD onderzoek naar dreigingen tegen de nationale veiligheid. Indien de AIVD constateert dat een organisatie in Nederland waarschijnlijk slachtoffer is van een digitale aanval, brengt de AIVD – vanuit de weerbaarheidstaak en binnen de kaders van de WIV2017- deze organisatie hiervan op de hoogte.
Voor in EU-lidstaten gevestigde EU-organisaties geldt dat zij andere Europese instellingen, organen en agentschappen zoals het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of CERT-EU kunnen helpen voor het verhogen van de cyberweerbaarheid of vragen om ondersteuning bij cyberincidentem De taken en bevoegdheden van ENISA en CERT-EU hieromtrent zijn vastgelegd in Verordening (EU) 2019/881 (de «Cybersecurity Act»), Raadsbesluit (EU) 2022/2504 alsook de NIS2-richtlijn (EU) 2022/2555 en in verordening 2023/2841 zoals in het antwoord op vraag 2 weergegeven. VN-instellingen kunnen zich richten tot het United Nations International Computing Centre (UNICC). In het UNICC Mandate and Governance Framework wordt bepaald dat UNICC diensten aanbiedt aan VN-entiteiten. Contractuele afspraken met VN-agentschappen zijn vastgelegd in Service Level Agreements.

Vraag 7

Deelt u de mening dat het zeer zorgelijk is dat er in Europees verband kennelijk onvoldoende samenwerking is en dat een door de Nederlandse politie in 2021 gegeven waarschuwing aan andere lidstaten geen opvolging kreeg? Zo nee, waarom niet? Zo ja, wat gaat het kabinet doen om te zorgen dat hier in de toekomst wel op geacteerd wordt?

Cyberaanvallen en digitale netwerken zijn niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak en zijn daarom van groot belang. Het Kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijn in nationale wetgeving in de Cyberveiligheidswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties te delen. Dit zal ook de samenwerking met deze landen bevorderen. Met de inwerkingtreding van de NIS1-richtlijn en de NIS2-richtlijn is het Europese CSIRT-netwerk opgericht en versterkt. Het CSIRT-netwerk bestaat uit vertegenwoordigers van de nationale CSIRT's van de Europese lidstaten en het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU). Dit CSIRT-netwerk heeft onder meer tot taak het uitwisselen van informatie over incidenten, bijna-incidenten, cyberdreigingen, risico's en kwetsbaarheden, het uitvoeren van een geco6rdineerde respons op incidenten, en het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten. Daarnaast bevordert ook de Europese verordening 2023/2841, zoals in het antwoord op vraag 2 weergegeven, de samenwerking.

Vraag 8

Deelt u de mening dat er sprake is van een lacune in de hulp aan deze internationale organisaties in het geval van een digitale aanval van een statelijke actor? Zo ja, waarom, hoe komt dat en hoe moet deze lacune opgevuld gaan worden? Zo nee, waarom niet?

Zoals geschetst in het antwoord op vraag 6, kunnen internationale organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident met aanzienlijke gevolgen voor de continufteit van hun dienst, een vrijwillige melding doen bij het NCSC en vragen om bijstand. Hierbij wil ik benadrukken dat de verantwoordelijkheid van digitale veiligheid van organisaties in Nederland primair bij de organisaties zelf ligt.

Vraag 9

Deelt u de mening dat uit de in het bericht genoemde casus blijkt dat de internationale samenwerking in het geval van digitale dreigingen niet optimaal werkt en verbetering behoeft? Zo ja, welke verbeteringen zijn er nodig en hoe en op welke termijn worden die bewerkstelligd? Zo nee, waarom niet en hoe kan het dan dat het weken duurt eer zelfs maar duidelijk is waar een verzoek tot onderzoek naar een dergelijke dreiging moet worden ingebracht?

Ik doe geen uitspraken over specifieke casussen van de AIVD. In het algemeen, zoals ook aangegeven bij vraag 7, zijn cyberaanvallen en digitale netwerken niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak zijn daarom van groot belang. Het kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking, zoals ook aangegeven bij vraag 2. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijnen in nationale wetgeving in de Cyberbeveiligingswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties to delen en versterkt de samenwerking binnen het Europese CSIRT-netwerk. Dit zal ook de samenwerking met deze landen bevorderen.

Vraag 10

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «China intimideert Nederlandse media en correspondenten»?1

Ja.

Vraag 2

Deelt u de mening dat het zeer onwenselijk is dat Nederlandse journalisten in China of Nederlandse journalisten die schrijven over China gehinderd worden in hun werk en worden geïntimideerd?

Ja. Nederlandse journalisten moeten ongehinderd hun werk kunnen doen, in Nederland en daarbuiten.

Vraag 3

Wat vindt u van de conclusie dat Nederland geen goed antwoord heeft op Chinese psychologische oorlogsvoering, met indirecte aanvallen zoals lastercampagnes, het delen van privégegevens en publieke aanvallen op journalisten door politici/diplomaten?

Sinds 2023 werkt de Rijksoverheid aan een intensivering van de aanpak Ongewenste Buitenlandse Inmenging (OBI). Op 17 oktober jl. is uw Kamer geïnformeerd over de stand van zaken van deze geïntensiveerde aanpak.2 Daarin staat o.a. dat de Rijksoverheid werkt aan het instellen van een centrale OBI-meldfunctie, het vergroten van de bewustwording rond OBI en de uitbreiding van de strafbaarstelling van spionage. Zoals aangegeven in de Kamerbrief zal het kabinet in 2025 een evaluatie verrichten om te bezien of de beschreven intensivering van de aanpak heeft geleid tot een effectievere aanpak van OBI, en in hoeverre een eventuele verdere aanscherping van de maatregelen nodig is. De conclusies van het onderzoek van het China Kennisnetwerk naar de Chinese invloed en inmenging in het Nederlandse medialandschap leveren daarvoor een relevante bijdrage.
Daarnaast is sinds 1 januari 2024 wetgeving in werking is getreden die het gebruik van persoonsgegevens voor intimiderende doeleinden (doxing) strafbaar stelt.
Op 6 december jl. ontving uw Kamer de Kabinetsreactie3 op het Adviesraad Internationale Vraagstukken-advies4 over Hybride Dreigingen en Weerbaarheid. Hier staat onder meer in dat het kabinet de aanbeveling van de AIV onderschrijft om te investeren in maatschappelijke weerbaarheid tegen hybride dreigingen.

Vraag 4

Ziet u het grote belang van een sterke vrije westerse media in China die ongehinderd haar werk kan dan doen?

Ja.

Vraag 5

In hoeverre ziet u een neerwaartse trend wat betreft de veiligheid van de Nederlandse media in China?

In het rapport van het China Kennisnetwerk beschrijven de onderzoekers de wijze waarop China zich richt op een uitputtingsslag van kritische stemmen over China. Dit past binnen het beeld dat China, door de inzet van uiteenlopende instrumenten en tactieken, het eigen narratief versterkt, zowel binnen de eigen landsgrenzen als daarbuiten. Hier krijgen ook Nederlandse media mee te maken, zowel in China als in Nederland.
Het kabinet staat voor de veiligheid en vrijheid van alle inwoners van Nederland. Elke vorm van inperking van de vrijheid van meningsuiting van Nederlandse media en correspondenten in China door middel van ongewenste inmenging, dreiging en intimidatie, is onacceptabel. De verschillende tactieken die worden belicht in het onderzoek van het China Kennisnetwerk naar de Chinese invloed en inmenging in het Nederlandse medialandschap baren het kabinet zorgen en bevestigen het beeld dat China steeds verder gaat in het inperken van de mediavrijheid in het land.

Vraag 6

Hoe kijkt u naar de tactieken die China gebruikt om de Nederlandse media en correspondenten in China te intimideren?

Zie antwoord vraag 5.

Vraag 7

Op welke manieren kunnen Nederlandse journalisten zich beter voorbereiden voor de intimidatie in China en welke rol kan de Nederlandse overheid hierin spelen?

Het beschermen van persveiligheid en persvrijheid is een gedeelde verantwoordelijkheid van de sector en de overheid. Dat betekent onder andere dat OCW financiële ondersteuning biedt aan PersVeilig. Recent is het project geëvalueerd en gaven geïnterviewde journalisten aan dat PersVeilig bijdraagt aan het kunnen uitoefenen van hun beroep5. Bovendien wordt het project door zowel Free Press Unlimited als het European Center for Press and Media Freedom aangemerkt als «best practice». Journalisten die te maken krijgen met vormen van intimidatie, hetzij uit China of andere landen, kunnen zich tot PersVeilig wenden.
Het kabinet raadt Nederlandse journalisten in China aan om in nauw contact te staan met onze ambassade in Beijing en gevallen van intimidatie daar te melden. Zie vraag 8 voor meer informatie over de rol van de ambassade.

Vraag 8

Hoe kan de Nederlandse overheid helpen, zodat onze media in China ongehinderd haar werk kan blijven doen?

Onafhankelijke journalistiek bedrijven in China kent risico’s en de Nederlandse overheid kan niet garanderen dat journalisten hun werk ongehinderd kunnen doen. Wel onderhoudt de Nederlandse ambassade in Beijing regelmatig contact met de Nederlandse correspondenten in China over hun werkomstandigheden en moedigt hen aan om contact op te nemen wanneer zij dat nodig achten.

Vraag 9

Is via bilaterale diplomatieke kanalen gesproken met China over de intimidatie van onze correspondenten en media in China? Zo ja, is hierin een krachtig diplomatiek signaal overgebracht?

In bilaterale contacten met de Chinese autoriteiten benadrukt Nederland regelmatig het belang van mediavrijheid in het algemeen en de werkomstandigheden van (buitenlandse) journalisten in China in het bijzonder. Hierin worden onze ernstige zorgen overgebracht over de intimidatie van journalisten in China. De Nederlandse ambassade in Beijing is altijd bereid om namens – en in overleg met – Nederlandse correspondenten bezwaar te maken bij de Chinese autoriteiten naar aanleiding van specifieke incidenten.

Vraag 10

Hoe zal de kennis wat betreft China in de Nederlandse overheid en media worden vergroot?

Naar aanleiding van de Chinanotitie van 2019 is het China Kennisnetwerk opgericht. Via dit netwerk helpen China-experts vanuit verschillende invalshoeken de Rijksoverheid om China’s motieven, beleid en visie beter te begrijpen om zo effectiever beleid te ontwikkelen, en ook maatschappelijke partners beter te kunnen adviseren. Het netwerk levert op deze manier een belangrijke bijdrage aan het formuleren en beantwoorden van kennisvragen over China binnen de Rijksoverheid. Dit doel wordt nagestreefd door het uitvoeren van onderzoeken, kennisevenementen, netwerkbijeenkomsten en cursussen over China. Het China Knowledge Network (CKN)wordt in 2025 voortgezet en heeft inmiddels een onderzoeksportfolio van 28 afgeronde onderzoeken en 17 lopende onderzoeken.

Vraag 11

In hoeverre wordt met andere Europese en Westerse overheden samengewerkt om de vrije Westerse media in China te beschermen?

De ambassade in Beijing staat in nauw contact met gelijkgezinde landen binnen en buiten de EU over de werkomstandigheden van journalisten en de mediavrijheid in China in het algemeen. Vanuit deze verbanden kan worden besloten om gezamenlijk op te trekken bij het aankaarten van zorgen over deze zaken. Daarnaast onderhoudt de ambassade goede contacten met de Foreign Correspondents’ Club of China (FCCC), die onder andere de werkomstandigheden van buitenlandse correspondenten in China volgt en hierover jaarlijks een «Media Freedoms Report» publiceert. Ook faciliteert de ambassade regelmatig de FCCC door het bieden van een veilige ruimte om samen te komen en evenementen te organiseren in de kanselarij of residentie.

Vraag 12

Bent u bekend met het rapport «Chinese invloed en inmenging in het Nederlandse medialandschap» van het China Kennisnetwerk van de Universiteit Leiden?2

Ja

Vraag 13

Deelt u de mening van de onderzoekers dat het belangrijk is om als land via formele kanalen steeds de beïnvloeding resoluut te veroordelen en deelt u de mening dat dit nog effectiever wordt wanneer (Westerse) landen gezamenlijk optreden? Zo ja, met welke landen bent u van plan hierover gezamenlijk op te trekken?

Ja. Nederland zet zich in de EU, NAVO en G7 in voor een stevigere, effectievere en meer gecoördineerde aanpak van ongewenste buitenlandse inmenging en beïnvloeding. Op deze manier vindt uitwisseling plaats over de verschillende verschijningsvormen en worden geleerde lessen over het verhogen van de weerbaarheid en responsmogelijkheden gedeeld. Zie voor onze inzet ook de eerder genoemde Kamerbrief over de aanpak van ongewenste buitenlandse inmenging7.

Vraag 14

Deelt u de mening van de onderzoekers dat het creëren van «een hub» voor onafhankelijke Chinese journalisten in Nederland belangrijk is, zoals reeds al het geval is van Russische media in Amsterdam? Wat kunt u voor deze groep journalisten doen en hoe staat u deze groep bij?

De betreffende Russische onafhankelijke media voelden zich genoodzaakt door de agressieoorlog van Rusland in Oekraïne hun werk elders in ballingschap voort te zetten. Ze hebben toen zelf besloten zich in Amsterdam te vestigen. Een dergelijk besluit tot vereniging en vestiging is er nog niet vanuit onafhankelijke Chinese journalisten in Nederland. Het voortzetten van onafhankelijke journalistiek, ook door onafhankelijke Chinese journalisten, is erg belangrijk, zowel voor onafhankelijke informatievoorziening als voor het tegenwicht bieden aan propaganda.
De Nederlandse overheid staat in contact met Chinese diasporagemeenschappen in Nederland. Zo kunnen zij incidenten van intimidatie melden en kunnen zaken, in overleg met de betreffende persoon, opgebracht worden bij de Chinese ambassade.

Vraag 15

Hoe staat u tegenover de aanbeveling van de onderzoekers om het mandaat van het meldpunt PersVeilig uit te breiden naar ook sociale en psychologische veiligheid en weerbaarheid? Deelt u deze mening?

Van deze aanbeveling heb ik kennisgenomen. PersVeilig is een gezamenlijk initiatief van de Nederlandse Vereniging van Journalisten (NVJ), het Nederlands Genootschap van Hoofdredacteuren, de Politie en het Openbaar Ministerie en heeft tot doel de positie van journalisten te versterken tegen geweld en agressie op straat, op sociale media en tegen juridische claims. Sociale en psychologische veiligheid horen op dit moment bij de diensten die PersVeilig biedt. Aandacht voor de psychologische en sociale impact en weerbaarheid maakt onderdeel uit van trainingen voor journalisten en werkgevers. Daarnaast is er aandacht voor deze impact bij het adviseren bij een melding. PersVeilig werkt structureel samen met een psycholoog.

Vraag 16

Onderschrijft u alle andere aanbevelingen van het rapport en zo ja, hoe gaat dit kabinet aan de slag met de implementatie hiervan? Zo nee, waarom niet?

Het rapport doet een aantal aanbevelingen, zowel voor de Nederlandse overheid, redacties en belangenorganisaties. Het kabinet neemt alle relevante aanbevelingen serieus en zal deze de komende tijd verder bestuderen. Ze vormen een belangrijke bijdrage aan de discussie om de veiligheid en onafhankelijkheid van Nederlandse journalisten wereldwijd te beschermen. Implementatie vergt een brede aanpak van de betrokken ministeries, vooral OCW, JenV en BZ.

Vraag 17

Van welke landen is nog meer bekend dat soortgelijke praktijken en tactieken worden gebruikt?

Er zijn meer landen die binnen en buiten de landsgrenzen journalisten en burgers intimideren en daarmee de mediavrijheid en vrijheid van meningsuiting inperken. In de Fenomeenanalyse Statelijke Inmenging van de AIVD en de NCTV van 17 oktober jl. wordt dieper in gegaan op hoe algemene intimidatie van buitenlandse diasporagemeenschappen zich voordoet in Nederland.8 Freedom House publiceerde in december 2023 een rapport over journalistiek in ballingschap en transnationale repressie van journalisten.9

Vraag 1

Heeft u kennisgenomen van het bericht «Criminelen ontdekken een nieuwe oplichtingstruc: phishing via QR-codes»?1

Ja.

Vraag 2

Heeft u een beeld van de mate waarin phishing via QR-codes in Nederland plaatsvindt op dit moment?

Betrouwbare schattingen van de mate waarin phishing via QR-codes plaatsvindt zijn moeilijk te maken omdat deze gevallen niet apart worden geregistreerd door de politie of de Fraudehelpdesk.
De Fraudehelpdesk heeft tot op heden nog geen meldingen ontvangen over fraude door middel van QR-codes bij laadpalen, parkeerautomaten of restaurants, zoals genoemd in het artikel. De politie heeft het beeld dat de vormen van oplichting met QR-codes genoemd in het nieuwsbericht nog nauwelijks voorkomen in Nederland.
Misbruik van QR-codes in e-mails komt de politie wel vaker tegen. Het gaat hierbij vooral om bankhelpdeskfraude en andere vormen van fraude met bankgegevens, beleggingsfraude en creditcardfraude. Phishing (per e-mail of per post), telefonische fraude en online op handelssites waarbij de (ver)koper een QR-code moet scannen om de betaling te bevestigen, zijn de meest voorkomende fraudevormen waar QR-codes bij betrokken zijn. De Fraudehelpdesk ontving in 2024 ongeveer 20 meldingen van phishing met QR-codes, waarbij de schade geschat wordt op ongeveer € 160.000. Daarnaast ontvangt de Fraudehelpdesk jaarlijks ongeveer 600.000 e-mails via de geautomatiseerde e-mailcheck. De schatting van de Fraudehelpdesk is dat ongeveer 20% tot 25% van de ingestuurde valse mails een QR-code bevat. Het aantal registraties waarin sprake is van phishing via QR-codes per mail lijkt gestegen.

Vraag 3

Heeft u een beeld sinds wanneer deze modus operandi door criminelen toegepast wordt?

De Fraudehelpdesk is sinds 2018 bekend met phishing via QR-codes. Het Openbaar Ministerie (OM) heeft deze vorm van oplichting voor het eerst genoemd in de Fraudemonitor 2019 en 2020.2

Vraag 4

Hoeveel gevallen van phishing via QR-codes zijn er het afgelopen jaar bij de politie gemeld?

De politie houdt geen aparte registraties bij van het aantal gevallen van phishing via QR-codes.

Vraag 5

Besteedt de politie aandacht aan deze nieuwe vorm van oplichting? Zo ja, op welke manier? Zo nee, waarom niet?

Als er een aangifte van deze nieuwe vorm van oplichting wordt gedaan, wordt de zaak in behandeling genomen en geprioriteerd conform de daarvoor geldende kaders. De politie probeert altijd alert te zijn op nieuwe fenomenen.

Vraag 6

Welke uitdagingen en belemmeringen ondervinden de politie en het Openbaar Ministerie (OM) bij de opsporing en vervolging van criminelen die deze vorm van oplichting inzetten?

Gedigitaliseerde criminaliteit in het algemeen heeft het vermogen om snel te veranderen en heeft vaak een internationale component. Een ander onderscheidend kenmerk is dat personen die zich bezighouden met deze vormen van criminaliteit zoveel mogelijk uit het zicht van de opsporing proberen te blijven door hun identiteit af te schermen.
Daarnaast is er sprake van een hefboomeffect waarmee een crimineel in korte tijd veel slachtoffers kan maken. De vrij openlijke handel in buitgemaakte gegevens op sociale media faciliteert deze online criminaliteit. Verder vloeit geld steeds vaker naar buitenlandse rekeningen waardoor interveniëren moeilijker wordt.

Vraag 7

Welke maatregelen treft u om burgers te informeren over de risico’s van phishing via QR-codes?

Er worden vanuit verschillende publieke en private organisaties campagnes gevoerd gericht op de preventie van gedigitaliseerde criminaliteit als geheel en om te informeren over de risico’s van phishing met behulp van QR-codes. Het kabinet investeert in het vergroten van de digitale weerbaarheid van burgers en bedrijven en steunt voorlichtingscampagnes, die al dan niet in samenwerking met (private) partijen worden vormgegeven. Zo publiceert de Fraudehelpdesk op haar site dagelijks een selectie van de naar hen doorgestuurde valse e-mails, ook die met een QR-code. Bedrijven van wie de naam wordt misbruikt in de mails die door de Fraudehelpdesk worden gepubliceerd, worden hiervan op de hoogte gesteld. Op de website en op sociale media worden tevens regelmatig waarschuwingen voor nieuwe of toenemende fraudevormen gepubliceerd.
Daarnaast worden er op initiatief van de politie, de banken, de Fraudehelpdesk, veiliginternetten.nl, de Betaalvereniging Nederland, het Digital Trustcenter en de Consumentenbond ook regelmatig campagnes georganiseerd om burgers en bedrijven weerbaarder te maken tegen deze vorm van gedigitaliseerde criminaliteit. In oktober 2024 is de Nationale Cursus Digitale Weerbaarheid met financiële steun van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) gelanceerd. In de cursus is een module opgenomen over phishing, waarin phishing door middel van QR-codes ook aan bod komt. De website voorkomfraude.nl van de Nederlandse Vereniging van Banken (NVB) en de initiatieven vanuit de integrale aanpak van online fraude spelen een belangrijke rol in het versterken van de digitale weerbaarheid van kwetsbare groepen. Gelet op de steeds veranderende modus operandi, zijn deze initiatieven blijvend van belang.

Vraag 8

Heeft u contact met bedrijven wiens QR-codes door criminelen gespoofd worden en bent u in gesprek met deze bedrijven om fraude zoveel mogelijk tegen te gaan?

Voor een gerichte en effectieve aanpak is het van groot belang dat bedrijven aangifte doen indien ze te maken krijgen met spoofing. Ze kunnen hier melding van doen bij de politie of dit (anoniem) melden bij Meld Misdaad Anoniem.
Mijn beleid is gericht op het bevorderen van weerbaarheid en op preventie. Het doel hiervan is om zoveel mogelijk schade en slachtoffers aan de voorkant te voorkomen.
Daarom faciliteer ik de voorlichting rondom deze vorm van criminaliteit door de mogelijkheden waarmee criminelen fraude kunnen plegen onder de aandacht te brengen bij zowel burgers als bedrijven. Vanuit mijn ministerie en de Rijksoverheid in den brede zijn er diverse activiteiten en trajecten om de (cyber-)weerbaarheid van zowel burgers als bedrijven te verhogen. Binnen de integrale aanpak van cybercrime worden ook door de deelnemende partners trends en fenomenen met elkaar uitgewisseld en waar nodig worden deze gedeeld met de getroffen branches. De strafrechtelijke aanpak van fraude is belegd bij opsporings- en vervolgingsinstanties.

Vraag 9

Anticipeert u op nieuwe vormen van oplichting waarbij digitale technologieën worden ingezet? Zo ja, welke zijn dit?

Digitale technologieën worden vandaag de dag helaas veelvuldig ingezet door criminelen om strafbare feiten mee te plegen. In een steeds meer gedigitaliseerde maatschappij kan dus ook niet worden uitgesloten dat er (nieuwe) digitale technologieën worden ingezet voor criminele doeleinden zoals oplichting.
Daarom is het groot van belang om continu te anticiperen op nieuwe vormen van fraude. De Financial Intelligence Unit – Nederland (FIU-NL), het Financial Advanced Cyber Team (FACT) van de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) en de Electronic Crimes Task Force (ECTF) zetten zich onder andere in om deze nieuwe fraudefenomenen op te sporen. Van welke aard nieuwe criminaliteitsvormen zullen zijn en welke werkwijze hiermee gepaard gaat, is niet altijd van tevoren te voorspellen. Op 23 mei jl. is uw Kamer bijvoorbeeld door de Minister van Financiën geïnformeerd over de mogelijkheden tot fraude met betaalproducten met behulp van deepfakes/kunstmatige intelligentie.3 Deze nieuwe vormen hebben dan ook de aandacht van het kabinet.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Is het correct dat de aangewezen «Digital Services Coordinator» in Nederland de Autoriteit Consument & Markt (ACM) is?1 Indien dit niet het geval is, welke entiteit in Nederland vervult dan wel deze rol?

Ja. De Autoriteit Consument & Markt (hierna: ACM) wordt in het uitvoeringswetsvoorstel digitaledienstenverordening aangewezen als digitaledienstencoördinator.2 Uw Kamer heeft dit wetsvoorstel op 15 oktober jl. aangenomen en het wetsvoorstel is op dit moment aanhangig bij de Eerste Kamer. Vooruitlopend op de totstandkoming van dit wetsvoorstel heeft de toenmalige Minister van Economische Zaken en Klimaat de ACM voorlopig aangewezen als digitaledienstencoördinator.3 Dit geeft de ACM reeds een aantal bevoegdheden, maar om haar taken volledig uit te kunnen voeren is een uitvoeringswet noodzakelijk. De Tweede Kamer is hier bij brief van 13 februari 2024 over geïnformeerd.4

Vraag 2

Kunt u kort beschrijven welke taken de ACM in die rol zal gaan uitvoeren en hoeveel fulltime-equivalent (fte) dit (ongeveer) zal gaan vergen?

De taken van de ACM als digitaledienstencoördinator staan beschreven in de artikelen 49 en verder van de digitaledienstenverordening.5 Het gaat onder meer om het toezicht op de naleving van de verordening, klachtenafhandeling en deelname aan het samenwerkingsverband van toezichthouders op EU-niveau in de zogenaamde digitaledienstenraad. In hoofdstuk 5 van de memorie van toelichting bij het uitvoeringswetsvoorstel digitaledienstenverordening zijn deze taken nader toegelicht.
Het kabinet heeft op basis van een kosteninschatting en een uitvoerbaarheids- en handhaafbaarheidstoets structureel middelen beschikbaar gemaakt voor de ACM. Er is in totaal € 6,5 miljoen toegekend, waarmee de ACM 49 fte kan bekostigen.6

Vraag 3

Welke Nederlandse entiteiten hebben van de ACM, in de rol van «Digital Services Coordinator», inmiddels de status van «trusted flagger» gekregen?

Op dit moment hebben nog geen organisaties de status van «betrouwbare flagger» verkregen van de ACM. De ACM beschikt pas over de bevoegdheid om de status van «betrouwbare flagger» toe te kennen zodra de Uitvoeringswet digitaledienstenverordening in werking is getreden.7 Op het moment dat de ACM, zodra zij daartoe bevoegd is, de status van «betrouwbare flagger» toekent aan organisaties, dan zullen die worden opgenomen in het overzicht van organisaties met die status op de website van de Europese Commissie (hierna: EC).8 In dat overzicht zijn alle organisaties te vinden die in andere lidstaten deze status reeds hebben verkregen.

Vraag 4

Kan de Kamer de correspondentie over het afgelopen jaar ontvangen tussen de ACM (in zijn rol van «Digital Services Coordinator» in Nederland) en de Europese Commissie?

De digitaledienstencoördinatoren en de Europese Commissie zijn uit hoofde van artikel 57, eerste lid, van de digitaledienstenverordening verplicht om nauw samen te werken en elkaar wederzijdse bijstand te verlenen ten behoeve van een consistente en efficiënte uitvoering van de verordening. Hieronder valt ook de uitwisseling van informatie. Onder andere over het starten van onderzoeken en het nemen van handhavingsbesluiten. Artikel 84 van de digitaledienstenverordening bepaalt dat informatie die krachtens de verordening is verkregen of uitgewisseld en die onder het beroepsgeheim valt, niet openbaar mag worden gemaakt.
De ACM heeft dus regelmatig contact op allerlei niveaus tussen en de Europese Commissie over de uitvoering van de verordening, zoals de verordening ook voorschrijft. Ik beschik niet over die correspondentie, gelet op het vertrouwelijke karakter ervan en de onafhankelijke positie van de digitaledienstencoördinator onder de verordening, en kan die dus ook niet aan uw Kamer verstrekken.
De digitaledienstenverordening verplicht toezichthouders wel om jaarlijks informatie te publiceren over de uitvoering van hun taken (artikel 55). De digitaledienstenraad publiceert verder zijn werkplan en notulen van vergaderingen.9 Ook de werkgroepen van de digitaledienstenraad publiceren notulen van hun vergaderingen.10

Vraag 5

Kunt u de bovenstaande vragen binnen drie weken beantwoorden?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van de NOS getiteld «Overheid maakt volop gebruik van AI, maar kijkt vaak niet naar risico’s»?1

Ja, hier ben ik mee bekend.

Vraag 2

Hoe beoordeelt u het feit dat bij meer dan de helft van de systemen die gebruikmaken van kunstmatige intelligentie (AI) binnen de overheid geen gedegen risicoanalyse wordt uitgevoerd, zoals blijkt uit het onderzoek van de Algemene Rekenkamer (ARK)?

Het is belangrijk dat er voor dit soort systemen een gedegen risicoanalyse wordt gemaakt. Het is straks verplicht om voor hoog-risico AI-systemen de risico’s af te wegen onder de AI-verordening. Vooruitlopend op de AI-verordening en ook voor AI-systemen die niet als hoog risico worden gecategoriseerd bestaan er al verschillende instrumenten om een dergelijke risicoafweging te maken, bijvoorbeeld de Impact Assessment Mensenrechten en Algoritmen (IAMA).

Vraag 3

Welke stappen neemt u om ervoor te zorgen dat alle overheidsinstanties de risico's van AI-gebruik adequaat in kaart brengen volgens de geldende wet- en regelgeving, met bijzondere aandacht voor mensenrechten en privacy?

Alle AI-systemen moeten voldoen aan geldende wet- en regelgeving, ook de systemen met beperkte risico’s. Hiertoe bestaan vele instrumenten. In het algoritmekader wordt een overzicht geboden van de bestaande wettelijke verplichtingen, waaronder de AI-verordening. Ook wordt daarin verwezen naar maatregelen en worden verschillende instrumenten samengebracht om organisaties binnen de overheid te ondersteunen. Mensenrechtentoetsen, de AVG en het verbod op discriminatie zijn daar onderdeel van.

Vraag 4

Kunt u uitleggen waarom slechts vijf procent van de AI-systemen is opgenomen in het openbare algoritmeregister, terwijl dit register juist werd opgezet naar aanleiding van de Toeslagenmisdaad? Zo nee, waarom niet?

Niet alle AI-systemen hoeven in het Algoritmeregister te worden geregistreerd. Bijvoorbeeld als het gaat om een experiment dat geen impact heeft (gehad) op burgers of bedrijven, of als de impact van een AI-systeem met name indirect is.
Mij is bekend dat veel overheden, zowel binnen het Rijk als daarbuiten, bezig zijn met de vulling van het register, maar dat het inventariseren, beoordelen en registreren van AI-systemen tijd en capaciteit vraagt. Alle departementen hebben toegezegd ten minste de hoog-risico AI-systemen eind 2025 geregistreerd te hebben. In de Jaarrapportage Bedrijfsvoering Rijk zullen departementen inzicht verschaffen in de precieze voortgang.
Ik stimuleer overheden, zowel binnen de rijksoverheid als medeoverheden, om te publiceren in het algoritmeregister. Daarvoor neemt het Ministerie van BZK proactief contact op met overheden en wordt er ondersteund met verschillende instrumenten, zoals de handreiking algoritmeregister, templates van leveranciers, ondersteuning van een implementatieteam, zogenoemde aansluitsessies, een regiotour, een nieuwsbrief en artikelen met tips van organisaties die al gepubliceerd hebben.

Vraag 5

Hoe gaat u ervoor zorgen dat alle hoogrisico-AI-systemen voor de deadline van 2026 in het register zijn opgenomen, zoals vereist door Europese regelgeving?

Voor registratie in het algoritmeregister verwijs ik u naar vraag 4. Voor wat betreft de Europese databank, verplicht de AI-verordening de registratie van hoog risico AI-systemen door aanbieders en gebruiksverantwoordelijken van deze systemen in een EU-databank. Deze verplichting geldt per 2 augustus 2026 voor nieuwe hoog risico AI-systemen. Het is nog niet precies bekend hoe de EU-databank vormgegeven wordt.

Vraag 6

Welke maatregelen neemt u, gezien de Toeslagenmisdaad en de waarschuwing van de ARK over mogelijke discriminatie door AI-systemen, om te garanderen dat AI-systemen van bijvoorbeeld de Belastingdienst en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) voldoen aan de vereisten van nauwkeurigheid en non-discriminatie?

Het Ministerie van Binnenlandse Zaken investeert in de kennis over biastoetsing binnen de overheid, zodat overheden- die daar zelf verantwoordelijk voor zijn – tijdig de juiste maatregelen nemen om dit te voorkomen. Het Ministerie van BZK heeft in 2021 een handreiking non-discriminatie laten opstellen. Recent is mede op basis van deze handreiking een e-learning module non-discriminatie uitgebracht.2 Daarnaast zijn er ook buiten het ministerie initiatieven die erop gericht zijn om nauwkeuriger aan de vereisten van non-discriminatie te voldoen, denk aan bias detectie tools of een gestandaardiseerde werkwijze voor profileringsalgoritmes. Door algoritmes te controleren aan de hand van deze standaard kunnen (indirecte) discriminatie en andere ongewenste effecten van profilering worden bestreden.3
Verschillende van deze hulpmiddelen komen samen in het algoritmekader, waarin ook de aanbeveling van het Rathenau-instituut4 is meegenomen om de manier waarop biastoetsing plaatsvindt te versterken.

Vraag 7

Deelt u de zorg van de ARK dat er een prikkel bestaat om AI-systemen niet als hoogrisico in te schatten, zodat men niet hoeft te voldoen de strengere Europese regelgeving?

Nee, die zorg deel ik niet. Alle AI-systemen die de overheid gebruikt moeten voldoen aan geldende wet- en regelgeving, waaronder de bepalingen van de AI-verordening die in fases van kracht wordt. Binnen de overheid zijn organisaties momenteel bezig met het inventariseren van de bestaande AI-systemen om vervolgens een inschatting te maken van de classificatie onder de AI-verordening. Op nationaal niveau zal voor deze EU-wetgeving toezicht worden ingericht op hoog-risico AI-systemen, bijvoorbeeld op de verplichting om hoog-risico AI-systemen te registeren in een EU-databank. Voor het niet registeren van deze AI-systemen kunnen sancties worden opgelegd door de toezichthouder. Ook het verkeerd inschatten van AI-systemen die onder de hoog-risico AI-toepassingsgebieden van de AI-verordening vallen, kan leiden tot sancties. Daarnaast spelen ook de Auditdienst Rijk (ADR) en de ARK door onder meer audits en onderzoeken een rol bij het in kaart brengen van risico’s op de inzet van AI bij de rijksoverheid.

Vraag 8

Hoe wordt bij de inzet van AI-toepassingen, zoals de inzet van robothonden voor celinspecties bij de Dienst Justitiële Inrichtingen (DJI), gewaarborgd dat de privacy en rechten van gedetineerden worden beschermd en worden er risicoanalyses uitgevoerd?

DJI verkent de mogelijkheden van innovaties om de maatschappelijke opgave van DJI verder te kunnen verbeteren. Het is belangrijk dat er voor dit soort systemen een gedegen risicoanalyse wordt gemaakt (zie ook antwoord op vraag 2). In het geval van de robothond onderzoekt DJI in hoeverre een robothond de effectiviteit en efficiëntie van een celinspectie kan vergroten met inachtneming van waarborgen van gedetineerden, zoals privacy. De innovatiepilot loopt nog en duurt waarschijnlijk nog 2 jaar.

Vraag 9

Hoe wordt ervoor gezorgd dat er een duidelijke standaard is voor het testen en monitoren van AI-systemen, met betrekking tot nauwkeurigheid en non-discriminatie, gezien het groeiende gebruik van AI in overheidsdiensten?

Aanbieders van hoog-risico AI-systemen moeten ervoor zorgen dat die systemen aan de eisen uit de AI-verordening voldoen. Dit houdt o.a. in dat systemen nauwkeurig werken en niet discrimineren. Deze (abstracte) eisen worden op Europees niveau nader uitgewerkt in concrete technische specificaties. Deze specificaties worden ook wel geharmoniseerde standaarden genoemd. Deze standaarden zijn er nog niet, maar worden momenteel op Europees niveau door o.a. Europese normalisatie-instituten ontwikkeld. Nederland en het kabinet zijn via het Nederlandse normalisatie-instituut (NEN) betrokken bij de uitwerking van deze standaarden.

Vraag 10

Bent u bereid om extra toezicht of huidige controlemechanismen in te stellen om ervoor te zorgen dat AI-systemen niet alleen efficiënt werken, maar ook rechtvaardig en veilig zijn voor burgers?

Op dit moment zijn er al verschillende trajecten die bijdragen aan het borgen van veilige en rechtvaardige AI-systemen.
In het kader van de AI-verordening zal toezicht worden ingericht op de ontwikkeling en het gebruik van AI-systemen. Op AI-systemen met een onaanvaardbaar risico of AI-systemen die een hoog risico vormen voor de veiligheid, gezondheid en grondrechten van burgers, zal onder meer toezicht worden gehouden, waarbij overtredingen kunnen leiden tot hoge boetes. Momenteel werken de betrokken ministeries onder leiding van EZ, BZK en JenV uit hoe het toezicht op de AI-verordening het beste kan worden ingericht. Daarbij wordt het advies van de toezichthouders over deze inrichting betrokken.5
Naast de AI-verordening is er voor de inzet van AI en algoritmes ook (mogelijk) andere wet- en regelgeving van toepassing. Zo verwerken veel risicovolle toepassingen op het gebied van AI en algoritmes persoonsgegevens. Dit AVG-toezicht is de afgelopen jaren structureel versterkt.
De Directie Coördinatie Algoritmes (DCA) bij de Autoriteit Persoonsgegevens (AP) heeft daarnaast als coördinerend toezichthouder op algoritmes en AI oog voor belangrijke (publieke) waarden als rechtvaardigheid en veiligheid, bijvoorbeeld door het signaleren van risico’s en het delen van kennis op dit gebied met andere (sectorale) toezichthouders.

Vraag 11

Welke stappen gaat u ondernemen om in de toekomst getroffen burgers snel en rechtvaardig te compenseren wanneer de overheid discriminerende beslissingen heeft genomen door het gebruik van AI-systemen?

Op verzoek van uw Kamer is een eerste versie van een discriminatieprotocol opgesteld.6 Deze is opgenomen in het algoritmekader. In dit protocol zijn de lessen van en ervaringen met de Toeslagenaffaire en DUO verwerkt. Het kabinet investeert in vroegtijdige toetsing, maar mocht het ondanks alle voorzorgsmaatregelen toch misgaan, is het belangrijk om een werkwijze te hebben om de situatie te herstellen. Het discriminatieprotocol is een handvat, dat overheidsorganisaties kunnen gebruiken om hun eigen werkwijze in te richten. Een onderdeel van het protocol is om een noodplan achter de hand te hebben om een algoritme te kunnen stoppen. Ook richt het protocol zich op het herstellen van de schade. Onderdeel is het informeren van betrokkenen en zorgdragen voor adequate herstelprocedures.

Vraag 12

Is er op dit moment een procedure ontwikkeld om burgers die zijn benadeeld door discriminerende AI-beslissingen actief te helpen bij het herstellen van hun rechten?

Zie antwoord op vraag 11.

Vraag 13

Bent u bereid meer transparantie te bieden over welke AI-systemen in het algoritmeregister als hoogrisico worden ingeschat, specifiek met betrekking tot het risico op discriminatie?

Voor de definitie van hoog-risico AI-systemen wordt gebaseerd op de definitie uit de AI-verordening. In de verordening zijn bepaalde toepassingsgebieden als hoog-risico geclassificeerd, vanwege het risico dat zij vormen voor onze gezondheid, veiligheid en grondrechten. Daarbij is het verbod op non-discriminatie een bijzonder relevante factor. De verantwoordelijkheid voor het juist classificeren ligt bij de overheidsorganisaties zelf, waarop toezicht gehouden kan worden door een toezichthouder op basis van de AI-verordening. Het algoritmeregister maakt het mogelijk om te filteren op AI-systemen die door overheidsorganisaties zelf gecategoriseerd zijn als hoog-risico.7

Vraag 14

Op welke manieren kunnen burgers worden geïnformeerd over de specifieke risico's van deze AI-systemen en hoe zij zich hiertegen kunnen beschermen?

De AI-verordening verplicht gebruikers bij het gebruik van hoog-risico AI-systemen voor besluitvorming, de daardoor geraakte natuurlijke persoon hierover te informeren. Daarnaast heeft de natuurlijke persoon een recht op uitleg bij de inzet van bepaalde hoog-risico AI-toepassingen.
In het regeerprogramma staat verder dat het kabinet werk maakt van transparantie over het gebruik van AI en algoritmes door de overheid. Momenteel wordt nader bezien hoe hier invulling aan kan worden gegeven.

Vraag 15

Welke maatregelen gaat u nemen om ervoor te zorgen dat burgers, en met name kwetsbare groepen, worden beschermd tegen discriminerende algoritmes die door de overheid worden ingezet, zoals aangegeven door de ARK?

Zie o.a. antwoorden op vragen 6, 9, 10 en 11. Het is belangrijk dat de normen goed toepasbaar worden gemaakt, gestandaardiseerde werkwijzen worden ontwikkeld -met name voor de gevoelige (profilerings-)algoritmes, tijdig wordt getoetst, risico’s worden gemitigeerd en een werkwijze achter de hand is om schade te herstellen. Aanvullend wil het kabinet ervoor zorgen dat burgers, met name kwetsbare burgers (of organisaties die hen vertegenwoordigen) worden betrokken en hun input leveren. Dat kan via burgerpanels en/of ethische commissies.

Vraag 16

Hoe zorgt u ervoor dat AI-systemen, zoals die van het UWV en de Belastingdienst, die direct van invloed zijn op burgers, niet leiden tot discriminerende keuzes of ongelijke behandeling op grond van etniciteit of nationaliteit?

Zie antwoord op vraag 6.

Vraag 17

Hoe wordt voorkomen dat AI-systemen, zoals die in het algoritmeregister, onrechtmatige beslissingen nemen die burgers onterecht benadelen en schade toebrengen?

De verantwoordelijkheid hiervoor ligt primair bij de overheidsorganisaties die het AI-systeem inzetten. Zij worden geacht maatregelen te nemen om te voldoen aan wetgeving en daarvoor intern toezicht op te stellen. Het Ministerie van BZK stelt hiervoor hulpmiddelen ter beschikking, zoals de handreiking non-discriminatie by design, het impact assessment mensenrechten en algoritmes (IAMA) en het algoritmekader. Onrechtmatig handelen kan daarnaast opgespoord worden door toezichthouders.

Vraag 1

Heeft u kennisgenomen van het artikel «AI fraude neemt snel toe in de financiele sector»?1

Ja.

Vraag 2

Bent u het ermee eens dat dit een zeer zorgelijke ontwikkeling is?

Ja. De ontwikkeling van kunstmatige intelligentie (in het Engels: Artificial Intelligence (AI)) brengt kansen met zich mee, maar ook risico’s. Een daarvan is dat de techniek kan worden misbruikt door criminelen. Zoals ook staat in het rapport van Signicat, dat wordt aangehaald in het artikel, wordt kunstmatige intelligentie in toenemende mate ingezet bij het plegen van fraude. Dit is een zorgelijke ontwikkeling.

Vraag 3

Welke stappen onderneemt u om AI-fraude in de financiële sector tegen te gaan?

In de Werkgroep Veiligheid van het Maatschappelijk Overleg Betalingsverkeer (MOB) spreekt mijn ministerie met vertegenwoordigers van verschillende betrokkenen, zoals banken, betaalinstellingen, consumentenorganisaties, politie, Openbaar Ministerie en De Nederlandsche Bank over veiligheid in het betalingsverkeer. Fraude in het betalingsverkeer is hier een belangrijk onderdeel van.
Ook heeft dit onderwerp de aandacht binnen de Integrale aanpak online fraude, waar onder coördinatie van de Minister van Justitie en Veiligheid door de Minister van Economische Zaken en mijzelf aan wordt gewerkt.
Het is belangrijk dat bedrijven zelf adequate maatregelen nemen om klanten te beschermen tegen verschillende vormen van fraude en in te spelen op actuele ontwikkelingen, waaronder kunstmatige intelligentie. Tegelijkertijd is het probleem van online fraude een breder maatschappelijk probleem, waar publieke en private partijen samen moeten optrekken om burgers te beschermen.

Vraag 4

Op welke manier worden bedrijven gestimuleerd om maatregelen te nemen?

Zie antwoord vraag 3.

Vraag 5

Veel financiële instellingen geven aan niet over de middelen en expertise te beschikken om deze bedreiging aan te pakken. Gaat u met hen in gesprek over wat er nodig is om dit op orde te krijgen?

Fraude is een zeer actueel onderwerp en daarom ben ik regelmatig in gesprek met financiële instellingen om de nieuwe ontwikkelingen te bespreken. Van banken verneem ik dat zij continu zichtbare en onzichtbare maatregelen nemen om fraude en oplichting te voorkomen. Het is vandaag de dag onderdeel van hun dagelijkse werkzaamheden om in te spelen op de nieuwe technieken die criminelen inzetten om te frauderen, waaronder kunstmatige intelligentie. Ik heb tot nu toe geen signalen ontvangen dat de financiële sector in Nederland op dit moment niet over de middelen en expertise beschikt om deze bedreiging aan te pakken.

Vraag 6

Is het mogelijk om de bescherming van klanten middels biometrische controles en essentiele informatie documenten (Eid’s) te verbeteren?

Momenteel maken banken al gebruik van biometrische controles voor de bescherming van klanten. Banken passen onder andere sterke klantauthenticatie (SCA) of ook wel tweefactorauthorisatie toe. Dit is een veiligheidsvereiste die voortkomt uit de herziene Richtlijn Betaaldiensten (PSD2) en waarbij een betaling of aanpassing in de online bankomgeving wordt goedgekeurd door middel van twee verschillende elementen waar alleen de rechtmatige pashouder of rekeninghouder over beschikt. Dit kan bijvoorbeeld een wachtwoord zijn, maar ook biometrische elementen zoals een vingerafdruk of gezichtsverificatie.
In de vraag wordt verwezen naar essentiële informatie documenten, maar waarschijnlijk wordt gedoeld op elektronische identificatiemiddelen (eID). De financiële sector maakt al gebruik van elektronische identificatiemiddelen. Een voorbeeld is iDIN.

Vraag 1

Bent u bekend met het bericht «Duizenden apparaten in Nederland getroffen door Chinese staatshackers»?1

Ja, alle aangeschreven bewindspersonen zijn bekend met het bericht.

Vraag 2

Sinds wanneer is deze hack bij u bekend? Hoeveel tijd is er verstreken tussen de initiële aanval en het moment dat het onder uw aandacht kwam?

De Nederlandse overheid is enkele dagen voor de publicatie van de FBI op 18 september 2024 in vertrouwen geïnformeerd over deze casus door de VS. De gehackte Nederlandse apparaten waren onderdeel van een botnet dat bekend staat in open bronnen als het Raptor Train-botnet. Dit botnet is in mei 2020 geïnitieerd. Het is niet bekend wanneer de eerste apparaten in Nederland zijn besmet. Het ging hier namelijk om een wereldwijd botnet waarvan ca. 260.000 systemen onderdeel uitgemaakt hebben, waaronder ook ruim 2000 apparaten in Nederland.

Vraag 3

Bent u bekend met welk motief Nederlandse apparaten gehackt zijn, naast het kapen van deze systemen voor het uitvoeren van andere cyberaanvallen? Was deze aanval gericht of ongericht?

Bij het opzetten van een botnet worden apparaten besmet die op dat moment eenvoudig over te nemen zijn. Het doel is meestal zo veel mogelijk verschillende apparaten onder controle te krijgen om deze later gericht te kunnen inzetten. Het botnet zelf is dus ongericht. Ook de cybersecurity advisory van de Amerikaanse diensten geeft weer dat deze cyberoperatie ongericht was.
De Chinese cyberactor, een commercieel bedrijf, hackte doorlopend en wereldwijd kwetsbare apparaten om deze toe te voegen aan het Raptor-Train botnet. Vervolgens bood deze het botnet aan als dienstverlening voor obfuscatie doeleinden. Andere Chinese cyberactoren kregen hiermee toegang tot een middel om hun cyberoperaties langs te routeren en zo de herkomst hiervan te verhullen.
Deze activiteit past binnen het normbeeld van het Chinese cyberecosysteem en de rol van commerciële bedrijven daarbinnen. Deze professionaliseerden hun operaties door gebruik te maken van gehackte infrastructuur, waaronder consumentenapparatuur, zo meldden de AIVD2 en MIVD3 in hun jaarverslagen over 2023.

Vraag 4

Welke gevolgen verbindt u aan het de aanval van Chinese staatshackers? Trekt u hierin gezamenlijk op met de andere getroffen landen?

De Joint Cyber Security Advisory4 van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren5 en het Cybersecuritybeeld Nederland (CSBN 2024)6. Met de Nederlandse Cybersecurity Strategie (NLCS)7 streeft het kabinet naar een digitaal veilig Nederland en verhoogt het de weerbaarheid tegen cyberaanvallen.
De antwoorden op vragen 5, 8, 10 en 11 hieronder geven weer welke mitigerende maatregelen zijn genomen door het National Cybersecurity Centrum (NCSC) en Digital Trust Center (DTC). Over verdere maatregelen tracht het Kabinet zoveel mogelijk naar buiten te treden, in lijn met motie Erkens, maar dit is niet altijd mogelijk. Nederland trekt hierbij zoveel mogelijk op met partners, vooral in EU- en NAVO-verband.

Vraag 5

Op welke termijn verwacht u een totaalbeeld te hebben van de gevolgen, de schaal en het motief van deze aanval? Kunt u de analyse (al dan niet vertrouwelijk) aan de Kamer doen toekomen?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren en het Cybersecuritybeeld Nederland (CSBN 2024). Verder geven de antwoorden op vragen 6, 7 en 8 hieronder weer wat het huidige, en naar verwachting zo volledig mogelijk nationale totaalbeeld over de gevolgen, de schaal en het vermoedelijk motief is.
Het NCSC heeft door tussenkomst van het Digital Trust Centre (DTC) van het Ministerie van Economische Zaken, waar mogelijk eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is daarbij een algemeen advies meegegeven aan de eigenaren. Het NCSC en het DTC hebben ook op hun websites8 9 algemeen beveiligingsadvies uitgebracht met een verwijzing naar deze Joint Cyber Security Advisory en algemene kennisproducten over het verhogen van weerbaarheid toegevoegd.

Vraag 6

Is er kritische digitale infrastructuur geraakt door deze aanval? Zijn de volledige gevolgen voor de cyberveiligheid van Nederland in beeld?

Nee, voor zover bekend waren de in Nederland besmette systemen geen onderdeel van de Rijksoverheid of vitale infrastructuur. Het ging met name om besmetting van consumentenapparaten.

Vraag 7

Is er mogelijk staatsgeheime informatie geraakt in de aanval? Met welke zekerheid kunt u dat zeggen?

Voor zover bekend waren de besmette systemen geen onderdeel van de kritische infrastructuur, er zijn geen apparaten van de Rijksoverheid of vitale infrastructuur besmet en onderdeel geweest van het Raptor-Train botnet. Voor zover bekend is het botnet ook niet door andere Chinese cyberactoren gebruikt om cyberoperaties uit te voeren tegen Nederlandse of Europese belangen. Zeer waarschijnlijk is er vanuit het botnet geen dreiging geweest voor Nederlandse staatsgeheimen. Gezien het doel van het netwerk was om cyberoperaties te verhullen, kan echter inherent niet worden uitgesloten dat dit op enig moment het geval is geweest.

Vraag 8

Op welk detailniveau is het bekend welke personen, organisaties en apparaten getroffen zijn? Welke rol speelt het Nationaal Cyber Security Centrum (NCSC) nu bij het informeren en de verdere hulpverlening van getroffenen?

Van de Nederlandse gehackte apparaten is het bekend wat de IP-adressen en MAC-adressen waren. De gebruikers van deze apparaten hebben voor zover bekend geen problemen ondervonden van de malware, omdat deze er op gericht was om internetverkeer op heimelijke wijze via het apparaat te routeren. Voor zover bekend hebben de betreffende gebruikers ook geen problemen ondervonden door de Amerikaanse verstoringsoperatie waarbij deze malware verwijderd is van hun apparaten en waarmee het botnet werd uitgeschakeld.
Het NCSC heeft een lijst gekregen met alle IP-adressen van getroffen apparaten. Partijen zijn, waar mogelijk, via het DTC geïnformeerd. Het gaat hier om een klein deel van de totale hoeveelheid getroffen apparaten in Nederland Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het niet ging om apparaten van organisaties behorende tot de doelgroep van het NCSC (Rijksoverheid of vitale aanbieders). Wel hebben zowel het DTC en het NCSC op hun website algemeen advies gepubliceerd en verwijzingen toegevoegd naar het Joint Cyber Security Advisory en bestaande kennisproducten om de weerbaarheid te verhogen.

Vraag 9

Kunt u vaststellen of de getroffen apparaten een gedeelde kwetsbaarheid hadden? Hoe kan deze kwetsbaarheid worden afgedekt? Zou de Cyber Resilience Act (CRA) voorkomen dat dergelijke hacks in de toekomst weer plaatsvinden?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten spreekt over misbruikte kwetsbaarheden in meer dan 70 verschillende typen apparaten, van meer dan 40 fabrikanten. Het betrof zowel apparaten die end-of-lifezijn als apparaten die nog door de fabrikant ondersteund worden.
Aangezien het botnet vat heeft gekregen op veel verschillende type kwetsbare apparaten is er waarschijnlijk sprake van meerdere uitgebuite kwetsbaarheden. De Cyber Resilience Act(CRA) schrijft voor dat producten met digitale elementen (hard- en software) vanaf eind 2027 aan cybersecurityvereisten moeten voldoen om in de EU op de markt te mogen worden aangeboden. Vanaf 1 augustus 2025 gelden er bovendien op grond van de radioapparatenrichtlijn al cybersecurityeisen voor het op de Europese markt aanbieden van draadloos verbonden apparatuur. De Rijksinspectie voor Digitale Infrastructuur (RDI) zal toezien op de naleving van deze eisen. De kans op kwetsbaarheden in apparatuur wordt met deze cybersecurity-producteisen aanzienlijk verkleind. Toch zullen kwetsbaarheden en hacks die daar misbruik van maken nooit volledig kunnen worden voorkomen. Om die reden krijgen fabrikanten op grond van de CRA ook een zorgplicht voor de cybersecurity van de producten gedurende de verwachte gebruiksduur, waarbij zij een gratis veiligheidsupdate moeten verstrekken zodra er een kwetsbaarheid wordt geïdentificeerd, die in beginsel automatisch wordt geïnstalleerd. Hierdoor zal de impact van een eventuele hack zo veel mogelijk worden beperkt.

Vraag 10

Welke rol hebben uw verschillende ministeries bij het verder afhandelen van de gevolgen van deze aanval?

Het NCSC heeft door tussenkomst van het DTC, waar mogelijk, eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is door het DTC een algemeen advies meegegeven aan de eigenaren. Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het voor zover bekend niet ging om apparaten van organisaties binnen de Rijksoverheid of van vitale aanbieders. Ook hebben het NCSC en het DTC op hun websites algemeen beveiligingsadvies uitgebracht om dergelijke apparaten veiliger te kunnen maken. Tevens hebben het DTC en het NCSC organisaties geattendeerd op de Joint Cyber Security Advisory en algemene kennisproducten die weerbaarheid tegen digitale aanvallen verhogen.
Het Ministerie van Buitenlandse Zaken onderhoudt contact met partners over mogelijke aanvullende maatregelen. Mochten diplomatieke vervolgstappen t.a.v. het incident in beeld komen, dan zal het Ministerie van Buitenlandse Zaken daarover de coördinatie voeren.

Vraag 11

Met welke organisaties en partijen werken uw ministeries en de NCSC samen, zowel landelijk als internationaal, om de aanval verder af te handelen?

De verdere afhandeling van deze cyberoperatie binnen Nederland is beperkt. Er zijn voor zover bekend geen vitale of overheidsbelangen getroffen waar verdere mitigatie nodig is. Door de Amerikaanse verstoringsoperatie is de malware verwijderd van de gehackte Nederlandse apparaten in het botnet. Het kabinet heeft in de communicatie rondom dit incident gewezen op de beschikbare adviesproducten op de website van het NCSC en DTC over cyberdreigingen voor kwetsbare apparaten van particulieren en midden- en kleinbedrijf om eventuele mitigatie van kwetsbaarheden.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en op zo kort mogelijke termijn beantwoorden?

Deze antwoorden zijn in samenwerking van de Ministers van Justitie en Veiligheid, Economische Zaken, Buitenlandse Zaken en Binnenlandse Zaken opgesteld en zijn op een zo kort mogelijk termijn beantwoord.

Vraag 1

Is het Defensie Big Data Advanced Analytics Platform (DBDAAP) ook in gebruik genomen? Zo ja, wanneer?

Ja. Nadat het platform in april 2022 is opgeleverd, hebben in september 2022 de eerste gebruikers gebruik gemaakt van het platform.

Vraag 2

Indien DBDAAP in gebruik is genomen, hoe wordt deze ingebruikname gemeten?

De ingebruikname van DBDAAP wordt «gemeten» aan de hand van het aantal defensiemedewerkers dat gebruik maakt van de aangeboden tooling en het aantal toepassingen dat ontwikkeld wordt op het platform.

Vraag 3

Indien DBDAAP in gebruik is genomen, hoeveel ontwikkelaars hebben in april 2024 ongeveer op het DBDAAP-platform ingelogd?

In april 2024 hebben circa 90 ontwikkelaars ingelogd op DBDAAP.

Vraag 4

Hoeveel van deze ontwikkelaars draaien daadwerkelijk diensten op het DBDAAP-platform?

In april 2024 werkten circa 70 ontwikkelaars aan toepassingen op DBDAAP.

Vraag 5

Indien DBDAAP in gebruik is genomen, hoeveel applicaties draaiden er op 30 april 2024 op het DBDAAP-platform? Kunt u wellicht ook de namen van deze applicaties geven?

Op 30 april draaiden er 34 applicaties op DBDAAP. Vanwege het vertrouwelijke karakter van deze applicaties is het niet mogelijk de namen hiervan te delen.

Vraag 6

Indien DBDAAP in gebruik is genomen, hoeveel gigabyte was er op 30 april 2024 in totaal op het DBDAAP-platform (ongeveer) opgeslagen? Hoeveel inkomend en uitgaand dataverkeer is er (ongeveer) in totaal op deze datum voor het DBDAAP-platform gerealiseerd?

In april 2024 werd er al meer dan 20 terabyte aan data opgeslagen op DBDAAP. Het inkomend en uitgaand verkeer wordt niet bijgehouden.

Vraag 7

Indien DBDAAP in gebruik is genomen, is daarmee het platform DBDAAP ook binnen de gehele krijgsmacht in gebruik genomen?

Ja. Er draaien toepassingen op DBDAAP van alle defensieonderdelen, met uitzondering van de Koninklijke Marechaussee. Vanwege de Wet Politiegegevens vallen de meeste datatoepassingen van de Koninklijke Marechaussee buiten het rubriceringsniveau van DBDAAP.

Vraag 8

Welke krijgsmachtonderdelen hadden DBDAAP op 30 april 2024 eventueel niet in gebruik? Waarom hebben zij dit platform niet in gebruik genomen?

Zie antwoord vraag 7.

Vraag 9

Wat zijn de totale kosten van het project DBDAAP tot op de dag van vandaag?

Tot september 2024 is circa 8,2 miljoen euro uitgegeven aan de ontwikkeling en de exploitatie van DBDAAP.

Vraag 10

Wordt DBDAAP wellicht ook nog doorontwikkeld op dit moment en zo ja, welke partijen zijn hierbij betrokken?

Ja. DBDAAP wordt doorontwikkeld door het datalab van Defensie. De prioriteit voor de doorontwikkeling wordt bepaald door de Chief Data Officersvan de verschillende defensieonderdelen.

Vraag 1

Bent u bekend met het pleidooi van de Algemene Onderwijsbond (AOb) voor een AI-richtlijn op scholen?1

Ja.

Vraag 2

Welk inzicht heeft u in het gebruik van artificiële intelligentie (AI) door scholen? Heeft u een overzicht van welke AI-tools worden ingezet door scholen zelf?

In algemene zin hebben we inzicht in het gebruik van AI door scholen en welke tools dat zijn. In de meest recente Monitor Digitalisering Onderwijs (MDO, voorheen MYRA) 2023 van Kennisnet, de PO-Raad en de VO-raad is leraren gevraagd naar het gebruik van digitale middelen2. In het primair onderwijs maakte in 2023 63 procent van de leraren gebruik van dashboards waarop de voortgang van leerlingen te volgen is (Snappet, Gynzy, Prowise Learn, Rekentuin) en 40 procent gebruikte adaptieve gepersonaliseerde digitale leermiddelen.3 In het voortgezet onderwijs betrof dit respectievelijk 31 procent en 29 procent van de leraren.4 In de MDO 2025 zal leraren specifiek gevraagd worden of zij AI (apps of toepassingen) bij de lessen en lesvoorbereiding gebruiken en over welke kennis en vaardigheden zij op dit terrein beschikken

Vraag 3

Heeft u inzicht in de manier waarop door leerlingen gebruik wordt gemaakt van AI voor het maken van werkstukken en huiswerkopdrachten en hoe scholen hiermee omgaan?

Ik heb geen inzicht in de manier waarop leerlingen thuis gebruik maken van AI voor het maken van werkstukken en huiswerkopdrachten.

Vraag 4

Op welke wijze heeft AI een plek in de nieuwe kerndoelen voor digitale geletterdheid? Wanneer zijn deze definitief verankerd?

Begin maart 2024 heeft de SLO de conceptkerndoelen digitale geletterdheid opgeleverd. In deze concepten is AI expliciet opgenomen. Momenteel worden de kerndoelen op scholen beproefd op bruikbaarheid en wordt geëvalueerd hoe goed ze aansluiten bij de praktijk. Daarnaast zal dit najaar de wetenschappelijke Curriculumcommissie een advies uitbrengen over de conceptkerndoelen.
In oktober ontvangt uw Kamer een brief waarin wordt toegelicht hoe hier invulling aan wordt gegeven.

Vraag 5

Vindt u het goed dat leerlingendata terechtkomt in handen van grote AI-bedrijven? Hoe verhoudt dit zich tot de Algemene verordening gegevensbescherming (AVG) en wat gaat u hieraan doen?

Ik vind het belangrijk dat de (digitale) veiligheid en privacy van de onderwijsomgeving van leerlingen en onderwijspersoneel geborgd is. Het is in de eerste plaats aan de schoolbesturen om hun (digitale) onderwijs vorm te geven, en daarbij te kiezen of, en zo ja welke, AI-producten ze hierbij inzetten. AI kan het onderwijs ondersteunen, mits bewust gekozen en verantwoord toegepast. De handreiking AI van Kennisnet biedt handvatten om te zorgen voor sociale veiligheid en een pedagogisch klimaat bij AI op school.5 Daarnaast is het van groot belang dat de persoonsgegevens van leerlingen bij het gebruik van AI-systemen goed worden beschermd. De website Aanpak IBP van Kennisnet helpt scholen om de AVG goed na te leven. Relevant is onder meer dat de school een verwerkersovereenkomst afsluit met de leverancier van het AI-systeem waarin contractueel wordt vastgelegd dat de leverancier de gegevens alleen mag gebruiken voor de doelen die de school aangeeft. Ook is de school in de meeste gevallen verplicht om een data protection impact assessment (DPIA ofwel een privacyonderzoek) uit te voeren als in een AI-systeem persoonsgegevens worden verwerkt, waarmee de privacyrisico’s in kaart worden gebracht en maatregelen genomen worden om deze te beperken. Omdat dit voor scholen intensief en tijdrovend kan zijn, voeren de ICT-coöperaties SURF en SIVON namens de onderwijssector DPIA’s uit op digitale producten die in het onderwijs gebruikt worden. Dat doen ze niet alleen bij Nederlandse aanbieders, maar ook voor grote internationale bedrijven zoals Google en Microsoft. In dit kader zijn afspraken gemaakt met onder andere Zoom, Google en Microsoft over het beschermen van de privacy van leerlingen, studenten en medewerkers. Ik bevorder via het Programma Digitaal Veilig Onderwijs dat SIVON ook DPIA’s kan uitvoeren op andere digitale producten die in het funderend onderwijs worden gebruikt.

Vraag 6

Denkt u dat leerkrachten en scholen voldoende toegerust zijn om AI veilig in te zetten en de inzet ervan door leerlingen te herkennen en te bespreken?

Ik vind het belangrijk dat het onderwijs AI op een doordachte en verantwoorde manier toepast, met aandacht voor publieke waarden zoals privacy en kansengelijkheid en dat leraren bewuste en weloverwogen keuzes kunnen maken over het gebruik van AI. Leraren moeten de technologie kunnen gebruiken, en begrijpen hoe AI-systemen werken, wat hun beperkingen zijn en welke ethische vraagstukken daarbij komen kijken. Dit vraagt van leraren dat zijzelf ook digitaal vaardig zijn.
Daarom ondersteun ik leraren op verschillende manieren bij de inzet van AI in het onderwijs. Er zijn concrete handvatten beschikbaar, zoals de handreiking AI in het onderwijs van Stichting Kennisnet die scholen helpt verantwoorde keuzes te maken rondom AI, met richtlijnen voor beleid en professionalisering. En er is de gratis online AI-cursus van de Nederlandse AI-coalitie voor docenten in het primair en voortgezet onderwijs. Het Expertisepunt Digitale Geletterdheid biedt daarnaast ondersteuning aan het po, vo, s(v)o en mbo. Tot slot werken we samen met Vlaanderen aan digitale professionalisering voor leraren. We gaan samen onderzoeken hoe we leraren op slimme manieren beter kunnen ondersteunen bij het aanleren van digitale vaardigheden.

Vraag 7

Bent u bekend met het bericht «Meer kennis algoritmen nodig op scholen, «anders risico op discriminatie»»?2

Ja.

Vraag 8

Deelt u de zorgen van het College voor de Rechten van de Mens over dat de inzet van adaptieve leermiddelen kan leiden tot kansenongelijkheid?

Ik ben het met het College eens dat het van belang is dat systemen die gebruikt worden in het onderwijs niet leiden tot uitsluiting of discriminatie. Kinderen mogen nooit de dupe worden van discriminatie, ook niet wanneer die impliciet in algoritmes is ingebouwd. Hoewel de onderzoekers aangeven dat er op dit moment geen concrete voorbeelden te vinden zijn van discriminatie of uitsluiting door algoritmes in het funderend onderwijs, is het ook in de toekomst van belang dat dit geen plaats krijgt in de (digitale) onderwijssystemen. Daartoe is recent de nieuwe AI-verordening in werking getreden. Deze Europese wet stelt verdere grenzen aan de toepassing van algoritmes in het onderwijs. Zo wordt het gebruik van een aantal typen AI en algoritmes ingedeeld in de hoog-risico-categorie, waarin extra eisen zijn opgenomen. Systemen die zich richten op onder andere toelating tot het onderwijs of het beoordelen van een passend onderwijsniveau vallen in deze categorie. Als onderwijsinstellingen deze systemen willen inzetten, dienen zij aanvullende maatregelen te treffen om te voorkomen dat gebruik van deze systemen kansenongelijkheid in de hand werkt.

Vraag 9

Op welke wijze wordt toezicht gehouden op de algoritmes van programma’s zoals Snappet, Gynzy en andere lesmethoden?

Op Europees niveau biedt de recent geïntroduceerde AI-verordening een juridisch kader om ervoor te zorgen dat AI-systemen veilig en ethisch worden ingezet. De komende tijd zal ik samen met de onderwijssector verkennen hoe we de maatregelen binnen de AI-verordening het beste kunnen vormgeven.
Op nationaal niveau speelt het Nationaal Onderwijslab AI (NOLAI) een belangrijke rol in het waarborgen van de kwaliteit, kansengelijkheid en de regie van leraren in de verantwoorde ontwikkeling en toepassing van AI in het onderwijs. Zo maakt NOLAI in het wetenschappelijk programma de pedagogische, maatschappelijke en sociale gevolgen van intelligente technologie in onderwijs inzichtelijk. In het onlangs gepubliceerde referentiekader wordt de werkwijze van het Onderwijslab uitgelegd.7 Daarnaast biedt het opschalingsplan van NOLAI waardevolle inzichten in de integratie van AI-producten in het onderwijs, waarbij de visie van scholen en de vaardigheden van leraren centraal staan. Leraren worden uitgerust met de benodigde kennis en tools om AI op een verantwoorde en effectieve manier in hun onderwijspraktijk te integreren en zorgt voor een duurzame en brede implementatie van AI-producten in het funderend onderwijs.

Vraag 10

Hoe gaat u transparantie, uitlegbaarheid en de eerlijkheid van deze algoritmes waarborgen?

Zie antwoord vraag 9.

Vraag 11

Heeft u inzicht in hoeveel scholen zelfstandig richtlijnen of beleid hebben opgesteld voor het gebruik van AI?

Ik vind het belangrijk dat scholen bewuste en verantwoorde keuzes maken over het gebruik van AI op basis van een AI-beleid dat past bij de visie op onderwijs en de kernwaarden van de school. Scholen kunnen hiervoor gebruikmaken van het Vier-in-balans model8 en de Handreiking AI in het onderwijs9 van Kennisnet. In de Monitor Digitalisering Onderwijs 2025 zullen onder meer vragen worden opgenomen over visie en beleid van het schoolbestuur omtrent AI, en of de school richtlijnen heeft over verantwoord gebruik van AI in de klas.

Vraag 12

Bent u bereid om in gesprek te gaan samen met de AOb en scholen die vooroplopen als het gaat om AI-beleid om lessen te trekken voor een eventuele landelijke richtlijn?

In onze huidige digitale maatschappij, waar technologische innovaties zich snel ontwikkelen, is het noodzakelijk dat we scholen ondersteunen bij de doordachte inzet en gebruik van AI in de klas. In het kader van de gesprekken die ik zal voeren met de onderwijssector over de AI-verordening en hoe we de maatregelen en het toezicht daarop vormgeven, ga ik graag in gesprek met de AOb, de andere onderwijspartners en scholen. Tegelijkertijd wil ik benadrukken dat er al op verschillende manieren ondersteuning wordt geboden aan schoolbestuurders, schoolleiders en leraren. Door inzichten te bundelen kunnen we de samenwerking tussen alle betrokken partijen versterken.

Vraag 13

Bent u bereid om samen met de AOb de handschoen op te pakken voor een richtlijn voor AI in de klas? Zo nee, waarom niet?

Zie antwoord vraag 12.

Vraag 1

Op welke wijze is er met de betrokken regio’s overleg gepleegd over en instemming verkregen van de voorgestelde verdeling van de Beethoven-gelden, gezien de negatieve reacties van met name de regio’s Twente en Groningen in de media op het advies? Bent u van mening dat met dit advies de motie van het lid Van Hijum c.s. (Kamerstuk 36 550, nr. 7) voldoende is uitgevoerd?

Het doel van het Nationaal Versterkingsplan is het zo spoedig mogelijk opleiden van extra technische talenten die hun werkkring daadwerkelijk kiezen in de microchipindustrie. De aanpak is vanaf de start een inhoudelijk proces geweest, leidend naar noodzakelijke effectiviteit: het juiste talent, op de juiste plaats, in de juiste tijd.
Samen met de vier betrokken regio’s uit het convenant is een iteratief en collaboratief proces doorlopen met als doel het opleiden van extra technische talent voor de locaties waar de vraag vanuit de microchipindustrie zich bevindt. Het begrip regio is hier breed en niet specifiek gedefinieerd. Dit heeft primair betrekking op de bereidheid tot forenzen naar de industrie. In alle vier de regio’s hebben dialoogsessies plaatsgevonden met speciaal gezant Hans de Jong en vertegenwoordigers van de Rijksoverheid, waarin ook aandacht besteed is aan de talentvraag van de industrie uit de eigen regio en de landelijke talentbehoefte. In deze sessies is het uitgangspunt gehanteerd dat de regionale talentvraag voor het op te leiden microchip-talent door de industrie gevalideerd moet zijn. Ook zijn er doorlopend gezamenlijke regio-overleggen geweest met de regiocoördinatoren voor tussentijdse afstemming en zijn er individuele afstemmingmomenten geweest.
Aan de regio’s is gevraagd binnen de kaders van de regionale uitvraag1, in samenwerking met regionale partners, een conceptplan te maken. Er is ruimschoots gelegenheid geboden om vragen te stellen over de aard en inhoud van de opdracht. De ingediende conceptplannen bleken gezamenlijk niet te passen binnen de gestelde doelen. Bovendien werd het door het kabinet beschikbaar gestelde budget met ongeveer een factor 4 overschreden.
In het overleg met de regiocoördinatoren werd het voorstel gedaan om als tussenstap de microchipindustrie te consulteren over de huidige en toekomstige wervingspraktijk en dit medebepalend te laten zijn voor de criteria rondom de toewijzing van middelen. Een vertegenwoordiging van microchipbedrijven (zowel grote bedrijven als mkb) geeft aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Mbo-talent komt momenteel voor ruim 95% uit de eigen regio, hbo-talent voor ca. 80% en wo-talent voor 50%. De bedrijven verwachten geen grote verschuivingen in dit beeld richting de toekomst. De wervingspraktijk van de bedrijven en de geografische locaties waar deze industrie in Nederland doorgroeit op basis van bedrijfsplannen, hebben we na verificatie als leidende factor beschouwd voor de reservering van de middelen over de regio’s. Door de vraag van de microchipsector (de huidige en toekomstige wervingspraktijk) en het door het kabinet beschikbaar gestelde budget als uitgangspunten te nemen, zijn de reserveringen voor verschillende regio's lager dan zoals door hen zelf voorgesteld in de conceptplannen.
In het debat met de Minister van Financiën heeft het lid Van Hijum aangegeven dat er een inhoudelijke relatie moet zijn tussen datgene wat een regio levert en het aandeel dat men krijgt. De in de motie Van Hijum2 genoemde evenwichtigheid moet volgens het kabinet gezien worden in het licht van de talentopgave van de microchipsector. Het kabinet heeft de evenwichtige verdeling vervolgens gemaakt op basis van de vraagarticulatie van de microchipindustrie. Het kabinet is van mening dat dit advies aansluit op de motie van het lid Van Hijum c.s.

Vraag 2

Op welke wijze zijn de adviescommissie en de partijen van het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» gekomen tot de selectie van de betrokken regio’s? Ziet u dit wellicht voor andere regio’s ook gelden, gezien de aanwezigheid van regio Groningen in dit consortium waar geen microchipindustrie zit, maar de adviescommissie wel de potentie voor langjarige ontwikkeling ziet? Zo ja, voor welke?

In de Kamerbrief van 28 maart 20243 beschrijft het kabinet dat chipbedrijven en toeleveranciers in Nederland met grote uitdagingen kampen op het gebied van technisch geschoold personeel op alle niveaus. De regiegroep heeft uitvoering gegeven aan het convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector». De investeringen zijn gericht op het mogelijk maken van de schaalsprong van de microchipsector in Nederland. Ongeveer 70% van de werkgelegenheid van de microchipsector is momenteel in de Brainportregio. De nabijheid en bereikbaarheid van onderwijsinstellingen ten opzichte van de plek waar microchipbedrijven zijn gevestigd spelen een belangrijke rol bij de werving van talent. In het antwoord op vraag 1 wordt beschreven dat microchipbedrijven mbo-talent, en in iets mindere mate hbo-talent, zo dicht mogelijk werven bij de geografische plek waar zij zijn gevestigd.
Daarnaast geldt dat voor wo-talent, en in mindere mate hbo-talent breder gekeken is naar de opleidingen die een bijdrage leveren aan het vergroten van het technisch talent in Nederland. Daaruit komt naar voren dat naast de Brainportregio ook Twente en Delft geografische regio’s zijn om talent op te leiden en te werven. Wo-talent is volgens het bedrijfsleven en de bij het kabinet bekende gegevens, significant mobieler en wordt voor een groter deel geworven ook vanuit andere opleidingsplaatsen. Hierin speelt ook Groningen een steeds belangrijkere rol, aangezien met name de Rijksuniversiteit Groningen een kwalitatieve bijdrage levert aan het opleiden van technische studenten. De vier in het convenant genoemde regio's hebben de mogelijkheid om voor hun opleidingsplannen ook andere regio's te betrekken. Gedurende de totstandkoming van het advies zijn regio’s die hebben aangegeven een aantoonbare bijdrage te kunnen leveren aan de opgave, uitgenodigd zich bij een van de vier regio’s aan te sluiten. Zo lopen er momenteel al gesprekken tussen Brainport en enkele andere regio's die niet in het convenant benoemd zijn.

Vraag 3

Is er overwogen om de bijbehorende mbo/hbo-opleidingen uit de regio Limburg actief te betrekken in de plannen, gezien de relatieve nabijheid van de Limburgse maakindustrie en het feit dat er volgens de «uitvraag regionale voorstellen» aanzienlijk wat personeel uit Limburg afkomstig is? Is er overwogen om met de grote sluiting van Nedcar in Borne, op 45 autominuten van Veldhoven, actief technisch personeel aan te trekken?

Ja, bij de uitvraag naar de vier regio’s is een groot aantal onderwijsinstellingen, inclusief onderwijsinstellingen uit Limburg en de onderwijskoepels, op deze uitvraag gewezen. Er is een oproep gedaan aan instellingen die een fundamentele bijdrage kunnen leveren aan de talentopgave van de microchipsector om zich bij een van de vier regio’s te melden. Er wordt op dit moment actief gesproken door Brainport met Limburgse onderwijsinstellingen. Het is aan de regio’s om te bezien op welke wijze zij een bijdrage kunnen leveren aan de talentopgave van de industrie binnen de kaders van de uitvraag. Kwaliteit van de samenwerking is opgenomen als criterium in het analysekader dat wordt gebruikt bij het beoordelen van de plannen.
De sluiting van autobouwer VDL Nedcar heeft helaas tot ontslagen geleid. Voormalig VDL Nedcar-personeel kan zich uiteraard kandidaat stellen voor openstaande vacatures in de Brainportregio. Op dit moment sluiten de vaardigheden van het voormalig personeel niet altijd direct aan op de vraag van de microchipindustrie. Er bestaat hier ook een bredere behoefte om tot een betere aansluiting te komen op de arbeidsmarkt. Daarom is er vanuit het Europees Sociaal Fonds € 1,2 miljoen beschikbaar gesteld voor scholing en begeleiding van de ontslagen VDL Nedcar-medewerkers die nog geen nieuwe baan hebben gevonden. De Provincie Limburg, de Zuid-Limburgse gemeenten en het UWV (verenigd in de Arbeidsmarktregio Zuid-Limburg) en het Ministerie van Sociale Zaken en Werkgelegenheid stellen daar bovenop gezamenlijk € 800.000,– beschikbaar. Het budget zal vooral worden ingezet voor een integraal pakket van dienstverlening bestaande uit loopbaanoriëntatie, -begeleiding en -advies, aangevuld met scholings- en ontwikkeltrajecten.

Vraag 4

Kunt u een overzicht geven van de beschikbare opleidingsplaatsen per relevante studierichting per regio? Hoeveel opleidingsplaatsen worden er per jaar ingevuld, hoeveel studenten studeren er per jaar momenteel af en hoeveel dit er in 2030 zouden moeten zijn? Kunnen de beschikbare bedragen per regio ook worden onderverdeeld naar mbo, hbo en wo?

Tot en met 2030 wordt de verwachte behoefte aan extra talent van de microchipindustrie geschat op ongeveer 38.000 medewerkers. Het gaat hierbij om extra vacatures bovenop het natuurlijk verloop. Deze schatting is gebaseerd op een enquête onder chipbedrijven en andere bekende cijfers over de industrie, onder meer van het CBS en RVO. Er is in de enquête ook gevraagd naar het scholingsniveau van de talentbehoefte. Deze gegevens zijn gecombineerd met data over het huidige opleidingsniveau in de microchipindustrie en resulteert in een behoefte van de sector die als volgt is verdeeld: 39% mbo, 23% hbo en 38% wo-niveau. In de regionale uitvraag is in bijlage 2 en 3 aangegeven wat relevante studierichtingen voor de microchipindustrie zijn. Daarbij is ruimte gelaten aan regio’s om daar breed naar te kijken. Immers, niet alle functies in de microchipsector zijn één-op-één te vertalen naar een opleiding. Regio’s kunnen andere afwegingen in de selectie van relevante opleidingen maken als dit past bij de vraag van de sector. Daarom kan het kabinet pas van de oplevering van de definitieve plannen van de regio's inzicht geven in de huidige studentenaantallen per relevante studierichting en de aantallen die volgens de plannen in 2030 behaald kunnen worden. Regio's moeten in hun definitieve plannen aantonen dat ze het op te leiden talent ook daadwerkelijk kunnen aantrekken.
De definitieve onderverdeling van de bedragen naar mbo, hbo en wo verschillen per regio en wordt pas duidelijk als de regio’s hun definitieve herijkte plannen hebben ingediend. Nadat de plannen definitief zijn ingediend, zal het kabinet uw Kamer informeren over de onderverdeling per opleidingssector.

Vraag 5

Op welke manier voorziet u dat deze investeringen leiden tot meer technisch geschoold personeel voor de chipsector? Op welke manier gaat het geld resulteren in het realiseren van de genoemde actielijnen, zoals het verhogen van het blijfpercentage («stay rate») van internationale studenten en kenniswerkers, het vergroten van de diversiteit van studenten, waaronder het aantrekken van meer vrouwelijke studenten, en het vergroten van de in- en uitstroom in tijden van dalende studentenaantallen?

De investeringen omvatten een breed palet aan maatregelen, die elk een bijdrage leveren aan de totale beschikbaarheid van talent voor de microchipsector. Gezien de grote verwachte personeelstekorten, is het belangrijk om alle maatregelen die tot meer talent kunnen leiden mee te nemen.
Onderwijsinstellingen worden met deze investeringen in staat gesteld acties te ondernemen om meer talent op te leiden, te werven, te behouden en in samenwerking met het bedrijfsleven toe te leiden naar de microchipsector. Zo kunnen de regio’s met deze investeringen bijvoorbeeld programma’s ontwikkelen om internationale studenten te koppelen aan banen in de microchipsector om het blijfpercentage te verhogen. Ook kunnen instellingen met deze middelen hun voorlichting en werving anders inrichten en genderbias doorbreken, zodat ondervertegenwoordigde doelgroepen meer worden aangetrokken. Het is aan de regio’s om vanuit hun inhoudelijke kennis met maatregelen te komen. Komende tijd zullen de regio’s hiermee aan de slag gaan om te komen tot herijking van hun plannen. We vragen regio's hierbij nauw samen te werken met de microchipindustrie om de aansluiting tussen onderwijs en bedrijfsleven zo goed mogelijk te maken.

Vraag 6

Welke ervaringen, successen en mislukkingen uit de initiatieven om meer docenten, verpleegkundigen en ander talent voor tekortsectoren op te leiden worden meegenomen in deze plannen? Hoe wordt er voorkomen dat het aantrekken van meer studenten voor STEM-opleidingen ten koste gaan van het aantal studenten dat kiest voor de zorg of het onderwijs?

Bij de regionale uitvraag zijn voorbeelden van effectieve interventies aan de regio’s beschikbaar gesteld. Hierin zijn geleerde lessen van aanpakken in andere sectoren en initiatieven verwerkt. Ook geeft het recente onderzoek «Studiekeuze in beweging»4 een beeld over de verwachte effecten van maatregelen en initiatieven om meer studenten te verleiden om een opleiding te volgen in tekortsectoren. Maatregelen als het hanteren van een arbeidsmarktgerelateerde numerus fixus, verlaging van het lesgeld, het geven van een diplomabonus en het bieden van een warme overdracht van studie naar werk zijn onderzocht.
Omdat de instroom van initiële studenten in het vervolgonderwijs over de gehele linie daalt door demografische ontwikkelingen, kunnen verdringingseffecten met andere opleidingen zoals in de zorg of het onderwijs niet worden uitgesloten. Om deze effecten te verkleinen, werken de regio’s nadrukkelijk aan het vergroten van de vijver van talent, zoals het bij- en omscholen van onbenut arbeidspotentieel en het gericht aantrekken van internationaal talent.

Vraag 7

Wat is internationaal bekend qua best-practices voor het laten afstuderen van meer studenten in de techniek? Op welke wijze zullen deze STEM-studenten vervolgens worden worden om voor de microchipsector te kiezen?

Ook in andere landen van Europa is er een groeiende vraag naar technisch personeel die groter is dan de ontwikkeling van het aanbod. In het rapport «Arbeidsmarktkrapte technici: ontwikkelingen, verklaringen en handelingsperspectieven»5 is in opdracht van de Ministeries van OCW, EZK en SZW in 2022 daarom ook gekeken naar de Europese context. Binnen de EU is bijvoorbeeld Portugal één van de landen die relatief hoog scoort in het percentage studenten en afgestudeerden van technische opleidingen. Omdat de onderwijssystemen, de arbeidsmarkt en de beroepscontext in landen in grote mate verschillen, vindt er een veelheid van verschillende (beleids)initiatieven plaats over heel Europa, gericht op het stimuleren van het aanbod van technici. Desondanks blijken deze verschillende initiatieven niet genoeg om de schaarste aan technici op te lossen. De meeste initiatieven proberen de kwaliteit van het primair en secundair onderwijs ten aanzien van het techniekonderwijs te bevorderen en tegelijkertijd het imago van de techniek onder jongeren te verbeteren. Ook wordt in sommige landen, althans in de minderheid van de Europese landen, aandacht besteed aan het werven van technici in het buitenland of aan het terug laten keren van buitenlandse studenten naar het thuisland.
Binnen de Nederlandse onderwijsinstellingen is er de laatste jaren al veel werk gestoken in het verkennen van best-practices om tekorten in sectoren in relatief korte tijd aan te pakken. Een voorbeeld hiervan is het aantrekken van buitenlandse afgestudeerde wo-bachelorstudenten, die met een master in Nederland klaargestoomd worden voor onze arbeidsmarkt.
Zoals benoemd in de regionale uitvraag kunnen regio's ook gebruikmaken bij het opstellen van hun plannen van de kennis en expertise van Platform Talent voor Technologie (PTvT). PTvT is lid en initiator van de EU STEM Coalition, waarin op Europees vlak best-practices worden uitgewisseld.
In de regionale uitvraag en in het analysekader6 is opgenomen dat de regio’s duidelijk dienen te onderbouwen dat het extra opgeleide talent ook bij de vraag van de microchipsector terechtkomt («delivery rate»). In het toetsen van de kwaliteit van de herijkte plannen van de regio’s in het najaar is aandacht voor de initiatieven die in de regio’s worden ontplooid opdat het opgeleide talent daadwerkelijk emplooi zal vinden in de microchipindustrie.

Vraag 8

Op welke wijze is aan bovenstaande vragen aandacht besteed in de ingediende regionale plannen? Is het mogelijk om inzage te krijgen in deze plannen?

De afgelopen maanden is een zorgvuldig proces doorlopen waarin de regio’s hun conceptplannen konden opleveren. Zoals aangegeven hebben de regio’s plannen ingediend die gezamenlijk de beschikbare middelen ver te boven gingen en eveneens onvoldoende aantoonden hoe het opgeleide talent ook daadwerkelijk in de microchipindustrie terecht zou komen. Het is nu aan de regio’s om voor oktober met herijkte plannen te komen. De definitieve plannen waar de regio's mee aan de slag zullen gaan zal het kabinet met uw Kamer delen.

Vraag 9

Hoe beoordeelt u het idee om juist de groei in steden in Groningen en Twente meer te stimuleren, gezien het feit dat daar de beschikbaarheid van studentenhuisvesting minder een probleem is dan in de andere twee regio’s?

De grondslag van het Nationaal Versterkingsplan van Microchip-talent is talent opleiden dat ook daadwerkelijk zijn werkkring vindt in de microchipindustrie zodat de groei van deze industrie in Nederland mogelijk wordt gemaakt. Het zwaartepunt van de groeivraag ligt voor de komende jaren bij ASML en de Brainportregio. De microchipbedrijven geven aan dat het talent vooral wordt geworven in de regio waar ook de bedrijfsactiviteiten plaatsvinden. Dit geldt ook – zij het in mindere mate – voor het wo-talent. Deze overwegingen, gevoed door de huidige en toekomstige wervingspraktijk van bedrijven, hebben ertoe geleid dat het zwaartepunt van het Versterkingsplan ook in de Brainportregio is. Regionale plannen dienen rekenschap te geven van de huisvestingsvraag. Dit plan mag er niet toe leiden dat studenten worden geworven terwijl er geen huisvestingsplek is.

Vraag 10

Hoe denkt u de groei van de chipindustrie in de andere regio’s te kunnen laten groeien om zo de voorzieningen in Brainport te ontlasten, gezien het feit dat de leefbaarheid en voorzieningen in de Brainportregio door de schaalsprong onder druk staan?

Voor onze welvaart is het van groot belang om de microchipindustrie en hun toeleveringsketens in Nederland te laten doorgroeien en doorinvesteren. Het kabinet onderschrijft dat dit in de Brainportregio ook om een ontwikkelopgave vraagt voor de leefbaarheid en het voorzieningenniveau. In het «Convenant Rijk en regio investeringen in ondernemingsklimaat microchipsector»7 is hiermee rekening gehouden, door goede afspraken te maken over de bekostiging door het Rijk en de Brainportregio op het gebied van woningbouw en bereikbaarheid. Daarnaast is er in het convenant afgesproken dat Rijk en regio een verkenning starten naar de sociaal-maatschappelijke opgaven, waaronder sociale cohesie, primair- en voorgezet onderwijshuisvesting, zorg, bibliotheken en andere culturele instellingen. Op basis van deze verkenning zal het kabinet samen met de regio bezien wat nodig is. De verkenning komt eind dit jaar beschikbaar.
Daarnaast werkt het Ministerie van Economische Zaken aan het Meerjarenprogramma voor bovenregionale samenwerking tussen hightech-brandpunten. Dit programma beoogt hightech-bedrijven die op langere termijn niet kunnen doorgroeien of doorinvesteren op hun huidige locatie, te helpen om die groei wel mogelijk te maken in een andere regio, om deze bedrijven zo wel in Nederland te behouden. Dit is bijvoorbeeld aan de orde als onvoldoende ruimte beschikbaar is en/of de druk op de omgeving te groot. Ook microchip start-ups en scale-ups komen in aanmerking voor dit programma. Dit programma komt eveneens eind dit jaar beschikbaar.

Vraag 11

Lijkt het u niet logischer om anders te alloceren dan volgens de huidige wervingspraktijk, waarbij de sterkste regio van dit moment automatisch het meeste geld krijgt toebedeeld, gezien het belang van de stimulering van de ontwikkeling in economisch relatief zwakkere regio’s (uitgangpunt van «elke regio telt»)?

Nee, zie hiervoor ook de antwoorden vraag 9 en 12. Het uitgangspunt van het Nationaal Versterkingsplan van Microchip-talent is een specifiek plan gericht op de microchipindustrie. Het doel is de groei van de microchipsector in Nederland mogelijk maken en het versterkingsplan is ter ondersteuning daarvan. Bij de totstandkoming van de reserveringen is de toekomstige wervingspraktijk van de micro-chipsector medebepalend geweest.

Vraag 12

Hoe ziet u de mogelijkheden om heel Nederland zo breed mogelijk te kunnen laten meeprofiteren met de groei van de chipindustrie? Op welke manier gaat de resterende drie procent worden ingevuld?

De groei van de microchipsector levert veel op voor heel Nederland. De microchipsector is enorm belangrijk voor ons toekomstig verdienvermogen. Waar de sector in 2021 nog € 39,1 miljard aan omzet in Nederland had, zal de omzet naar verwachting tot 2030 verdubbelen. Dit geldt niet alleen voor het grootbedrijf, maar ook voor het mkb in de toeleveringsketen. Deze sector levert dus een belangrijke bijdrage aan de Nederlandse economie en daarmee aan onze zorg, veiligheid, onderwijs, sociale voorzieningen en vele andere belangrijke overheidstaken. Daarbij vergroot een succesvolle microchipsector onze strategische autonomie in de wereld.
De voorgenomen investeringsbeslissing van ASML gaat over een nieuwe fabriek in Eindhoven en mede hierdoor zal de werkgelegenheid van de microchipsector in de Brainportregio alleen maar verder toenemen (die is nu al zo’n 70% van de in totaal ruim 50.000 werknemers). Nabijheid van onderwijs- en kennisinstellingen is de bepalende succesfactor om deze groei te kunnen accommoderen en de daaruit voortvloeide welvaart voor Nederland te behouden. Te weinig beschikbaar talent in de regio waar zij gevestigd zijn kan leiden tot een heroverweging van investeringen in Nederland. Gezien het nationale belang van deze uitbreiding, is het kabinet van mening dat de vraag vanuit de sector leidend moet zijn in de verdeling van de middelen.
Het resterende budget van € 14 miljoen wordt op drie manieren ingevuld: intensivering/bijstelling van de reservering op basis van geactualiseerde plannen, investeringen in andere regio’s en/of landelijke activiteiten. Ook hier geldt dat de inhoudelijke, industrie gedreven opgave de basis vormt voor invulling van het resterende budget.

Vraag 13

Bent u bereid om daar actief industriepolitiek beleid voor te ontwikkelen, bijvoorbeeld door naast de infrastructurele investeringen in de Brainportregio, ook te investeren in infrastructuur in Twente, Arnhem/Nijmegen, Groningen, Almere, en Limburg?

Er is bestaand beleid om infrastructurele investeringsbeslissingen te kunnen nemen. Besluitvorming hierover vindt plaats in het bestuurlijk overleg Meerjarenprogramma Infrastructuur, Ruimte en Transport (BO-MIRT). In dit bestuurlijk overleg worden op regionaal niveau beslissingen genomen door Rijk en regio op het gebied van de ontsluiting van woningen, economische toplocaties, weginfrastructuur en ook nieuwe OV-verbindingen. De Minister van Infrastructuur en Waterstaat neemt hierin het voortouw, en verschillende andere relevante Ministers nemen ook deel aan deze overleggen.
Bedrijfsactiviteiten verplaatsen of uitbreiden naar een andere regio dan waar bedrijven nu gevestigd zijn, is over het algemeen onwenselijk voor bedrijven en laat zich bovendien lastig sturen door de overheid. Het scheppen van de juiste condities om economische ecosystemen te ontwikkelen duurt decennia. Daar is gezien de scope en timing van dit plan geen tijd voor.

Vraag 14

Deelt u de mening dat deze regio’s het voordeel hebben dat er meer ruimte is voor woningbouw en dat zorg en onderwijsvoorzieningen in deze regio’s minder onder druk staan dan in de Brainportregio?

De druk op de woningbouw, zorg en onderwijsvoorzieningen is afhankelijk van de hoeveelheid mensen en de nieuwe bedrijvigheid in een bepaalde regio. In de Brainportregio komen er naar verwachting tot en met 2030 26.000 nieuwe banen bij in de microchipindustrie. Het kabinet erkent dat dit tot een toenemende druk op de huisvesting in de regio leidt. Daarom zijn er in het bredere convenant «Rijk en regio investeringen in ondernemersklimaat microchipsector» maatregelen genomen om de woningbouw in de Brainportregio te versnellen. De groei van de microchipsector zal in absolute aantallen de komende jaren voornamelijk in de Brainportregio plaatsvinden. Vanuit het bedrijfsleven worden nabijheidsfactoren van bijvoorbeeld de aanleverende industrie, huidige eigen vestigingen en talent als zeer belangrijke reden genoemd voor hun investeringsbeslissingen, wat ertoe leidt dat deze groei niet zomaar kan worden doorgeleid naar een andere regio met minder druk op de voorzieningen. Wel zal de groei in de bredere zone rond Eindhoven geaccommodeerd moeten worden, wat er bijvoorbeeld toe leidt dat de Brainportregio kijkt naar mogelijkheden voor de woningbouw in aangrenzende regio's.

Vraag 15

Kunt u aangeven wat de afgesproken co-financieringsvoorwaarden zijn bij de investeringen, in welke regio’s die bedragen zullen worden besteed en waaraan?

In de Kamerbrief van 16 juli 20248 heeft het kabinet vermeld dat, om tot een daadwerkelijke toekenning van de regionale plannen te komen, een nadere uitwerking door betrokken regio’s nodig is. Er is nu een bedrag per regio gereserveerd. Op basis van de kwaliteit van de herijkte plannen die voor 29 september ingediend moeten worden, zullen bedragen aan de regio’s worden toegekend. Als de plannen (nog) niet van voldoende kwaliteit zijn, kan worden besloten dat de middelen (nog) niet worden toegekend. Pas op basis van de herijkte plannen zal duidelijk worden waaraan de middelen besteed gaan worden.
Hierop sluit de cofinancieringsvraag aan, waarbij het kabinet de volgende uitgangspunten hanteert:

Vraag 16

Bent u bereid om Twente, Groningen en Delft extra te ondersteunen op het gebeid van regionale strategievorming en de triple-helix manier van werken om zo een gelijk speelveld te creëren bij het uitwerken van plannen en hierbij te leren van de langjarige ervaring hiermee in de Brainport regio?

Het kabinet vindt het belangrijk een gelijk speelveld te hanteren. Bijvoorbeeld door een helder proces in te richten en door het hanteren van een openbaar analysekader bij de toetsing van de kwaliteit van de plannen. Daarnaast hecht het Kabinet eraan dat door Twente, Groningen, Delft en de Brainportregio wordt samengewerkt aan de vraag voor het opleiden van voldoende microchip talent.
Zoals benoemd in de regionale uitvraag is aan alle regio’s de kennis en expertise van Platform Talent voor Technologie (PTvT), die ruime ervaring hebben met het opbouwen van triple-helix samenwerkingsverbanden, beschikbaar gesteld. Ook binnen de monitoringsaanpak wordt ingezet op extra ondersteuning en lerend vermogen. Er vindt onderlinge intervisie plaats (via peer-reviews) en partijen worden uitgedaagd om optimaal van elkaars kennis, kunde en ervaring te leren. De bereidheid om te leren, bij te sturen en door te ontwikkelen door zowel de regio’s als de overheid staat centraal.

Vraag 17

Kunt u deze vragen afzonderlijk en binnen drie weken beantwoorden?

Ja, de vragen zijn afzonderlijk beantwoord. Gezien de benodigde interdepartementale afstemming hebben we uw vragen zo snel als mogelijk beantwoord.