Vraag 1

Bent u bekend met het jaarrapport van de Internet Watch Foundation (IWF)?1

Ja.

Vraag 2

Deelt u de conclusie van de IWF dat 71% van de wereldwijde kinderpornografische afbeeldingen in Nederland worden gehost? Zo ja, hoe komt het dat dit percentage zo sterk is gestegen het afgelopen jaar?

Nee, IWF concludeert dat 71% van het door hun gevonden kinderpornografisch materiaal wordt gehost in Nederland. Dit percentage wordt beïnvloed door meldingen die ze van burgers ontvangen, eigen zoekgedrag en (instellingen van) crawlers. De cijfers kunnen niet één op één worden door vertaald naar een mondiaal beeld.
De cijfers van IWF geven een slecht en zorgelijk beeld van Nederland op het gebied van het hosten van kinderpornografisch materiaal. Ik deel het beeld dat Nederland geen klein land is wat betreft de hosting van kinderpornografische afbeeldingen. Eén van de redenen is onze grote en aantrekkelijke hostingmarkt, met het snelle internetnetwerk, de aanwezigheid van internetknooppunten en een relatief lage prijsstelling. Het Ministerie van Justitie en Veiligheid, het Expertisebureau Online kinderporno (EOKM), de hosting sector en andere partijen werken in publiek-privaat verband samen om de hosting van kinderpornografische afbeeldingen in Nederland te verminderen.

Vraag 3

In hoeverre werkt Nederland samen met de IWF bij het tegengaan van hosten van kinderporno?

Het IWF is de Britse tegenhanger van het Nederlandse Meldpunt Kinderporno van het Expertisecentrum Online Kindermisbruik (EOKM). Beiden zijn aangesloten bij koepelorganisatie INHOPE, dat meldpunten wereldwijd onderling verbindt. Het Ministerie van Justitie en Veiligheid heeft ambtelijk contact gehad met managers van IWF om, onder andere, meer achtergrondinformatie te verkrijgen bij de aantallen die IWF jaarlijks publiceert en bij haar werkwijze. Verder werkt het Ministerie van JenV nauw samen met het EOKM, dat hiervoor ook wordt gesubsidieerd. Onderdeel van de uitvoerende taken van het EOKM is de samenwerking met buitenlandse meldpunten, via INHOPE en rechtstreeks. Het gaat dan niet alleen om het doorgeven van meldingen voor verwijderverzoeken, maar ook om ontwikkelingen, instrumenten en het uitwisselen van best practices.

Vraag 4

Welke maatregelen heeft u getroffen om de identiteit van de makers van deze abeeldingen te achterhalen, alsmede het land van herkomst?

Meldingen waarvan het IWF ziet dat ze in Nederland worden gehost, worden doorgezet naar het Nederlandse Meldpunt Kinderporno (onderdeel van het Expertisecentrum Online Seksueel Kindermisbruik). Daarnaast ontvangt het Meldpunt meldingen van vele andere organisaties, bedrijven en burgers. Het Meldpunt beoordeelt of de content daadwerkelijk kinderporno is of niet. Wanneer het kinderporno betreft wordt vervolgens bepaald of het om oud of nieuw kinderpornografisch materiaal gaat.
Bij nieuw materiaal geeft het Meldpunt dat direct door aan de politie. Achter nieuw materiaal kan een situatie van actueel seksueel kindermisbruik schuilgaan en is een strafrechtelijk onderzoek naar de identiteit van makers en slachtoffers geboden. Het Openbaar Ministerie bepaalt of opsporing en vervolging opportuun is. Het opsporen van misbruikers en vervaardigers van seksueel beeldmateriaal en het uit de misbruik situatie ontzetten van slachtoffers heeft prioriteit. Dit is tevens neergelegd in de in de Veiligheidsagenda gemaakte afspraken over de aanpak van online seksueel misbruik.
De maatregelen waar u naar vraagt worden binnen dit strafrechtelijke kader ingezet. Denk hierbij aan specialistisch recherchewerk van de Teams ter Bestrijding van Kinderporno en Kindersekstoerisme gericht op de identificatie en lokalisatie van slachtoffers en verdachten. Over de prestaties van politie en Openbaar Ministerie heb ik u op 30 april jl. een brief gestuurd.2
Wanneer het Meldpunt oud kinderpornografisch materiaal aantreft, zet het een Notice and Takedown procedure in gang om dit te verwijderen van Internet. Bedrijven achter websites of hosters krijgen daartoe een verwijderverzoek.
Het hier beschreven proces zorgt ervoor dat meldingen op de goede plaats terecht komen, zodat de opvolging in de juiste volgorde kan plaatsvinden: opsporen én schonen. De samenwerking tussen Meldpunt en politie verloopt goed.

Vraag 5

Vindt er reeds overleg plaats in EU-verband om gezamenlijk op te treden tegen webhosters die onvoldoende doen om kinderporno te verwijderen? Zo nee, bent u bereid afspraken te maken met EU-collega’s om dit aan te pakken?

In EU-verband vindt er regelmatig gezamenlijk overleg plaats in de strijd tegen online seksueel kindermisbruik.
Op 8 oktober 2019 zijn Raadsconclusies aangenomen die expliciet aandacht hebben voor de aanpak van online seksueel kindermisbruik. Het voorzitterschap geeft navolging aan de Raadsconclusies door de nationale prioriteiten en de prioriteiten binnen de EU te identificeren. Het voorzitterschap zal de Commissie verzoeken een actieplan op EU-niveau op te stellen ter ondersteuning van de lidstaten bij de uitvoering van de Raadsconclusies op nationaal niveau. De strijd tegen online seksueel kindermisbruik is een internationale uitdaging, waarbij samenwerking tussen landen noodzakelijk is. Nederland ondersteunt daarom de oproep aan lidstaten om verder in te zetten op het verstevigen van de internationale samenwerking in het kader van de bestrijding van online seksueel kindermisbruik.
Nederland levert input aan de hand van de uitgangspunten van mijn nationale programma aanpak kinderporno. Nederland pleit ervoor dat elke lidstaat een nationaal Meldpunt opricht die notificaties van online seksueel kindermisbruik naar bedrijven stuurt met het verzoek om verwijdering van het materiaal. Na het versturen van een notificatie naar een bedrijf moet worden gecontroleerd of de inhoud al dan niet binnen een korte termijn wordt verwijderd. Daarom pleit Nederland voor het gebruik van een monitor. Een monitor kan de notificatie volgen om te controleren of de bedrijven het materiaal wel of niet actief verwijderen of niet op tijd verwijderen. Het inzicht van een monitor dwingt tot een dialoog met het bedrijfsleven over overheidsactiviteiten.
Op 9 juni jl. heb ik deelgenomen aan een webinar van het Europees parlement over de bestrijding van seksueel kindermisbruik. In mijn toespraak heb ik de Nederlandse publiek-private samenwerking voor een schoon en veilig internet toegelicht en heb ik het belang benadrukt om onze krachten in de EU te bundelen in de strijd tegen online seksueel kindermisbruik.

Vraag 6

Deelt u de opvatting dat bedrijven die willens en wetens onvoldoende investeren in maatregelen om systematisch te controleren of zij onbedoeld digitale ruimte verhuren waar zich kinderporno bevindt daarvan de gevolgen moeten ondervinden?

Ja, ik vind dat er consequenties moeten zijn voor de niet-meewerkende of lakse bedrijven. Van alle bedrijven verwacht ik dat ze kinderporno, na een melding daarover, direct van hun servers verwijderen. Slordig of niet reageren mag geen optie meer zijn. Tegen bedrijven die (ongewild) kinderporno op hun servers hebben staan en nalaten dit accuraat te verwijderen, wil ik in de toekomst middels een bestuursrechtelijk instrumentarium gaan optreden. Dit moet ervoor zorgen dat de hosters die niet meedoen aan de zelfregulering, gedwongen worden om kinderpornografisch materiaal alsnog tijdig te verwijderen. Een wetgevingstraject voor bestuursrechtelijke handhaving heb ik daarvoor in voorbereiding genomen.3 Daarnaast moeten hosters ook maatregelen gaan implementeren om het hosten van kinderpornografisch materiaal waar mogelijk te voorkomen.

Vraag 7

Bent u bereid voor de zomer de namen bekend te maken van webhosters die niet of onvoldoende doen tegen het weren van kinderporno? Zo nee, waarom niet?

Nee, de bekendmaking van de namen van webhosters zal naar verwachting snel na de zomer plaatsvinden. De monitor van de TU Delft zal de aankomende maanden verder worden uitgebreid om te kunnen meten hoe lang hosters na het ontvangen van een melding van het EOKM erover doen om content te verwijderen. Wanneer de TU Delft haar complete meting in een rapport heeft opgeleverd, ben ik voornemens deze aan de Tweede Kamer te zenden en daarmee namen en prestaties van bedrijven transparant te maken.

Vraag 8

Kunt u bij het aanschrijven van deze webhosters concrete eisen stellen en sancties benoemen wanneer zij niet aantonen alles te doen om webhosting van kinderporno tegen te gaan?

Bij het aanschrijven van de webhosters worden bedrijven aangesproken op hun verantwoordelijkheid voor een schoon internet vrij van kinderporno. Hierbij worden voorbeelden van maatregelen aangedragen om kinderporno op hun servers tegen te gaan. Als voorbeeld van een preventieve maatregel wordt verwezen naar de ontwikkelde HashCheckService. Voor repressieve maatregelen wordt verwezen naar de «Gedragscode Notice and Takedown» die door de hostersbranche is opgesteld. Daarin staat opgenomen dat deelnemers zich moeten houden aan de 24-uursnorm om kinderpornografisch materiaal te verwijderen nadat zij een melding van hebben ontvangen.
In de brief wordt benadrukt dat de metingen van de monitor blijven plaatsvinden en verder wordt uitgebouwd. De TU Delft gaat de monitor uitbreiden met het inzichtelijk maken hoe vaak hostingproviders de genoemde 24-uurs-verwijderingsnorm halen. Deze resultaten gaan op termijn ook meewegen in de ranglijst. Daarnaast wordt vermeld dat de rapportage van de TU Delft in de toekomst aan de Tweede Kamer worden aangeboden. Daarmee worden namen en prestaties van bedrijven in het kader van de bestrijding van kinderpornografisch materiaal openbaar.

Vraag 9

Welke bestuursrechtelijke bevoegdheden en sancties gebruikt u op dit moment om deze webhosters aan te pakken?

Zie antwoord vraag 10.

Vraag 10

Bent u bereid de aangekondigde «notice and takedown» procedure voor de zomer in te voeren zodat bestuurlijke boetes en dwangsommen nog dit jaar kunnen worden opgelegd? Zo nee, waarom niet?

Er zijn op dit moment geen bestuursrechtelijke bevoegdheden specifiek gericht op webhosters die online kinderpornografisch materiaal hebben opgeslagen. In mijn brief van 3 juli 2019 heb ik de contouren geschetst van een bestuursrechtelijke aanpak van online seksueel kindermisbruik.4 Het in die brief aangekondigde wetsvoorstel schept een bestuursrechtelijk instrumentarium, specifiek gericht op de aanpak van online kinderpornografisch materiaal. Een dergelijk omvangrijk wetstraject verdient een zorgvuldige uitwerking en voorbereiding. Het is daarom niet mogelijk dit wetsvoorstel nog voor de zomer in werking te laten treden.

Vraag 11

Welke civielrechtelijke mogelijkheden zijn er om deze webhosters aan te pakken?

En zijn geen civielrechtelijke mogelijkheden specifiek gericht op het aanpakken van webhosters. Slachtoffers kunnen (groepsgewijs) een civielrechtelijke zaak aanspannen, maar of dit kansrijk is is van veel aspecten afhankelijk. In de aanpak van deze webhosters gaat mijn voorkeur uit naar een combinatie van zelfregulering, bestuursrechtelijke handhaving en, als sluitstuk, een strafrechtelijke aanpak. Het is de rol van de overheid om online seksueel kindermisbruik aan te pakken, in alle facetten waar dit speelt, op een actieve manier. Hier ligt een maatschappelijke verantwoordelijkheid. Het is simpelweg niet passend om de bestrijding van online seksueel kindermisbruik te laten afhangen van slachtoffers die al genoeg te verduren hebben en hebben gehad.

Vraag 12

Kan de monitor die is ontwikkeld door de TU Delft met urgentie worden doorontwikkeld en verder worden geïmplementeerd?

Zoals ik in de Kamerbrief van 30 april jl. heb aangegeven zijn de eerste resultaten van de monitor van de TU Delft bekend. De hostingbedrijven die in deze rapportage van de TU Delft voorkomen zijn in mei hiervan op de hoogte gesteld. Na deze eerste ronde is het voornemen om de periodieke rapportages van TU Delft monitor met daarin een ranking en presentaties van bedrijven openbaar te maken. De implementatie van de monitor is dan compleet.
De TU Delft is druk bezig met het door ontwikkelen van de monitor. Het gaat hierbij om het automatiseren van de monitor, waardoor de monitor in gebruiksgemak vooruit gaat en het kunnen meten van de uptime. De werkzaamheden van de TU Delft zijn in volle gang.

Vraag 13

Welke instrumenten worden gebruikt om de effectiviteit van de monitor te meten?

De effectiviteit van de monitor in de strijd tegen kinderporno wordt gemeten aan de hand van het totaal aantal meldingen door het Meldpunt kinderporno en het aantal meldingen per hosters. Als er een duidelijke daling is van het aantal meldingen van kinderporno dan zou de monitor effectief kunnen worden genoemd.
Dit effect zal echter pas op de langere termijn zichtbaar worden. De TU Delft monitor is één van meerdere maatregelen. Het is daarom niet mogelijk om een tendens in het aantal meldingen van kinderporno toe te schrijven aan de effectiviteit van enkel de monitor. De gewenste effectiviteit van de monitor op korte termijn is dat bedrijven zich actief gaan inzetten om kinderpornografisch materiaal op hun servers te voorkomen en actief te verwijderen.

Vraag 1

Kunt u aangeven wanneer u van plan bent de goedkeuringsprocedure conform het defensiebeveiligingsbeleid voor de IT-systemen van de balie en de self-service op orde te hebben? Deelt u de mening dat het belangrijk is dit op korte termijn op orde te hebben en hierbij tenminste een duidelijke streefdatum en planning te hebben om naartoe te werken?

Voor zowel het IT systeem van de balie als de self-serviceportal geldt dat de goedkeuringsprocedure inmiddels loopt. De betrokken partijen hebben (gezamenlijk) de aanvullende beveiligingsmaatregelen geïdentificeerd die noodzakelijk zijn voor een (hernieuwde) goedkeuring en implementeren die momenteel. De aansluiting van het selfservicesysteem op het Security Operations Center (SOC) van Schiphol is onderdeel van de maatregelen die worden getroffen in het kader van de goedkeuringsprocedure en geschiedt bij de beslissing tot overdracht van het self-servicesysteem aan Schiphol (zie ook het antwoord op vraag 8). De volledige implementatie van de maatregelen is voorzien eind 2020, waarna de goedkeuringsprocedure kan worden afgerond.

Vraag 2

Bent u het met de Algemene Rekenkamer eens dat alle kritieke systemen van Defensie eigenlijk jaarlijks een beveiligingstest moeten doorlopen, gezien de snelle veranderingen van digitale dreigingen? Indien hiervoor de middelen ontbreken, kunt u dan aangeven welke middelen er nodig zijn om binnen afzienbare tijd wel dergelijke testen jaarlijks uit te voeren?

In het cyberdomein ontstaan voortdurend nieuwe kwetsbaarheden, dreigingen en aanvalsscenario’s. Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen. Reguliere beveiligingstesten zijn dus niet het enige middel om de weerbaarheid van de IT-systemen te waarborgen. Zoals ook aangegeven in de reactie op het rapport van de Algemene Rekenkamer beschikt Defensie momenteel niet over de personele capaciteit om de frequentie te verhogen. Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar.

Vraag 3

Kunt u aangeven per wanneer het self-servicesysteem is aangesloten op de detectiecapaciteit van het Security Operations Center van Schiphol?

Zie antwoord vraag 1.

Vraag 4

Kunt u ook aangeven per wanneer het baliesysteem en het systeem voor pre-assesment zijn aangesloten op het Security Operations Center van Defensie?

Processen en systemen die essentieel zijn voor het kunnen inzetten van militaire eenheden, worden aangemerkt als kritiek. In verband met veiligheidsoverwegingen kan ik hier ze niet allemaal noemen.
Nog niet alle kritieke systemen zijn aangesloten op het SOC. Bij het aansluiten van systemen op het SOC geeft Defensie voorrang aan de IT-systemen die voor de krijgsmacht de hoogste prioriteit hebben. Na een zorgvuldige risicoanalyse is voorrang gegeven aan de laag gerubriceerde infrastructuur, de defensiebrede P&O-, financiële en logistieke applicaties en de Hoog Gerubriceerde systemen. Het systeem dat wordt gebruikt bij het pre-assessment, wordt volgens planning in 2021 aangesloten.
Het baliesysteem staat niet op de lijst van kritieke systemen en is daarom voorlopig nog niet in de planning opgenomen. Voor zowel het systeem van het pre-assessment als het systeem in de balie geldt dat zij draaien op de laag gerubriceerde infrastructuur waarop reeds wordt gemonitord. Hiermee ondervangt Defensie reeds een groot gedeelte van de risico’s bij deze systemen.

Vraag 5

Kunt u aangeven wat de 14 kritieke ICT-systemen van Defensie zijn? Kunt u tevens aangeven of deze allemaal zijn aangesloten op het Security Operations Center?

Zie antwoord vraag 4.

Vraag 6

Wanneer kunt u de Kamer informeren over de uitkomst van het overleg met ketenpartners om te oefenen op crisisbeheersing als gevolg van een cyberaanval op Schiphol? Deelt u de mening dat een dergelijke oefening binnen afzienbare tijd gehouden dient te worden en daarna ook periodiek herhaald dient te worden?

Inmiddels vinden gesprekken plaats over hoe een zinvolle oefening kan worden ingevuld. Daarbij wordt ook bekeken in hoeverre aansluiting bij bestaande oefeningen zoals ISIDOOR en gebruikmaking van documenten zoals het Nationaal Crisisplan Digitaal mogelijk is. Uw Kamer wordt hierover dit jaar geïnformeerd. Leerpunten uit oefeningen worden meegenomen in de actualisatie van richtlijnen over de omgang met bepaalde scenario’s. Deze oefeningen dienen inderdaad periodiek herhaald te worden.

Vraag 7

Kunt u in samenhang met de oefening ook richtlijnen opstellen over de omgang met voorstelbare scenario’s, zoals de besmetting van systemen met «ransomware»?

Zie antwoord vraag 6.

Vraag 8

Herkent u het door de Algemene Rekenkamer geschetste probleem van tegengestelde belangen, waarbij Defensie meer oog heeft voor veiligheid en Schiphol systemen snel wil implementeren om zo de doorstroming van passagiers te versnellen? Welke waarborgen gaat u inbouwen rond de overdracht van het self-service systeem aan Schiphol? Kunt u de Kamer over deze waarborgen informeren voordat overdracht plaatsvindt?

Voor zowel Schiphol als de ministeries van Defensie en Justitie en Veiligheid heeft veiligheid bij het grenstoezicht de hoogste prioriteit. Schiphol en de betrokken ministeries werken nauw samen om de veiligheid te verzekeren. Alvorens te besluiten tot overdracht van het eigenaarschap van het selfservicesysteem aan Schiphol wordt bekeken hoe de veiligheid het effectiefst kan worden gewaarborgd. Dit sluit aan op het goedkeuringsproces volgens het Defensieveiligheidsbeleid. Het voltooien van het goedkeuringsproces en het blijvend voldoen aan de functionele en beveiligingseisen vanuit het Ministerie van Defensie zijn voorwaarden voor een overdracht van het systeem aan Schiphol. Het kabinet zal de Kamer nader informeren over het voorgenomen besluit en de voorwaarden waaronder dit gebeurt voordat overdracht plaatsvindt.

Vraag 1

Hebt u kennisgenomen van het rapport van de Algemene Rekenkamer van 20 april 2020 «Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol»?1

Ja.

Vraag 2

Kunt u een korte schets geven van de drie IT-systemen die onderwerp van onderzoek van de Algemene Rekenkamer waren? Kunt u daarbij aangeven met wat voor soort informatie, op welke wijze en door wie deze IT-systemen gevoed worden, maar ook wat voor soort informatie en ten behoeve van wie deze IT-systemen data opleveren? Wilt u bij de beantwoording van deze vraag ook duiden onder welk privacyregime (Algemene verordening gegevensbescherming (AVG) of Wet politiegegevens (Wpg)) deze gegevens verwerkt worden?

De Algemene Rekenkamer heeft onderzoek gedaan naar drie systemen.
Ten eerste het systeem voor pre-assessment van personen op vluchten van buiten het Schengengebied. Persoonsgegevens van de passagiers en bemanningsleden worden door luchtvaartmaatschappijen aangeleverd en in het systeem vergeleken met politieregisters en profielen. Als het systeem aangeeft dat sprake is van een positieve vergelijking, wordt deze handmatig gevalideerd. De gegevensverwerkingen van passagiers binnen dit systeem vallen in beginsel onder de AVG. Bij een verdenking van een strafbaar feit, komen diens persoonsgegevens te vallen onder de Wpg. De gegevens uit de politieregisters vallen standaard onder de Wpg.
Ten tweede het systeem voor controle van reisdocumenten. Dit systeem wordt in de manuele balies gebruikt en daarbij worden de politieregisters geautomatiseerd geraadpleegd. Met een sensor worden uit het reisdocument van de reiziger persoonsgegevens verzameld. Naam, geboortedatum en documentnummer worden vervolgens door het systeem getoetst aan de politieregisters. Daarnaast vindt een echtheidscontrole van het reisdocument plaats, waarbij het systeem de handmatige controle door de KMar-medewerker ondersteunt door ook (bij de meeste, modernere reisdocumenten) de elektronische chip van het document te controleren. De gegevens vallen in beginsel onder de AVG, totdat een verdenking van een strafbaar feit ontstaat of wordt geconstateerd. Dan is de Wpg van toepassing. De gegevens uit de politieregisters vallen standaard onder de Wpg.
Ten derde het selfservicesysteem voor grenscontroles in de e-gates van Schiphol. Hiermee worden grenscontroles automatisch uitgevoerd in plaats van handmatig. Het systeem kan niet automatisch een negatieve beslissing nemen. Het systeem beslist positief of verwijst door naar de grenswachters van de KMar. In dit systeem is sprake van verwerking van nagenoeg dezelfde persoonsgegevens als bij de echtheidscontrole. Tevens wordt een live foto van de reiziger geverifieerd met de foto in het aangeboden paspoort. Het systeem kent een automatische koppeling met dezelfde politieregisters als de andere systemen. Ook hier is de AVG van toepassing op de verwerkingen van persoonsgegevens, met uitzondering van de gegevens uit de politieregisters en de gevallen waarin uit die registers een hit volgt.

Vraag 3

Kunt u aangeven wie eigenaar is van de data die worden verzameld via de IT-systemen die gebruikt worden voor grenstoezicht? Is dat in het geval van het selfservicesysteem de eigenaar, te weten Schiphol N.V.? Wat is in dat verband de reden dat het eigenaarschap van het selfservicesysteem wordt overgedragen aan Schiphol N.V.?

Voor verwerkingen in het kader van de uitoefening van de publiekrechtelijke taak van de Koninklijke Marechaussee is de Minister van Defensie de verwerkingsverantwoordelijke, zoals bepaald in artikel 4 lid 7 AVG. Dit geldt ook voor de persoonsgegevens verwerkt in de systemen voor grenstoezicht. In de Regeling AVG Defensie (art 1.3) is de Commandant van de Koninklijke Marechaussee aangewezen als AVG-beheerder; de AVG-beheerder is het diensthoofd dat namens de Minister belast is met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel.
Het Ministerie van Justitie en Veiligheid is momenteel eigenaar van het selfservicesysteem. In het najaar van 2020 is besluitvorming voorzien of het eigenaarschap van de selfservicesysteem wordt overgedragen. Zoals aangegeven in de beantwoording van vragen van de leden Bosman en Yeşilgöz-Zegerius, wordt de Tweede Kamer geïnformeerd over de redenen en de voorwaarden voor de veiligheid waaronder dit gebeurt indien besloten wordt tot overdracht van het eigenaarschap aan Schiphol. Ook indien het eigenaarschap van het selfservicesysteem wordt overgedragen, blijft de verwerkingsverantwoordelijkheid van de data overigens bij de Minister van Defensie. Ook verandert een overdracht niets aan de bestaande wettelijke verantwoordelijkheden inzake de uitvoering van het grenstoezicht.

Vraag 4

Acht u het wenselijk dat er geen wettelijke beperkingen gelden voor het overdragen van IT-eigenaarschap bij vitale overheidstaken, zoals grenstoezicht, aan partijen met commerciële belangen?

Zo’n 80% van de Nederlandse vitale processen is in handen van private partijen. In het algemeen geldt dat vitale aanbieders verantwoordelijk zijn voor de continuïteit en weerbaarheid van vitale processen. Daarbij hoort het verkrijgen van inzicht in dreigingen, kwetsbaarheden en risico’s en het ontwikkelen en onderhouden van capaciteiten waarmee de weerbaarheid van vitale processen wordt verhoogd en geborgd.2 Ook bij het overdragen van eigenaarschap is het de verantwoordelijkheid van de vitale aanbieder om de risico’s voor de nationale veiligheid in kaart te brengen en te mitigeren. Door middel van toezicht wordt gecontroleerd of vitale aanbieders hiertoe de juiste maatregelen nemen.
Het kabinet is waakzaam op de aantasting van continuïteit van dienstverlening van vitale diensten en processen. De Minister van Justitie en Veiligheid heeft uw Kamer reeds geïnformeerd over de aanvullende maatregelen die het kabinet hiertoe neemt, zoals maatregelen ter bescherming van nationale veiligheid bij inkoop en aanbesteding en bij overnames en investeringen.3 Daarnaast bekijkt het kabinet hoe huidige wet- en regelgeving ter bescherming van nationale veiligheidsrisico’s bij private ondernemingen beter benut en aangescherpt kan worden.4

Vraag 5

Op welke wijze is het proces van implementatie van het nieuwe selfservicesysteem ingericht zodat er voldoende waarborgen bestaan dat commerciële belangen niet zomaar de overhand krijgen boven de veiligheid van een dergelijk systeem?

Zie antwoord vraag 3.

Vraag 6

Welke gegevensverwerking is toegestaan ten aanzien van de verzamelde gegevens via het grenstoezicht? Mogen verzamelde gegevens ook privaat en/of commercieel gebruikt worden?

De via het grenstoezicht verkregen persoonsgegevens worden onder de AVG slechts verwerkt ten behoeve van een deugdelijke uitvoering van het grenstoezicht. Wanneer bij grenstoezicht sprake is van een positieve vergelijking uit de politieregisters, kunnen politiegegevens onder de voorwaarden van de Wpg worden verstrekt aan de in die wet aangewezen (publiekrechtelijke) partijen. Commercieel en/of privaat gebruik van de persoonsgegevens is niet toegestaan.

Vraag 7

Worden passagiersgegevens (PNR-gegevens) gebruikt voor het uitvoeren van het grenstoezicht? Mogen deze gegevens verwerkt worden door partijen met een commercieel belang in het kader van het uitvoeren van grenstoezicht?

PNR-gegevens worden verwerkt door de Passagiersinformatie-eenheid Nederland (Pi-NL), ten behoeve van het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, op grond van de PNR-wet. De Pi-NL valt onder de verantwoordelijkheid van de Minister van Justitie en Veiligheid en is ondergebracht bij de Koninklijke Marechaussee. Pi-NL kan aan bevoegde instanties op hun verzoek PNR-gegevens verstrekken, niet aan commerciële partijen.
PNR-gegevens van luchtvaartpassagiers worden tevens gebruikt door de Douane ten behoeve van de controles in het kader van douanetoezicht op de door deze passagiers meegevoerde goederen, op grond van het Douanewetboek van de Unie en de Algemene Douanewet. De Douane valt onder de verantwoordelijkheid van het Ministerie van Financiën.

Vraag 8

Wie ziet er toe op de goedkeuringsprocedure voor het IT-systeem voor de selfservice op Schiphol? Wat is de reden dat het Defensiebeveiligingsbeleid niet is doorlopen bij de goedkeuringsprocedure?

Nadat twee keer een tijdelijke goedkeuring voor het selfservicesysteem is gegeven, is gekozen om in het vervolg slechts goedkeuring te geven wanneer de doorontwikkeling van de software gereed is. Dan kan een definitieve goedkeuring gegeven worden.
Deze doorontwikkeling duurt langer dan voorzien. De goedkeuringsprocedure voor het selfservicesysteem is echter reeds gestart. De ministeries van Defensie, Justitie en Veiligheid en Schiphol NV hebben gezamenlijk de te treffen maatregelen geïdentificeerd en werken momenteel aan de implementatie van deze maatregelen. Dit gebeurt conform het Defensieveiligheidsbeleid. Het streven is om alle voor goedkeuring noodzakelijke maatregelen dit jaar te implementeren. Momenteel houdt het Ministerie van Justitie en Veiligheid toezicht op het doorlopen van de goedkeuringsprocedure.
Conform de informatiebeveiligingsrichtlijnen van de rijksoverheid zijn verschillende maatregelen genomen ten behoeve van de veiligheid. Het gaat bijvoorbeeld om de fysieke beveiliging, maar ook het opzetten van een firewall. Er kunnen altijd kwetsbaarheden zijn die nog niet bekend zijn. Er worden echter continu verbeteringen doorgevoerd om de beveiliging te versterken.
Voor het systeem voor de pre-assessment, waar u ook om vraagt, is een goedkeuring voor ingebruikname afgegeven.

Vraag 9

Kunt u aangeven of van het selfservicesysteem en het IT-systeem voor de pre-assessment de veiligheid gegarandeerd kan worden nu niet de gehele goedkeuringsprocedure is doorlopen?

Zie antwoord vraag 8.

Vraag 10

Hoe kan het dat er tweemaal een tijdelijke goedkeuring is afgegeven voor het selfservicesysteem, waarvan de laatste in 2018 is afgegeven, waardoor er al twee jaar geen goedkeuring van het systeem is afgegeven?

Zie antwoord vraag 8.

Vraag 11

Welke kaders bestaan er ten aanzien van het gebruik van IT-systemen bij grenstoezicht indien deze niet (meer) zijn goedgekeurd? Hoe lang is een tijdelijke goedkeuring geldig?

Defensie hanteert voor haar systemen een goedkeuringsproces voor ingebruikname. Afhankelijk van de inschatting van de impact van eventuele gebreken, worden afspraken gemaakt over een verbetertraject. Bij een tijdelijke goedkeuring wordt een tijdstermijn afgesproken over de noodzakelijke verbeteringen waarna een terugkoppeling moet worden gegeven over de afwikkeling van deze verbeteringen. In principe wordt maximaal een jaar aan een dergelijke goedkeuring gegeven, waarna een herbeoordeling plaatsvindt.

Vraag 12

Waarom wordt er maar eens per drie jaar een beveiligingstest uitgevoerd op grote systemen? Acht u deze termijn wenselijk in de huidige tijd waar (cyber)beveiliging steeds wendbaarder moet worden om alle dreigingen het hoofd te bieden?

In het cyberdomein ontstaan voortdurend nieuwe kwetsbaarheden, dreigingen en aanvalsscenario’s. Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen. Reguliere beveiligingstesten zijn dus niet het enige middel om de weerbaarheid van de IT-systemen te waarborgen. Zoals aangegeven in de reactie op het rapport van de Algemene Rekenkamer beschikt Defensie momenteel niet over de personele capaciteit om de frequentie te verhogen. Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar.

Vraag 13

Is het staand beleid dat de IT-systemen van grenstoezicht niet aangesloten zullen worden op de detectiecapaciteit van het Security Intelligence Operations Center (SIOC)?

Essentiële processen en systemen voor het kunnen inzetten van militaire eenheden worden aangemerkt als kritiek. In verband met veiligheidsoverwegingen kan ik hier ze niet allemaal noemen.
Nog niet alle kritieke systemen zijn aangesloten op het SOC. Bij het aansluiten van systemen op het SOC geeft Defensie voorrang aan de IT-systemen die voor de krijgsmacht de hoogste prioriteit hebben. Na een zorgvuldige risicoanalyse is voorrang gegeven aan de laag gerubriceerde infrastructuur, de defensiebrede P&O-, financiële en logistieke applicaties en de Hoog Gerubriceerde systemen. Het systeem dat wordt gebruikt bij het pre-assessment, wordt volgens planning in 2021 aangesloten.
Het baliesysteem staat niet op de lijst van kritieke systemen en is daarom voorlopig nog niet in de planning opgenomen. Voor zowel het systeem van het pre-assessment als het systeem in de balie geldt dat zij draaien op de laag gerubriceerde infrastructuur waarop reeds wordt gemonitord. Hiermee ondervangt Defensie een groot gedeelte van de risico’s bij deze systemen.

Vraag 14

Volstaat het voor u dat het selfservicesysteem aangesloten zal worden op het Security Operations Center (SOC) van Schiphol N.V en niet op bijvoorbeeld het SIOC?

De ministeries van Defensie en Justitie en Veiligheid en Schiphol NV onderzoeken hoe de eis van veiligheidsmonitoring effectief ingevuld kan worden. De verwachting is dat het SOC van Schiphol NV voldoende waarborgen biedt.

Vraag 15

Welke kwetsbaarheden ziet u in de huidige systematiek waarbij grenstoezicht niet is aangesloten op het SIOC?

De systemen voor pre-assessment documentcontrole in de manuele balie zijn ingebed op de netwerkstructuur van Defensie. Dit netwerk is alleen toegankelijk voor geautoriseerde medewerkers van Defensie. Dat wordt door het SOC gemonitord. Daarnaast heeft alleen geautoriseerd grensbewakingspersoneel via de netwerkstructuur toegang tot de genoemde systemen. Daarmee zijn de risico’s op misbruik beperkt. Omdat de systemen zelf niet worden gemonitord, is het evenwel mogelijk dat een systeemincident niet direct gedetecteerd wordt. Daarom worden de kritieke systemen op het SOC aangesloten, waarbij wordt opgemerkt dat de schaarse aansluitcapaciteit bij het SOC initieel wordt ingezet om de belangrijkste kritieke systemen aan te sluiten.

Vraag 16

Kunt u inzichtelijk maken welke stappen er worden doorlopen op het moment dat gesignaleerd wordt door het Ministerie van Defensie en/of het SIOC dat er een digitale aanval op het grenstoezicht plaatsvindt?

Indien het SOC (onderdeel van het Defensie Cyber Security Centrum (DCSC)) een digitale aanval signaleert, start het DCSC het incident responseproces op. Daartoe beschikt het DCSC over een incidentcoördinator die met een team van cyberspecialisten het zogenaamde triageproces uitvoert. Tijdens de triage worden de aard en oorzaak van het incident geanalyseerd en de te nemen maatregelen vastgesteld. Daarvoor beschikt het DCSC ook over forensisch onderzoekscapaciteit. In nauw overleg met de lokale commandant en de lokale IT-beheerorganisatie worden de maatregelen uitgevoerd om de schade voor de eenheid zoveel mogelijk te voorkomen dan wel te beperken. Daarbij adviseert het DCSC de beheerorganisatie op welke wijze zij herhaling van het cyberincident kunnen voorkomen. In algemene zin geldt verder dat bij een mogelijk strafbaar feit de KMar wordt geïnformeerd en bij de betrokkenheid van een statelijke actor de MIVD wordt ingelicht. Als dat vanuit veiligheidsoverwegingen mogelijk is, worden ook andere organisaties (zoals het NCSC, NATO, EU) geïnformeerd over de cyberaanval.

Vraag 17

Zijn er evaluatierapporten uitgebracht door het Defensie Computer Emergency Response Team (DefCERT) ten aanzien van de cyberveiligheid van de IT-systemen voor het grenstoezicht op Schiphol? Kunt u de resultaten van gedane beveiligingstesten delen met de Kamer?

Het DefCERT (onderdeel van het Defensie Cyber Security Centrum (DCSC)) heeft op beide KMar-systemen een cybersecurityonderzoek uitgevoerd; op het baliesysteem in 2016 in opdracht van de KMar en op het pre-assessmentsysteem in 2019 op verzoek van de Algemene Rekenkamer. De onderzoeksresultaten van het baliesysteem zijn gerubriceerd en kunnen daarom niet gedeeld worden. De resultaten van het onderzoek naar het pre-assessmentsysteem door de Algemene Rekenkamer zijn tevens gerubriceerd. De bevindingen die zijn opgelost zijn opgenomen in het ARK-rapport. Verder is het DCSC op dit moment betrokken bij het cybersecurityonderzoek van het systeem waarmee automatische grenscontroles worden uitgevoerd in opdracht van het Ministerie van Justitie en Veiligheid. Dit onderzoek is nog niet afgerond.

Vraag 18

Bestaat er een risicoanalyse of een cybercriminaliteitsbeeldanalyse ten aanzien van vitale ICT-systemen op en rond Schiphol, in het bijzonder daar waar het gaat om veiligheid en grenstoezicht? In welke mate wordt er aan dit onderwerp aandacht besteed in het kader van Beveiliging en Publieke Veiligheid Schiphol (BPVS)? Wat zijn in BPVS-verband de meest recente ontwikkelingen op het vlak van cyberveiligheid, inclusief de preparatie op hack- en andere cyberdreigingen?

In BPVS-verband is op structurele basis aandacht voor het thema cybersecurity. Tussen de luchtvaartpartijen op en rond Schiphol en in verschillende samenwerkingsverbanden worden op reguliere basis actuele ontwikkelingen en trends gedeeld. Hierbij wordt specifiek aandacht besteed aan actuele dreigingsbeelden en het inzichtelijk maken van risico’s voor de luchtvaartsector. Ook toepasselijke nationale- en internationale cyber security wet- en regelgeving komen hier aan de orde. Gelet op de vertrouwelijkheid van de informatie kan ik inhoudelijk niet ingaan op de specifieke ontwikkelingen en concrete ondernomen acties rondom cyberveiligheid.

Vraag 1

Bent u ook van mening dat alleen social distancing onvoldoende is om verspreiding van het covid-19 virus te voorkomen en maatregelen af te schalen?

Vraag 2

Heeft u al alternatieven voor corona-apps bestudeerd? Zo ja, welke? Zo nee, waarom niet?

Vraag 3

Bent u ook van mening dat, zeker gezien de resultaten van de appathon en de mening van deskundigen hierover, nu al intensief gekeken moet worden naar alternatieve methoden om verspreiding van het virus te voorkomen? Zo nee, waarom niet? Zo ja, wat gaat u hiervoor de komende dagen precies doen?

Vraag 4

Bent u op de hoogte van het systeem van «contact tracing», zoals in Massachusetts in de Verenigde Staten is begonnen, waarbij geprobeerd wordt social distancing te verminderen en de economie weer op te starten, niet met behulp van digitale apps maar met getrainde contact tracers? Vindt u dit een goede aanpak voor Nederland? Zo nee, waarom niet?1

Vraag 5

Hoeveel getrainde personen zouden nodig zijn om tot een effectieve «tracking» en «tracing» in Nederland te komen?

Vraag 6

Hoe zouden deze personen geworven en getraind kunnen worden? Hoe snel kan dat, welke stappen zijn daarvoor noodzakelijk, wanneer kan hiermee worden gestart?

Vraag 7

Kunt u deze vragen vóór aanvang van het plenaire debat over de ontwikkelingen rondom het coronavirus van woensdag 22 april 2020 beantwoorden?

Vraag 1

Bent u bekend met het bericht «Cyberbeveiliger Fox-IT schorst drie directieleden»?1

Vraag 2

Kunt u nader ingaan op de situatie bij Fox-IT en de mogelijke gevolgen voor de dienstverlening aan de overheid op het gebied van cyberveiligheid en de versleuteling van staatsgeheimen?

Vraag 3

Deelt u de mening dat met name de cryptografische afdeling van Fox-IT van essentieel belang is voor de Nederlandse overheid?

Vraag 4

Ziet u risico’s in de ontstane situatie bij Fox-IT voor de doorgang van dergelijke cruciale diensten aan de overheid? Zo ja, welke stappen neemt u deze risico’s te ondervangen?

Vraag 1

Bent u bekend met het jaarrapport van de Internet Watch Foundation (IWF)?1

Ja.

Vraag 2

Deelt u de conclusie van de IWF dat 71% van de wereldwijde kinderpornografische afbeeldingen in Nederland worden gehost? Zo ja, hoe komt het dat dit percentage zo sterk is gestegen het afgelopen jaar?

Nee, IWF concludeert dat 71% van het door hun gevonden kinderpornografisch materiaal wordt gehost in Nederland. Dit percentage wordt beïnvloed door meldingen die ze van burgers ontvangen, eigen zoekgedrag en (instellingen van) crawlers. De cijfers kunnen niet één op één worden door vertaald naar een mondiaal beeld.
De cijfers van IWF geven een slecht en zorgelijk beeld van Nederland op het gebied van het hosten van kinderpornografisch materiaal. Ik deel het beeld dat Nederland geen klein land is wat betreft de hosting van kinderpornografische afbeeldingen. Eén van de redenen is onze grote en aantrekkelijke hostingmarkt, met het snelle internetnetwerk, de aanwezigheid van internetknooppunten en een relatief lage prijsstelling. Het Ministerie van Justitie en Veiligheid, het Expertisebureau Online kinderporno (EOKM), de hosting sector en andere partijen werken in publiek-privaat verband samen om de hosting van kinderpornografische afbeeldingen in Nederland te verminderen.

Vraag 3

In hoeverre werkt Nederland samen met de IWF bij het tegengaan van hosten van kinderporno?

Het IWF is de Britse tegenhanger van het Nederlandse Meldpunt Kinderporno van het Expertisecentrum Online Kindermisbruik (EOKM). Beiden zijn aangesloten bij koepelorganisatie INHOPE, dat meldpunten wereldwijd onderling verbindt. Het Ministerie van Justitie en Veiligheid heeft ambtelijk contact gehad met managers van IWF om, onder andere, meer achtergrondinformatie te verkrijgen bij de aantallen die IWF jaarlijks publiceert en bij haar werkwijze. Verder werkt het Ministerie van JenV nauw samen met het EOKM, dat hiervoor ook wordt gesubsidieerd. Onderdeel van de uitvoerende taken van het EOKM is de samenwerking met buitenlandse meldpunten, via INHOPE en rechtstreeks. Het gaat dan niet alleen om het doorgeven van meldingen voor verwijderverzoeken, maar ook om ontwikkelingen, instrumenten en het uitwisselen van best practices.

Vraag 4

Welke maatregelen heeft u getroffen om de identiteit van de makers van deze abeeldingen te achterhalen, alsmede het land van herkomst?

Meldingen waarvan het IWF ziet dat ze in Nederland worden gehost, worden doorgezet naar het Nederlandse Meldpunt Kinderporno (onderdeel van het Expertisecentrum Online Seksueel Kindermisbruik). Daarnaast ontvangt het Meldpunt meldingen van vele andere organisaties, bedrijven en burgers. Het Meldpunt beoordeelt of de content daadwerkelijk kinderporno is of niet. Wanneer het kinderporno betreft wordt vervolgens bepaald of het om oud of nieuw kinderpornografisch materiaal gaat.
Bij nieuw materiaal geeft het Meldpunt dat direct door aan de politie. Achter nieuw materiaal kan een situatie van actueel seksueel kindermisbruik schuilgaan en is een strafrechtelijk onderzoek naar de identiteit van makers en slachtoffers geboden. Het Openbaar Ministerie bepaalt of opsporing en vervolging opportuun is. Het opsporen van misbruikers en vervaardigers van seksueel beeldmateriaal en het uit de misbruik situatie ontzetten van slachtoffers heeft prioriteit. Dit is tevens neergelegd in de in de Veiligheidsagenda gemaakte afspraken over de aanpak van online seksueel misbruik.
De maatregelen waar u naar vraagt worden binnen dit strafrechtelijke kader ingezet. Denk hierbij aan specialistisch recherchewerk van de Teams ter Bestrijding van Kinderporno en Kindersekstoerisme gericht op de identificatie en lokalisatie van slachtoffers en verdachten. Over de prestaties van politie en Openbaar Ministerie heb ik u op 30 april jl. een brief gestuurd.2
Wanneer het Meldpunt oud kinderpornografisch materiaal aantreft, zet het een Notice and Takedown procedure in gang om dit te verwijderen van Internet. Bedrijven achter websites of hosters krijgen daartoe een verwijderverzoek.
Het hier beschreven proces zorgt ervoor dat meldingen op de goede plaats terecht komen, zodat de opvolging in de juiste volgorde kan plaatsvinden: opsporen én schonen. De samenwerking tussen Meldpunt en politie verloopt goed.

Vraag 5

Vindt er reeds overleg plaats in EU-verband om gezamenlijk op te treden tegen webhosters die onvoldoende doen om kinderporno te verwijderen? Zo nee, bent u bereid afspraken te maken met EU-collega’s om dit aan te pakken?

In EU-verband vindt er regelmatig gezamenlijk overleg plaats in de strijd tegen online seksueel kindermisbruik.
Op 8 oktober 2019 zijn Raadsconclusies aangenomen die expliciet aandacht hebben voor de aanpak van online seksueel kindermisbruik. Het voorzitterschap geeft navolging aan de Raadsconclusies door de nationale prioriteiten en de prioriteiten binnen de EU te identificeren. Het voorzitterschap zal de Commissie verzoeken een actieplan op EU-niveau op te stellen ter ondersteuning van de lidstaten bij de uitvoering van de Raadsconclusies op nationaal niveau. De strijd tegen online seksueel kindermisbruik is een internationale uitdaging, waarbij samenwerking tussen landen noodzakelijk is. Nederland ondersteunt daarom de oproep aan lidstaten om verder in te zetten op het verstevigen van de internationale samenwerking in het kader van de bestrijding van online seksueel kindermisbruik.
Nederland levert input aan de hand van de uitgangspunten van mijn nationale programma aanpak kinderporno. Nederland pleit ervoor dat elke lidstaat een nationaal Meldpunt opricht die notificaties van online seksueel kindermisbruik naar bedrijven stuurt met het verzoek om verwijdering van het materiaal. Na het versturen van een notificatie naar een bedrijf moet worden gecontroleerd of de inhoud al dan niet binnen een korte termijn wordt verwijderd. Daarom pleit Nederland voor het gebruik van een monitor. Een monitor kan de notificatie volgen om te controleren of de bedrijven het materiaal wel of niet actief verwijderen of niet op tijd verwijderen. Het inzicht van een monitor dwingt tot een dialoog met het bedrijfsleven over overheidsactiviteiten.
Op 9 juni jl. heb ik deelgenomen aan een webinar van het Europees parlement over de bestrijding van seksueel kindermisbruik. In mijn toespraak heb ik de Nederlandse publiek-private samenwerking voor een schoon en veilig internet toegelicht en heb ik het belang benadrukt om onze krachten in de EU te bundelen in de strijd tegen online seksueel kindermisbruik.

Vraag 6

Deelt u de opvatting dat bedrijven die willens en wetens onvoldoende investeren in maatregelen om systematisch te controleren of zij onbedoeld digitale ruimte verhuren waar zich kinderporno bevindt daarvan de gevolgen moeten ondervinden?

Ja, ik vind dat er consequenties moeten zijn voor de niet-meewerkende of lakse bedrijven. Van alle bedrijven verwacht ik dat ze kinderporno, na een melding daarover, direct van hun servers verwijderen. Slordig of niet reageren mag geen optie meer zijn. Tegen bedrijven die (ongewild) kinderporno op hun servers hebben staan en nalaten dit accuraat te verwijderen, wil ik in de toekomst middels een bestuursrechtelijk instrumentarium gaan optreden. Dit moet ervoor zorgen dat de hosters die niet meedoen aan de zelfregulering, gedwongen worden om kinderpornografisch materiaal alsnog tijdig te verwijderen. Een wetgevingstraject voor bestuursrechtelijke handhaving heb ik daarvoor in voorbereiding genomen.3 Daarnaast moeten hosters ook maatregelen gaan implementeren om het hosten van kinderpornografisch materiaal waar mogelijk te voorkomen.

Vraag 7

Bent u bereid voor de zomer de namen bekend te maken van webhosters die niet of onvoldoende doen tegen het weren van kinderporno? Zo nee, waarom niet?

Nee, de bekendmaking van de namen van webhosters zal naar verwachting snel na de zomer plaatsvinden. De monitor van de TU Delft zal de aankomende maanden verder worden uitgebreid om te kunnen meten hoe lang hosters na het ontvangen van een melding van het EOKM erover doen om content te verwijderen. Wanneer de TU Delft haar complete meting in een rapport heeft opgeleverd, ben ik voornemens deze aan de Tweede Kamer te zenden en daarmee namen en prestaties van bedrijven transparant te maken.

Vraag 8

Kunt u bij het aanschrijven van deze webhosters concrete eisen stellen en sancties benoemen wanneer zij niet aantonen alles te doen om webhosting van kinderporno tegen te gaan?

Bij het aanschrijven van de webhosters worden bedrijven aangesproken op hun verantwoordelijkheid voor een schoon internet vrij van kinderporno. Hierbij worden voorbeelden van maatregelen aangedragen om kinderporno op hun servers tegen te gaan. Als voorbeeld van een preventieve maatregel wordt verwezen naar de ontwikkelde HashCheckService. Voor repressieve maatregelen wordt verwezen naar de «Gedragscode Notice and Takedown» die door de hostersbranche is opgesteld. Daarin staat opgenomen dat deelnemers zich moeten houden aan de 24-uursnorm om kinderpornografisch materiaal te verwijderen nadat zij een melding van hebben ontvangen.
In de brief wordt benadrukt dat de metingen van de monitor blijven plaatsvinden en verder wordt uitgebouwd. De TU Delft gaat de monitor uitbreiden met het inzichtelijk maken hoe vaak hostingproviders de genoemde 24-uurs-verwijderingsnorm halen. Deze resultaten gaan op termijn ook meewegen in de ranglijst. Daarnaast wordt vermeld dat de rapportage van de TU Delft in de toekomst aan de Tweede Kamer worden aangeboden. Daarmee worden namen en prestaties van bedrijven in het kader van de bestrijding van kinderpornografisch materiaal openbaar.

Vraag 9

Welke bestuursrechtelijke bevoegdheden en sancties gebruikt u op dit moment om deze webhosters aan te pakken?

Zie antwoord vraag 10.

Vraag 10

Bent u bereid de aangekondigde «notice and takedown» procedure voor de zomer in te voeren zodat bestuurlijke boetes en dwangsommen nog dit jaar kunnen worden opgelegd? Zo nee, waarom niet?

Er zijn op dit moment geen bestuursrechtelijke bevoegdheden specifiek gericht op webhosters die online kinderpornografisch materiaal hebben opgeslagen. In mijn brief van 3 juli 2019 heb ik de contouren geschetst van een bestuursrechtelijke aanpak van online seksueel kindermisbruik.4 Het in die brief aangekondigde wetsvoorstel schept een bestuursrechtelijk instrumentarium, specifiek gericht op de aanpak van online kinderpornografisch materiaal. Een dergelijk omvangrijk wetstraject verdient een zorgvuldige uitwerking en voorbereiding. Het is daarom niet mogelijk dit wetsvoorstel nog voor de zomer in werking te laten treden.

Vraag 11

Welke civielrechtelijke mogelijkheden zijn er om deze webhosters aan te pakken?

En zijn geen civielrechtelijke mogelijkheden specifiek gericht op het aanpakken van webhosters. Slachtoffers kunnen (groepsgewijs) een civielrechtelijke zaak aanspannen, maar of dit kansrijk is is van veel aspecten afhankelijk. In de aanpak van deze webhosters gaat mijn voorkeur uit naar een combinatie van zelfregulering, bestuursrechtelijke handhaving en, als sluitstuk, een strafrechtelijke aanpak. Het is de rol van de overheid om online seksueel kindermisbruik aan te pakken, in alle facetten waar dit speelt, op een actieve manier. Hier ligt een maatschappelijke verantwoordelijkheid. Het is simpelweg niet passend om de bestrijding van online seksueel kindermisbruik te laten afhangen van slachtoffers die al genoeg te verduren hebben en hebben gehad.

Vraag 12

Kan de monitor die is ontwikkeld door de TU Delft met urgentie worden doorontwikkeld en verder worden geïmplementeerd?

Zoals ik in de Kamerbrief van 30 april jl. heb aangegeven zijn de eerste resultaten van de monitor van de TU Delft bekend. De hostingbedrijven die in deze rapportage van de TU Delft voorkomen zijn in mei hiervan op de hoogte gesteld. Na deze eerste ronde is het voornemen om de periodieke rapportages van TU Delft monitor met daarin een ranking en presentaties van bedrijven openbaar te maken. De implementatie van de monitor is dan compleet.
De TU Delft is druk bezig met het door ontwikkelen van de monitor. Het gaat hierbij om het automatiseren van de monitor, waardoor de monitor in gebruiksgemak vooruit gaat en het kunnen meten van de uptime. De werkzaamheden van de TU Delft zijn in volle gang.

Vraag 13

Welke instrumenten worden gebruikt om de effectiviteit van de monitor te meten?

De effectiviteit van de monitor in de strijd tegen kinderporno wordt gemeten aan de hand van het totaal aantal meldingen door het Meldpunt kinderporno en het aantal meldingen per hosters. Als er een duidelijke daling is van het aantal meldingen van kinderporno dan zou de monitor effectief kunnen worden genoemd.
Dit effect zal echter pas op de langere termijn zichtbaar worden. De TU Delft monitor is één van meerdere maatregelen. Het is daarom niet mogelijk om een tendens in het aantal meldingen van kinderporno toe te schrijven aan de effectiviteit van enkel de monitor. De gewenste effectiviteit van de monitor op korte termijn is dat bedrijven zich actief gaan inzetten om kinderpornografisch materiaal op hun servers te voorkomen en actief te verwijderen.

Vraag 1

Hebt u kennisgenomen van het rapport van de Algemene Rekenkamer van 20 april 2020 «Digitalisering aan de grens; Cybersecurity van het grenstoezicht door de Koninklijke Marechaussee op Schiphol»?1

Ja.

Vraag 2

Kunt u een korte schets geven van de drie IT-systemen die onderwerp van onderzoek van de Algemene Rekenkamer waren? Kunt u daarbij aangeven met wat voor soort informatie, op welke wijze en door wie deze IT-systemen gevoed worden, maar ook wat voor soort informatie en ten behoeve van wie deze IT-systemen data opleveren? Wilt u bij de beantwoording van deze vraag ook duiden onder welk privacyregime (Algemene verordening gegevensbescherming (AVG) of Wet politiegegevens (Wpg)) deze gegevens verwerkt worden?

De Algemene Rekenkamer heeft onderzoek gedaan naar drie systemen.
Ten eerste het systeem voor pre-assessment van personen op vluchten van buiten het Schengengebied. Persoonsgegevens van de passagiers en bemanningsleden worden door luchtvaartmaatschappijen aangeleverd en in het systeem vergeleken met politieregisters en profielen. Als het systeem aangeeft dat sprake is van een positieve vergelijking, wordt deze handmatig gevalideerd. De gegevensverwerkingen van passagiers binnen dit systeem vallen in beginsel onder de AVG. Bij een verdenking van een strafbaar feit, komen diens persoonsgegevens te vallen onder de Wpg. De gegevens uit de politieregisters vallen standaard onder de Wpg.
Ten tweede het systeem voor controle van reisdocumenten. Dit systeem wordt in de manuele balies gebruikt en daarbij worden de politieregisters geautomatiseerd geraadpleegd. Met een sensor worden uit het reisdocument van de reiziger persoonsgegevens verzameld. Naam, geboortedatum en documentnummer worden vervolgens door het systeem getoetst aan de politieregisters. Daarnaast vindt een echtheidscontrole van het reisdocument plaats, waarbij het systeem de handmatige controle door de KMar-medewerker ondersteunt door ook (bij de meeste, modernere reisdocumenten) de elektronische chip van het document te controleren. De gegevens vallen in beginsel onder de AVG, totdat een verdenking van een strafbaar feit ontstaat of wordt geconstateerd. Dan is de Wpg van toepassing. De gegevens uit de politieregisters vallen standaard onder de Wpg.
Ten derde het selfservicesysteem voor grenscontroles in de e-gates van Schiphol. Hiermee worden grenscontroles automatisch uitgevoerd in plaats van handmatig. Het systeem kan niet automatisch een negatieve beslissing nemen. Het systeem beslist positief of verwijst door naar de grenswachters van de KMar. In dit systeem is sprake van verwerking van nagenoeg dezelfde persoonsgegevens als bij de echtheidscontrole. Tevens wordt een live foto van de reiziger geverifieerd met de foto in het aangeboden paspoort. Het systeem kent een automatische koppeling met dezelfde politieregisters als de andere systemen. Ook hier is de AVG van toepassing op de verwerkingen van persoonsgegevens, met uitzondering van de gegevens uit de politieregisters en de gevallen waarin uit die registers een hit volgt.

Vraag 3

Kunt u aangeven wie eigenaar is van de data die worden verzameld via de IT-systemen die gebruikt worden voor grenstoezicht? Is dat in het geval van het selfservicesysteem de eigenaar, te weten Schiphol N.V.? Wat is in dat verband de reden dat het eigenaarschap van het selfservicesysteem wordt overgedragen aan Schiphol N.V.?

Voor verwerkingen in het kader van de uitoefening van de publiekrechtelijke taak van de Koninklijke Marechaussee is de Minister van Defensie de verwerkingsverantwoordelijke, zoals bepaald in artikel 4 lid 7 AVG. Dit geldt ook voor de persoonsgegevens verwerkt in de systemen voor grenstoezicht. In de Regeling AVG Defensie (art 1.3) is de Commandant van de Koninklijke Marechaussee aangewezen als AVG-beheerder; de AVG-beheerder is het diensthoofd dat namens de Minister belast is met de zorg voor de naleving van de AVG en de wet ten aanzien van verwerkingen die gevoerd worden binnen het dienstonderdeel.
Het Ministerie van Justitie en Veiligheid is momenteel eigenaar van het selfservicesysteem. In het najaar van 2020 is besluitvorming voorzien of het eigenaarschap van de selfservicesysteem wordt overgedragen. Zoals aangegeven in de beantwoording van vragen van de leden Bosman en Yeşilgöz-Zegerius, wordt de Tweede Kamer geïnformeerd over de redenen en de voorwaarden voor de veiligheid waaronder dit gebeurt indien besloten wordt tot overdracht van het eigenaarschap aan Schiphol. Ook indien het eigenaarschap van het selfservicesysteem wordt overgedragen, blijft de verwerkingsverantwoordelijkheid van de data overigens bij de Minister van Defensie. Ook verandert een overdracht niets aan de bestaande wettelijke verantwoordelijkheden inzake de uitvoering van het grenstoezicht.

Vraag 4

Acht u het wenselijk dat er geen wettelijke beperkingen gelden voor het overdragen van IT-eigenaarschap bij vitale overheidstaken, zoals grenstoezicht, aan partijen met commerciële belangen?

Zo’n 80% van de Nederlandse vitale processen is in handen van private partijen. In het algemeen geldt dat vitale aanbieders verantwoordelijk zijn voor de continuïteit en weerbaarheid van vitale processen. Daarbij hoort het verkrijgen van inzicht in dreigingen, kwetsbaarheden en risico’s en het ontwikkelen en onderhouden van capaciteiten waarmee de weerbaarheid van vitale processen wordt verhoogd en geborgd.2 Ook bij het overdragen van eigenaarschap is het de verantwoordelijkheid van de vitale aanbieder om de risico’s voor de nationale veiligheid in kaart te brengen en te mitigeren. Door middel van toezicht wordt gecontroleerd of vitale aanbieders hiertoe de juiste maatregelen nemen.
Het kabinet is waakzaam op de aantasting van continuïteit van dienstverlening van vitale diensten en processen. De Minister van Justitie en Veiligheid heeft uw Kamer reeds geïnformeerd over de aanvullende maatregelen die het kabinet hiertoe neemt, zoals maatregelen ter bescherming van nationale veiligheid bij inkoop en aanbesteding en bij overnames en investeringen.3 Daarnaast bekijkt het kabinet hoe huidige wet- en regelgeving ter bescherming van nationale veiligheidsrisico’s bij private ondernemingen beter benut en aangescherpt kan worden.4

Vraag 5

Op welke wijze is het proces van implementatie van het nieuwe selfservicesysteem ingericht zodat er voldoende waarborgen bestaan dat commerciële belangen niet zomaar de overhand krijgen boven de veiligheid van een dergelijk systeem?

Zie antwoord vraag 3.

Vraag 6

Welke gegevensverwerking is toegestaan ten aanzien van de verzamelde gegevens via het grenstoezicht? Mogen verzamelde gegevens ook privaat en/of commercieel gebruikt worden?

De via het grenstoezicht verkregen persoonsgegevens worden onder de AVG slechts verwerkt ten behoeve van een deugdelijke uitvoering van het grenstoezicht. Wanneer bij grenstoezicht sprake is van een positieve vergelijking uit de politieregisters, kunnen politiegegevens onder de voorwaarden van de Wpg worden verstrekt aan de in die wet aangewezen (publiekrechtelijke) partijen. Commercieel en/of privaat gebruik van de persoonsgegevens is niet toegestaan.

Vraag 7

Worden passagiersgegevens (PNR-gegevens) gebruikt voor het uitvoeren van het grenstoezicht? Mogen deze gegevens verwerkt worden door partijen met een commercieel belang in het kader van het uitvoeren van grenstoezicht?

PNR-gegevens worden verwerkt door de Passagiersinformatie-eenheid Nederland (Pi-NL), ten behoeve van het voorkomen, opsporen, onderzoeken en vervolgen van terroristische misdrijven en ernstige criminaliteit, op grond van de PNR-wet. De Pi-NL valt onder de verantwoordelijkheid van de Minister van Justitie en Veiligheid en is ondergebracht bij de Koninklijke Marechaussee. Pi-NL kan aan bevoegde instanties op hun verzoek PNR-gegevens verstrekken, niet aan commerciële partijen.
PNR-gegevens van luchtvaartpassagiers worden tevens gebruikt door de Douane ten behoeve van de controles in het kader van douanetoezicht op de door deze passagiers meegevoerde goederen, op grond van het Douanewetboek van de Unie en de Algemene Douanewet. De Douane valt onder de verantwoordelijkheid van het Ministerie van Financiën.

Vraag 8

Wie ziet er toe op de goedkeuringsprocedure voor het IT-systeem voor de selfservice op Schiphol? Wat is de reden dat het Defensiebeveiligingsbeleid niet is doorlopen bij de goedkeuringsprocedure?

Nadat twee keer een tijdelijke goedkeuring voor het selfservicesysteem is gegeven, is gekozen om in het vervolg slechts goedkeuring te geven wanneer de doorontwikkeling van de software gereed is. Dan kan een definitieve goedkeuring gegeven worden.
Deze doorontwikkeling duurt langer dan voorzien. De goedkeuringsprocedure voor het selfservicesysteem is echter reeds gestart. De ministeries van Defensie, Justitie en Veiligheid en Schiphol NV hebben gezamenlijk de te treffen maatregelen geïdentificeerd en werken momenteel aan de implementatie van deze maatregelen. Dit gebeurt conform het Defensieveiligheidsbeleid. Het streven is om alle voor goedkeuring noodzakelijke maatregelen dit jaar te implementeren. Momenteel houdt het Ministerie van Justitie en Veiligheid toezicht op het doorlopen van de goedkeuringsprocedure.
Conform de informatiebeveiligingsrichtlijnen van de rijksoverheid zijn verschillende maatregelen genomen ten behoeve van de veiligheid. Het gaat bijvoorbeeld om de fysieke beveiliging, maar ook het opzetten van een firewall. Er kunnen altijd kwetsbaarheden zijn die nog niet bekend zijn. Er worden echter continu verbeteringen doorgevoerd om de beveiliging te versterken.
Voor het systeem voor de pre-assessment, waar u ook om vraagt, is een goedkeuring voor ingebruikname afgegeven.

Vraag 9

Kunt u aangeven of van het selfservicesysteem en het IT-systeem voor de pre-assessment de veiligheid gegarandeerd kan worden nu niet de gehele goedkeuringsprocedure is doorlopen?

Zie antwoord vraag 8.

Vraag 10

Hoe kan het dat er tweemaal een tijdelijke goedkeuring is afgegeven voor het selfservicesysteem, waarvan de laatste in 2018 is afgegeven, waardoor er al twee jaar geen goedkeuring van het systeem is afgegeven?

Zie antwoord vraag 8.

Vraag 11

Welke kaders bestaan er ten aanzien van het gebruik van IT-systemen bij grenstoezicht indien deze niet (meer) zijn goedgekeurd? Hoe lang is een tijdelijke goedkeuring geldig?

Defensie hanteert voor haar systemen een goedkeuringsproces voor ingebruikname. Afhankelijk van de inschatting van de impact van eventuele gebreken, worden afspraken gemaakt over een verbetertraject. Bij een tijdelijke goedkeuring wordt een tijdstermijn afgesproken over de noodzakelijke verbeteringen waarna een terugkoppeling moet worden gegeven over de afwikkeling van deze verbeteringen. In principe wordt maximaal een jaar aan een dergelijke goedkeuring gegeven, waarna een herbeoordeling plaatsvindt.

Vraag 12

Waarom wordt er maar eens per drie jaar een beveiligingstest uitgevoerd op grote systemen? Acht u deze termijn wenselijk in de huidige tijd waar (cyber)beveiliging steeds wendbaarder moet worden om alle dreigingen het hoofd te bieden?

In het cyberdomein ontstaan voortdurend nieuwe kwetsbaarheden, dreigingen en aanvalsscenario’s. Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen. Reguliere beveiligingstesten zijn dus niet het enige middel om de weerbaarheid van de IT-systemen te waarborgen. Zoals aangegeven in de reactie op het rapport van de Algemene Rekenkamer beschikt Defensie momenteel niet over de personele capaciteit om de frequentie te verhogen. Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar.

Vraag 13

Is het staand beleid dat de IT-systemen van grenstoezicht niet aangesloten zullen worden op de detectiecapaciteit van het Security Intelligence Operations Center (SIOC)?

Essentiële processen en systemen voor het kunnen inzetten van militaire eenheden worden aangemerkt als kritiek. In verband met veiligheidsoverwegingen kan ik hier ze niet allemaal noemen.
Nog niet alle kritieke systemen zijn aangesloten op het SOC. Bij het aansluiten van systemen op het SOC geeft Defensie voorrang aan de IT-systemen die voor de krijgsmacht de hoogste prioriteit hebben. Na een zorgvuldige risicoanalyse is voorrang gegeven aan de laag gerubriceerde infrastructuur, de defensiebrede P&O-, financiële en logistieke applicaties en de Hoog Gerubriceerde systemen. Het systeem dat wordt gebruikt bij het pre-assessment, wordt volgens planning in 2021 aangesloten.
Het baliesysteem staat niet op de lijst van kritieke systemen en is daarom voorlopig nog niet in de planning opgenomen. Voor zowel het systeem van het pre-assessment als het systeem in de balie geldt dat zij draaien op de laag gerubriceerde infrastructuur waarop reeds wordt gemonitord. Hiermee ondervangt Defensie een groot gedeelte van de risico’s bij deze systemen.

Vraag 14

Volstaat het voor u dat het selfservicesysteem aangesloten zal worden op het Security Operations Center (SOC) van Schiphol N.V en niet op bijvoorbeeld het SIOC?

De ministeries van Defensie en Justitie en Veiligheid en Schiphol NV onderzoeken hoe de eis van veiligheidsmonitoring effectief ingevuld kan worden. De verwachting is dat het SOC van Schiphol NV voldoende waarborgen biedt.

Vraag 15

Welke kwetsbaarheden ziet u in de huidige systematiek waarbij grenstoezicht niet is aangesloten op het SIOC?

De systemen voor pre-assessment documentcontrole in de manuele balie zijn ingebed op de netwerkstructuur van Defensie. Dit netwerk is alleen toegankelijk voor geautoriseerde medewerkers van Defensie. Dat wordt door het SOC gemonitord. Daarnaast heeft alleen geautoriseerd grensbewakingspersoneel via de netwerkstructuur toegang tot de genoemde systemen. Daarmee zijn de risico’s op misbruik beperkt. Omdat de systemen zelf niet worden gemonitord, is het evenwel mogelijk dat een systeemincident niet direct gedetecteerd wordt. Daarom worden de kritieke systemen op het SOC aangesloten, waarbij wordt opgemerkt dat de schaarse aansluitcapaciteit bij het SOC initieel wordt ingezet om de belangrijkste kritieke systemen aan te sluiten.

Vraag 16

Kunt u inzichtelijk maken welke stappen er worden doorlopen op het moment dat gesignaleerd wordt door het Ministerie van Defensie en/of het SIOC dat er een digitale aanval op het grenstoezicht plaatsvindt?

Indien het SOC (onderdeel van het Defensie Cyber Security Centrum (DCSC)) een digitale aanval signaleert, start het DCSC het incident responseproces op. Daartoe beschikt het DCSC over een incidentcoördinator die met een team van cyberspecialisten het zogenaamde triageproces uitvoert. Tijdens de triage worden de aard en oorzaak van het incident geanalyseerd en de te nemen maatregelen vastgesteld. Daarvoor beschikt het DCSC ook over forensisch onderzoekscapaciteit. In nauw overleg met de lokale commandant en de lokale IT-beheerorganisatie worden de maatregelen uitgevoerd om de schade voor de eenheid zoveel mogelijk te voorkomen dan wel te beperken. Daarbij adviseert het DCSC de beheerorganisatie op welke wijze zij herhaling van het cyberincident kunnen voorkomen. In algemene zin geldt verder dat bij een mogelijk strafbaar feit de KMar wordt geïnformeerd en bij de betrokkenheid van een statelijke actor de MIVD wordt ingelicht. Als dat vanuit veiligheidsoverwegingen mogelijk is, worden ook andere organisaties (zoals het NCSC, NATO, EU) geïnformeerd over de cyberaanval.

Vraag 17

Zijn er evaluatierapporten uitgebracht door het Defensie Computer Emergency Response Team (DefCERT) ten aanzien van de cyberveiligheid van de IT-systemen voor het grenstoezicht op Schiphol? Kunt u de resultaten van gedane beveiligingstesten delen met de Kamer?

Het DefCERT (onderdeel van het Defensie Cyber Security Centrum (DCSC)) heeft op beide KMar-systemen een cybersecurityonderzoek uitgevoerd; op het baliesysteem in 2016 in opdracht van de KMar en op het pre-assessmentsysteem in 2019 op verzoek van de Algemene Rekenkamer. De onderzoeksresultaten van het baliesysteem zijn gerubriceerd en kunnen daarom niet gedeeld worden. De resultaten van het onderzoek naar het pre-assessmentsysteem door de Algemene Rekenkamer zijn tevens gerubriceerd. De bevindingen die zijn opgelost zijn opgenomen in het ARK-rapport. Verder is het DCSC op dit moment betrokken bij het cybersecurityonderzoek van het systeem waarmee automatische grenscontroles worden uitgevoerd in opdracht van het Ministerie van Justitie en Veiligheid. Dit onderzoek is nog niet afgerond.

Vraag 18

Bestaat er een risicoanalyse of een cybercriminaliteitsbeeldanalyse ten aanzien van vitale ICT-systemen op en rond Schiphol, in het bijzonder daar waar het gaat om veiligheid en grenstoezicht? In welke mate wordt er aan dit onderwerp aandacht besteed in het kader van Beveiliging en Publieke Veiligheid Schiphol (BPVS)? Wat zijn in BPVS-verband de meest recente ontwikkelingen op het vlak van cyberveiligheid, inclusief de preparatie op hack- en andere cyberdreigingen?

In BPVS-verband is op structurele basis aandacht voor het thema cybersecurity. Tussen de luchtvaartpartijen op en rond Schiphol en in verschillende samenwerkingsverbanden worden op reguliere basis actuele ontwikkelingen en trends gedeeld. Hierbij wordt specifiek aandacht besteed aan actuele dreigingsbeelden en het inzichtelijk maken van risico’s voor de luchtvaartsector. Ook toepasselijke nationale- en internationale cyber security wet- en regelgeving komen hier aan de orde. Gelet op de vertrouwelijkheid van de informatie kan ik inhoudelijk niet ingaan op de specifieke ontwikkelingen en concrete ondernomen acties rondom cyberveiligheid.

Vraag 1

Kunt u aangeven wanneer u van plan bent de goedkeuringsprocedure conform het defensiebeveiligingsbeleid voor de IT-systemen van de balie en de self-service op orde te hebben? Deelt u de mening dat het belangrijk is dit op korte termijn op orde te hebben en hierbij tenminste een duidelijke streefdatum en planning te hebben om naartoe te werken?

Voor zowel het IT systeem van de balie als de self-serviceportal geldt dat de goedkeuringsprocedure inmiddels loopt. De betrokken partijen hebben (gezamenlijk) de aanvullende beveiligingsmaatregelen geïdentificeerd die noodzakelijk zijn voor een (hernieuwde) goedkeuring en implementeren die momenteel. De aansluiting van het selfservicesysteem op het Security Operations Center (SOC) van Schiphol is onderdeel van de maatregelen die worden getroffen in het kader van de goedkeuringsprocedure en geschiedt bij de beslissing tot overdracht van het self-servicesysteem aan Schiphol (zie ook het antwoord op vraag 8). De volledige implementatie van de maatregelen is voorzien eind 2020, waarna de goedkeuringsprocedure kan worden afgerond.

Vraag 2

Bent u het met de Algemene Rekenkamer eens dat alle kritieke systemen van Defensie eigenlijk jaarlijks een beveiligingstest moeten doorlopen, gezien de snelle veranderingen van digitale dreigingen? Indien hiervoor de middelen ontbreken, kunt u dan aangeven welke middelen er nodig zijn om binnen afzienbare tijd wel dergelijke testen jaarlijks uit te voeren?

In het cyberdomein ontstaan voortdurend nieuwe kwetsbaarheden, dreigingen en aanvalsscenario’s. Op basis van de inlichtingencapaciteit treft Defensie gericht beveiligingsmaatregelen. Daarnaast is het patchmanagementproces (het regelmatig doorvoeren van belangrijke softwareupdates) belangrijk voor het beperken van risico's van kwetsbaarheden in systemen. Reguliere beveiligingstesten zijn dus niet het enige middel om de weerbaarheid van de IT-systemen te waarborgen. Zoals ook aangegeven in de reactie op het rapport van de Algemene Rekenkamer beschikt Defensie momenteel niet over de personele capaciteit om de frequentie te verhogen. Het verhogen van de testfrequentie van alle kritieke systemen naar één keer per jaar betekent dat de huidige personele en materiële cybersecurityonderzoekscapaciteit nagenoeg moet worden verdubbeld. Omdat Defensie concurreert met andere partijen op de arbeidsmarkt bij de werving van dit specialistisch personeel is dat niet haalbaar.

Vraag 3

Kunt u aangeven per wanneer het self-servicesysteem is aangesloten op de detectiecapaciteit van het Security Operations Center van Schiphol?

Zie antwoord vraag 1.

Vraag 4

Kunt u ook aangeven per wanneer het baliesysteem en het systeem voor pre-assesment zijn aangesloten op het Security Operations Center van Defensie?

Processen en systemen die essentieel zijn voor het kunnen inzetten van militaire eenheden, worden aangemerkt als kritiek. In verband met veiligheidsoverwegingen kan ik hier ze niet allemaal noemen.
Nog niet alle kritieke systemen zijn aangesloten op het SOC. Bij het aansluiten van systemen op het SOC geeft Defensie voorrang aan de IT-systemen die voor de krijgsmacht de hoogste prioriteit hebben. Na een zorgvuldige risicoanalyse is voorrang gegeven aan de laag gerubriceerde infrastructuur, de defensiebrede P&O-, financiële en logistieke applicaties en de Hoog Gerubriceerde systemen. Het systeem dat wordt gebruikt bij het pre-assessment, wordt volgens planning in 2021 aangesloten.
Het baliesysteem staat niet op de lijst van kritieke systemen en is daarom voorlopig nog niet in de planning opgenomen. Voor zowel het systeem van het pre-assessment als het systeem in de balie geldt dat zij draaien op de laag gerubriceerde infrastructuur waarop reeds wordt gemonitord. Hiermee ondervangt Defensie reeds een groot gedeelte van de risico’s bij deze systemen.

Vraag 5

Kunt u aangeven wat de 14 kritieke ICT-systemen van Defensie zijn? Kunt u tevens aangeven of deze allemaal zijn aangesloten op het Security Operations Center?

Zie antwoord vraag 4.

Vraag 6

Wanneer kunt u de Kamer informeren over de uitkomst van het overleg met ketenpartners om te oefenen op crisisbeheersing als gevolg van een cyberaanval op Schiphol? Deelt u de mening dat een dergelijke oefening binnen afzienbare tijd gehouden dient te worden en daarna ook periodiek herhaald dient te worden?

Inmiddels vinden gesprekken plaats over hoe een zinvolle oefening kan worden ingevuld. Daarbij wordt ook bekeken in hoeverre aansluiting bij bestaande oefeningen zoals ISIDOOR en gebruikmaking van documenten zoals het Nationaal Crisisplan Digitaal mogelijk is. Uw Kamer wordt hierover dit jaar geïnformeerd. Leerpunten uit oefeningen worden meegenomen in de actualisatie van richtlijnen over de omgang met bepaalde scenario’s. Deze oefeningen dienen inderdaad periodiek herhaald te worden.

Vraag 7

Kunt u in samenhang met de oefening ook richtlijnen opstellen over de omgang met voorstelbare scenario’s, zoals de besmetting van systemen met «ransomware»?

Zie antwoord vraag 6.

Vraag 8

Herkent u het door de Algemene Rekenkamer geschetste probleem van tegengestelde belangen, waarbij Defensie meer oog heeft voor veiligheid en Schiphol systemen snel wil implementeren om zo de doorstroming van passagiers te versnellen? Welke waarborgen gaat u inbouwen rond de overdracht van het self-service systeem aan Schiphol? Kunt u de Kamer over deze waarborgen informeren voordat overdracht plaatsvindt?

Voor zowel Schiphol als de ministeries van Defensie en Justitie en Veiligheid heeft veiligheid bij het grenstoezicht de hoogste prioriteit. Schiphol en de betrokken ministeries werken nauw samen om de veiligheid te verzekeren. Alvorens te besluiten tot overdracht van het eigenaarschap van het selfservicesysteem aan Schiphol wordt bekeken hoe de veiligheid het effectiefst kan worden gewaarborgd. Dit sluit aan op het goedkeuringsproces volgens het Defensieveiligheidsbeleid. Het voltooien van het goedkeuringsproces en het blijvend voldoen aan de functionele en beveiligingseisen vanuit het Ministerie van Defensie zijn voorwaarden voor een overdracht van het systeem aan Schiphol. Het kabinet zal de Kamer nader informeren over het voorgenomen besluit en de voorwaarden waaronder dit gebeurt voordat overdracht plaatsvindt.

Vraag 1

Bent u ook van mening dat alleen social distancing onvoldoende is om verspreiding van het covid-19 virus te voorkomen en maatregelen af te schalen?

Vraag 2

Heeft u al alternatieven voor corona-apps bestudeerd? Zo ja, welke? Zo nee, waarom niet?

Vraag 3

Bent u ook van mening dat, zeker gezien de resultaten van de appathon en de mening van deskundigen hierover, nu al intensief gekeken moet worden naar alternatieve methoden om verspreiding van het virus te voorkomen? Zo nee, waarom niet? Zo ja, wat gaat u hiervoor de komende dagen precies doen?

Vraag 4

Bent u op de hoogte van het systeem van «contact tracing», zoals in Massachusetts in de Verenigde Staten is begonnen, waarbij geprobeerd wordt social distancing te verminderen en de economie weer op te starten, niet met behulp van digitale apps maar met getrainde contact tracers? Vindt u dit een goede aanpak voor Nederland? Zo nee, waarom niet?1

Vraag 5

Hoeveel getrainde personen zouden nodig zijn om tot een effectieve «tracking» en «tracing» in Nederland te komen?

Vraag 6

Hoe zouden deze personen geworven en getraind kunnen worden? Hoe snel kan dat, welke stappen zijn daarvoor noodzakelijk, wanneer kan hiermee worden gestart?

Vraag 7

Kunt u deze vragen vóór aanvang van het plenaire debat over de ontwikkelingen rondom het coronavirus van woensdag 22 april 2020 beantwoorden?

Vraag 1

Kent u het bericht «Ook ondernemingsraad politie slaat alarm over nieuw communicatienetwerk»?1

Ja.

Vraag 2

Deelt u de mening dat een goed functionerend communicatienetwerk voor politiemedewerkers en andere hulpdiensten van levensbelang is?

Ja. Zoals ik in mijn brieven van 26 april 2019 en 14 februari 20202 heb aangegeven, heeft bij de vernieuwing van het communicatienetwerk C2000 de veiligheid van hulpverleners steeds de hoogste prioriteit. Vanzelfsprekend blijft dit het geval, en daar hoort een goed functionerend communicatienetwerk bij.

Vraag 3

Klopt het dat er nog steeds sprake is van situaties waarin politieagenten de meldkamer of collega’s niet of onvoldoende kunnen bereiken, al dan niet in noodsituaties?

Vanaf de periode kort na de migratie nacht van 27 januari jl. rapporteren brandweer, ambulancediensten en Defensie een consistent en ongewijzigd beeld: in het algemeen kunnen zij goed werken met het nieuwe netwerk.
Bij de politie is het beeld anders. In bepaalde situaties doen zich verbindingsproblemen voor die te maken (lijken te) hebben met een nog niet goed functionerend netwerk. Dat deze problematiek met name bij de politie speelt, heeft te maken met de intensiteit waarmee de politie gebruik maakt van het spraaknetwerk van C2000 en de snelheid van verplaatsen. Politiemensen zijn in die situaties geconfronteerd met het verlies van de verbinding of slechte audiokwaliteit. Goede en betrouwbare verbindingen zijn voor politiemensen van levensbelang. Op het moment dat men daar niet op kan vertrouwen, geeft dat aanleiding tot onzekerheid en onrust. In de tussentijd is binnen de politie voorzien in alternatieve manieren van communicatie.
De Centrale Ondernemingsraad van de politie heeft dit per brief indringend bij mij en de korpschef onder de aandacht gebracht. Bijgaand doe ik u mijn reactie op de brief van de COR toekomen.
Overigens merk ik op dat ook als het netwerk stabiel is, er zich situaties kunnen voordoen, waarbij hulpverleners de meldkamer of collega’s niet kunnen bereiken. Dat was zo met het oude netwerk en zal met het nieuwe netwerk ook zo zijn. Dit is inherent aan het gebruik van radionetwerken. Dit moet echter wel tot een minimum beperkt worden. Daar zijn alle inspanningen op gericht.

Vraag 4

Hoe kan het dat, terwijl politievakbond ACP al op 5 februari had gemeld dat collega’s geen of onvoldoende bereik hebben in bepaalde delen van het land, dit nog steeds niet is opgelost, gezien het levensgrote belang van een goed functionerend communicatienetwerk?

In de nacht van 27 januari jl. is C2000 in heel Nederland van het oude naar het nieuwe netwerk gemigreerd. Het is onvermijdelijk en was voorzien dat zich na migratie problemen zouden kunnen voordoen. Vanaf de migratie is er onmiddellijk gestart met het oplossen van deze problemen.
Zoals ik heb aangegeven in mijn brief van 14 februari jl. 3 is daartoe een nazorgteam ingericht van specialisten van het meldkamerdienstencentrum, de Landelijke Meldkamersamenwerking, het programmateam Implementatie Vernieuwing C2000 en de leveranciers. Dit team zet zich elke dag maximaal in om het netwerk zo snel mogelijk te verbeteren. Problemen die vanuit het perspectief van de gebruiker – op straat of op de meldkamer – het meest urgent zijn krijgen daarbij de meeste prioriteit. In het licht van de gemelde problematiek bij de politie is het nazorgteam uitgebreid en zijn extra experts ingeschakeld. Alle inspanningen ten spijt kan het tijd kosten voordat de oorzaak van een gemeld probleem is achterhaald. Als de oorzaak bekend is moet een oplossing worden ontwikkeld, getest en uitgerold. Naar het zich nu laat aanzien zijn de afgelopen week voor de problemen met de bezettoon en een groot deel van de verbindingsproblematiek voor de hulpverlener op straat oplossingen gevonden.

Vraag 5

Herinnert u zich dat u op vragen van de PVV hieromtrent tijdens het debat met de leden van de commissie voor Justitie en Veiligheid op 20 februari 2020, antwoordde: «De intensieve nazorgfase loopt nog tot 27 maart aanstaande en het oude systeem «staat er nog.» Er wordt hard gewerkt om eventuele aanloopproblemen te verhelpen.»? Deelt u de mening dat, gezien de reactie van de ondernemingsraad van de politie, er toch meer problemen zijn dan tijdens het debat zijn vermeld?

Tijdens het algemeen overleg waaraan de vraag refereert, heb ik gezegd dat de nazorgfase in elk geval tot 27 maart 2020 loopt en dat dan bezien zal worden of er inderdaad sprake is van aanloopproblemen of dat er meer aan de hand is. De kwalificatie aanloopprobleem laat onverlet dat gebruikers van die aanloopproblemen flinke hinder kunnen ondervinden. Met de Centrale Ondernemingsraad van de politie stel ik vast dat het vernieuwde netwerk met name bij de politie nog niet overal naar tevredenheid functioneert en ik begrijp ook dat met het verstrijken van de tijd de ongerustheid hierover toeneemt en de tolerantie afneemt.

Vraag 6

Deelt u de mening dat er dus meer moet worden gedaan om dergelijke nieuwe (nood)situaties te voorkomen? Zo ja, wat gaat u nu doen, aangezien er meer urgentie is dan tijdens het debat op 20 februari is vermeld?

De veiligheid van hulpverleners heeft mijn absolute prioriteit, en ik trek daarbij samen op met de korpschef. Er wordt met man en macht gewerkt om de problemen op te lossen. Het nazorgteam is uitgebreid en er zijn extra experts ingeschakeld. Dit heeft mijn volle aandacht. Ik laat mij persoonlijk dagelijks informeren over de stand van zaken, het aantal meldingen, het aantal op te lossen problemen en de acties die daarop door het nazorgteam worden ondernomen. Onder regie van de Landelijke Meldkamersamenwerking is een besturing ingericht om de operationele en technische knelpunten bij elkaar te brengen om het spraaknetwerk C2000 gericht stabieler te maken. De nazorgfase loopt in elk geval tot 27 maart. Die periode, en zo nodig daarna, blijft het nazorgteam met maximale inzet werken aan het verbeteren van het netwerk.

Vraag 1

Bent u bekend met de berichten «Cruciaal IT-project bij Defensie dreigt te mislukken»1 en «In een digitale oorlog doet de Nederlandse krijgsmacht er nu niet toe»?2

Ja.

Vraag 2

Klopt het dat Defensie aan de mogelijke partners een plafondprijs van 1,3 miljard euro heeft medegedeeld?

Tijdens de aanbesteding doe ik geen uitspraken over commercieel vertrouwelijke informatie. In het DPO van september 2019 heb ik u geïnformeerd over de financiële bandbreedte van het programma GrIT (Kamestuk 27 839, nr. 292). In het Algemeen Overleg van 4 september 2019 (Kamerstuk 31 125, nr. 107) heb ik toegezegd dat Defensie bereid is de stand van zaken van de uitgewerkte scenario’s, inclusief de risico’s, toe te lichten in een, vanwege de commerciële vertrouwelijkheid, besloten technische briefing. Deze heeft plaatsgevonden op 12 maart jl.

Vraag 3

Deelt u de twijfels over de vraag of Defensie voor 14,5 miljoen euro het exclusieve gebruiksrecht van het technisch ontwerp van IBM/Atos voorGrensverleggende IT heeft gekocht?

Defensie heeft het exclusieve gebruiksrecht van het technisch ontwerp (TO) van het consortium gekocht, zoals ik u met de brief van 25 februari 2019 (Kamerstuk 31 125, nr. 101) heb bericht. Verder wil ik zolang de aanbesteding loopt dan ook niet vooruitlopen op het proces.

Vraag 4

Kunt u uiteenzetten wat de mogelijke gevolgen zijn indien Defensie deze exclusieve gebruiksrechten niet in bezit heeft?

Zie antwoord vraag 3.

Vraag 5

Wat vindt u van de berichtgeving over het dreigement dat het consortium onder leiding van IBM/Atos honderden miljoenen euro’s aan gemaakte kosten op u gaat verhalen in het geval van een geweigerde gunning voor het projectGrensverleggende IT?

Tijdens de lopende aanbesteding doet Defensie geen uitspraken over commercieel vertrouwelijke informatie. In het Algemeen Overleg van 4 september 2019 (Kamerstuk 31 125, nr. 107) heb ik toegezegd dat Defensie bereid is de stand van zaken van de uitgewerkte scenario’s, inclusief de risico’s, toe te lichten in een, vanwege de commerciële vertrouwelijkheid, besloten technische briefing. Deze heeft inmiddels plaatsgevonden op 12 maart jl.

Vraag 6

In hoeverre heeft u het consortium onder leiding van IBM/Atos betrokken bij uw afweging om de aanbesteding tijdelijk stil te leggen?

Het consortium is niet betrokken geweest bij de afweging.

Vraag 7

Wat is uw appreciatie van de twijfels bij juridische aanbestedingsexperts die geciteerd zijn in de berichtgeving over de vraag of Defensie de aanbesteding nog kan stoppen zonder een groot verlies te nemen?

De mogelijkheden om een aanbesteding te stoppen hangen mede af van de specifieke voorwaarden waaronder de desbetreffende aanbesteding op de markt is gezet. In deze aanbesteding is in iedere fase overeengekomen dat Defensie deze kan stopzetten zonder een vergoeding verschuldigd te zijn. Verder wil ik hier zolang de aanbesteding loopt niet op vooruitlopen.

Vraag 8

Kunt u, gelet op uw melding van afgelopen september dat de continuïteit gewaarborgd is tot de periode 2020–2022, aangeven hoe deze uitspraak zich verhoudt tot uw uitspraak dat u op de «pauzeknop» heeft gedrukt van het aanbestedingstraject en het scenario onderzoekt om de aanbesteding aan te passen?

Zoals ik u liet weten in de brief van 18 februari jl. (Kamerstuk 31 125, nr. 110) is de IT-infrastructuur van Defensie nog steeds op haar taak berekend. De continuïteit van de IT komt niet in het geding. Daarvoor zijn de afgelopen jaren bewust reguliere, voor lifecycles benodigde investeringen gedaan en zijn ook belangrijke extra investeringen gedaan om de continuïteit van de IT te borgen.
Het BIT concludeerde in een derde toets over het programma GrIT (brief van 2 juli 2019, Kamerstuk 31 125, nr. 104) dat Defensie nog niet klaar was om tot gunning over te gaan. Als antwoord op de conclusies van het BIT heb ik een pauze ingelast van het programma GrIT en ben ik een heroverwegingstraject gestart. Omdat GrIT nog niet is gestart wordt jaarlijks bezien welke aanvullende maatregelen nodig zijn voor de continuïteit.

Vraag 9

Wat vindt u ervan dat uit interne bronnen blijkt dat Defensie de greep op het project lijkt te verliezen door met één partij in zee te gaan?

De veronderstelling dat werken met één partij leidt tot het verlies van grip is onjuist. Wel is de belangrijkste aanbeveling van het BIT dat dit goed moet worden georganiseerd. Dat is mogelijk, mits aan bepaalde voorwaarden voldaan wordt, zoals in het tweede en derde BIT-advies is aangegeven (Kamerstukken 31 125, respectievelijk nr. 84 en nr. 104).

Vraag 10

Kunt u aangeven wat tot nu is ondernomen om tegemoet te komen aan de adviezen uit het laatste BIT-rapport?

Zoals ik u heb laten weten in de brief van 18 februari jl. (Kamerstuk 31 125, nr. 110), heeft Defensie de afgelopen tijd in het kader van het heroverwegingstraject twee hoofdscenario’s uitgewerkt en door een externe partij laten valideren. Daarnaast heb ik onderzoek verricht dat heeft geleid tot een beter inzicht in de mogelijkheden om opvolging te geven aan de aanbevelingen van de derde BIT-toets en de gesprekken met de overgebleven partij in de aanbesteding. Defensie laat het aangepaste plan nogmaals valideren door een extern bureau. Het scenario dat wordt gekozen zal de gebruikelijke interne controlemechanismen doorlopen. Dat betekent onder meer dat de contractdocumenten getoetst worden door de ADR. Daarnaast laat ik een BIT-toets uitvoeren op het uiteindelijke scenario.

Vraag 11

Gaat u de deadline van het projectGrensverleggende IThalen? Zo nee, wat gaat u doen om de gevolgen hiervan te beperken?

Ik verwacht dat ik de resultaten van de BIT-toets op zijn allervroegst kort voor het zomerreces aan uw Kamer kan aanbieden.

Vraag 12

In hoeverre is de continuïteit van IT bij Defensie in gevaar door het stilleggen en mogelijk stoppen van het aanbestedingstraject?

Zie het antwoord op vraag 8.

Vraag 13

Hoe gaat u ervoor zorgen dat de continuïteit ook na de periode 2020–2022 gewaarborgd is?

Zie het antwoord op vraag 8.

Vraag 14

Tijdens het algemeen overleg IT Defensie van 4 september jongstleden hebt u de toezegging gedaan om de twee scenario’s, de ICT-aanbesteding in één keer in de markt zetten of de aanbesteding te faseren, inclusief de schets van de belangrijkste risico’s, waaronder langer doorgaan met de huidige systemen, naar de Kamer te sturen. Wanneer kan de Kamer deze scenario’s verwachten?

Zoals ik u heb laten weten in de brief van 18 februari jl. (Kamerstuk 31 125, nr. 110), heeft Defensie de afgelopen tijd in het kader van het heroverwegingstraject twee hoofdscenario’s uitgewerkt en door een externe partij laten valideren. Daarnaast heb ik onderzoek verricht dat heeft geleid tot een beter inzicht in de mogelijkheden om opvolging te geven aan de aanbevelingen van de derde BIT-toets en de gesprekken met de overgebleven partij in de aanbesteding. Defensie laat het aangepaste plan nogmaals valideren door een extern bureau. Dit proces loopt nu en is naar verwachting binnenkort afgerond. In de besloten technische briefing van 12 maart jl. heeft Defensie de stand van zaken van de uitgewerkte scenario’s toegelicht. Nadat deze validatie is afgerond zal ik u de hoofdlijnen van de hoofdscenario’s aanbieden in een commericeel vertrouwelijke brief.
Het scenario dat wordt gekozen zal de gebruikelijke interne controlemechanismen doorlopen. Dat betekent onder meer dat de contractdocumenten getoetst worden door de ADR. Daarnaast laat ik een BIT-toets uitvoeren op het uiteindelijke scenario. Naar verwachting zullen de resultaten daarvan niet eerder dan in het derde kwartaal van 2020 beschikbaar komen. Zodra dat het geval is zal ik uw Kamer informeren.

Vraag 15

Hoe gaat u ervoor zorgen dat de mogelijkheid van een claim van het consortium IBM/Atos een mogelijke herstart van de aanbestedingsprocedure niet verhindert?

Defensie volgt een zorgvuldig proces. Ik zal het proces volgen zoals aan u geschetst in de Kamerbrief van 18 februari jl (Kamerstuk 31 125, nr. 110).

Vraag 16

Deelt u de mening dat aanbestedingsprocedures zorgvuldig en doelmatig dienen te verlopen?

Ja.

Vraag 17

Kunt u alle vragen afzonderlijk beantwoorden?

De vragen heb ik zoveel als mogelijk apart behandeld.

Vraag 18

Kunt u de vragen zo spoedig mogelijk en in ieder geval in het eerste kwartaal van 2020 beantwoorden, en de bij het AO IT Defensie van 4 september 2019 toegezegde brief aan de Kamer doen toekomen?3

Ja.

Vraag 1

Bent u bekend met het bericht «Defensie kan nog jaren wachten op «wapensysteem van de toekomst»»?1

Ja.

Vraag 2

Hoe staat het met de door u toegezegde ontwikkeling van scenario’s voor de toekomst van het project GrIT? Wanneer verwacht u deze scenario’s aan de Kamer voor te kunnen leggen?

Zoals ik u heb laten weten in de brief van 18 februari jl. (Kamerstuk 31 125, nr. 110), heeft Defensie de afgelopen tijd in het kader van het heroverwegingstraject twee hoofdscenario’s uitgewerkt en door een externe partij laten valideren. Daarnaast heb ik onderzoek verricht dat heeft geleid tot een beter inzicht in de mogelijkheden om opvolging te geven aan de aanbevelingen van de derde BIT-toets en de gesprekken met de overgebleven partij in de aanbesteding. Defensie laat het aangepaste plan nogmaals valideren door een extern bureau. Dit proces loopt nu en is naar verwachting binnenkort afgerond. In de besloten technische briefing van 12 maart jl. heeft Defensie de stand van zaken van de uitgewerkte scenario’s toegelicht. Nadat deze validatie is afgerond zal ik u de hoofdlijnen van de hoofdscenario’s aanbieden in een commericeel vertrouwelijke brief.
Het scenario dat wordt gekozen zal de gebruikelijke interne controlemechanismen doorlopen. Dat betekent onder meer dat de contractdocumenten getoetst worden door de ADR. Daarnaast laat ik een BIT-toets uitvoeren op het uiteindelijke scenario. Naar verwachting zullen de resultaten daarvan niet eerder dan in het derde kwartaal van 2020 beschikbaar komen. Zodra dat het geval is zal ik uw Kamer informeren.

Vraag 3

Gaat u, als onderdeel van de scenario’s die u aan de Kamer gaat doen toekomen, in kaart brengen welke additionele kosten elk scenario met zich meebrengt, bijvoorbeeld waar het gaat om gederfde investeringen en te verwachten schadeclaims? Zo nee, waarom niet?

Tijdens de aanbesteding doet Defensie geen uitspraken over commercieel vertrouwelijke informatie. In het Algemeen Overleg van 4 september 2019 (Kamerstuk 31 125, nr. 107) heb ik toegezegd dat Defensie bereid is de stand van zaken van de uitgewerkte scenario’s, inclusief de risico’s, toe te lichten in een, vanwege de commerciële vertrouwelijkheid, besloten technische briefing. Deze vond plaats op 12 maart jl. Nadat de validatie van het plan door een extern bureau is afgerond zal ik u de hoofdlijnen van de hoofdscenario’s aanbieden in een commericeel vertrouwelijke brief. Voordat tot de beoogde gunning wordt overgegaan, wordt de definitieve businesscase vertrouwelijk aan de Kamer voorgelegd.

Vraag 4

Klopt het dat IBM u heeft gedreigd met een schadeclaim van «vele honderden miljoenen» bij het afbreken van de aanbesteding van GrIT? Zo ja, hoe apprecieert u dit dreigement? Zo nee, kunt u dit mediabericht verklaren?

Zie het antwoord op vraag 3.

Vraag 5

Kunt u uitsluiten dat de veiligheid of lopende operaties bij Defensie ten nadele kunnen worden beïnvloed door deze vertraging in het GrIT-project?

Defensie is op dit moment in staat aan haar verplichtingen te voldoen voor eigen bedrijfsvoering, de operationele inzet en de samenwerking met Defensiepartners.

Vraag 6

Welke acties onderneemt uw ministerie om de huidige IT van Defensie na 2022 te laten draaien zonder risico’s voor de veiligheid of operationaliteit van Defensie? Hebt u zicht op de kosten van deze acties? Zo ja, kunt u deze met de Kamer delen? Zo nee, wanneer krijgt u hier zicht op?

De IT-infrastructuur van Defensie is nog steeds op haar taak berekend. Daarvoor zijn de afgelopen jaren bewust reguliere, voor lifecycles benodigde investeringen gedaan en zijn ook belangrijke extra investeringen gedaan om de continuïteit van de IT te borgen.
Omdat GrIT nog niet is gestart wordt jaarlijks bezien welke aanvullende maatregelen nodig zijn voor het borgen van de continuïteit. Deze kosten zijn opgenomen in het programma GrIT.

Vraag 7

Staat u met terugwerkende kracht nog achter uw besluit om de aanbesteding van het GrIT door te zetten met slechts één partij, in weerwil van het advies van het Bureau ICT-toetsing?

Ja, daar sta ik nog achter. In de voorbereiding van de aanbesteding heeft Defensie een zorgvuldig traject doorlopen, waarvan het uitgangspunt was dat Defensie ontzorgd zou worden door één hoofdaannemer. De veronderstelling dat het BIT van oordeel is dat Defensie niet mag werken met één hoofdaannemer is overigens onjuist. Het BIT is van mening dat dat mogelijk is, mits aan bepaalde voorwaarden voldaan wordt, zoals in het tweede en derde BIT-advies is aangegeven (Kamerstukken 31 125, respectievelijk nr. 84 en nr. 104).

Vraag 8

Hoe beoordeelt u het risico dat het Athena-consortium het ongelimiteerde gebruiksrecht van het tot nu toe ontwikkelde technisch ontwerp van defensie zal miskennen indien de aanbesteding wordt afgebroken? Welke gevolgen zal dit hebben?

Defensie heeft het exclusieve gebruiksrecht van het technisch ontwerp (TO) van het consortium gekocht, zoals ik u met de brief van 25 februari 2019 (Kamerstuk 31 125, nr. 101) heb bericht. Verder wil ik zolang de aanbesteding loopt dan ook niet vooruitlopen op het proces.

Vraag 9

Hoe beoordeelt u achteraf bezien de aansturing van dit project tot nu toe?

Per brief van 18 februari jl. (Kamerstuk 31 125, nr. 110), heb ik u het rapport van ABDTOPconsult over de governance van GrIT toegezonden. De hoofdlijn van het rapport is dat de governance beter moest worden ingericht. Zoals ik tevens heb toegelicht in die brief volg ik de aanbevelingen van ABDTOPconsult op.

Vraag 10

Kunt u een limiet aangeven voor de maximale kosten van het GrIT-project, waarop de Kamer u vanuit budgettaire controle kan afrekenen? Zo nee, waarom niet?

Tijdens de aanbesteding doe ik geen uitspraken over commercieel vertrouwelijke informatie. In het DPO van september 2019 heb ik u geïnformeerd over de financiële bandbreedte van het programma GrIT (Kamestuk 27 839, nr. 292). In het Algemeen Overleg van 4 september 2019 (Kamerstuk 31 125, nr. 107) heb ik toegezegd dat Defensie bereid is de stand van zaken van de uitgewerkte scenario’s, inclusief de risico’s, toe te lichten in een, vanwege de commerciële vertrouwelijkheid, besloten briefing. Deze heeft plaatsgevonden op 12 maart jl.

Vraag 1

Bent u bekend met het bericht «Cruciale vernieuwing ICT bij Defensie «compleet mislukt»«?1

Ja.

Vraag 2

Herinnert u zich uw belofte om de Kamer medio begin januari te informeren over de stand van zaken rondom het GrIT fiasco? Kunt u aangeven waarom u de Kamer nog steeds niet heeft geïnformeerd? Bewijst dit wederom dat u wanordelijkheden maar al te graag onder de pet houdt? Zo nee, waarom niet?

In het Algemeen Overleg van 4 september (Kamerstuk 31 125, nr. 107) heb ik toegezegd de twee scenario’s na uitwerking naar verwachting op z’n vroegst begin 2020 aan de Kamer te zullen toesturen, inclusief de schets van de belangrijkste risico’s, waaronder langer doorgaan met de huidige systemen.

Vraag 3

Kunt u aangeven welke (mogelijke) gevolgen (zoals o.a. veiligheidsrisico’s, schadeclaims en kosten) het uitstel en een eventueel afstel teweegbrengen? Zo nee, waarom niet?

Tijdens de aanbesteding doe ik geen uitspraken over commercieel vertrouwelijke informatie. In het DPO van september 2019 heb ik u geïnformeerd over de financiële bandbreedte van het programma GrIT (Kamerstuk 27 839, nr. 292). In het Algemeen Overleg van 4 september 2019 (Kamerstuk 31 125, nr. 107) heb ik toegezegd dat Defensie bereid is de stand van zaken van de uitgewerkte scenario’s, inclusief de risico’s, toe te lichten in een, vanwege de commerciële vertrouwelijkheid, besloten technische briefing. Deze heeft plaatsgevonden op 12 maart jl.

Vraag 4

In hoeverre klopt de berichtgeving dat u niet wenst te reageren op de berichten in de media over het GrIT fiasco? Bent u bereid om alle onderliggende stukken van het GrIT fiasco openbaar te maken, zodat de Kamer, de media en de belastingbetaler volledige openheid van zaken krijgen in uw geldverspillend gepruts? Zo nee, waarom niet en hoe verhoudt zich dit met uw inlichtingenplicht ex artikel 68 van de Grondwet?

Defensie beantwoordt wel degelijk vragen van journalisten en burgers, ook als het om GrIT gaat. Ik breng hierbij geen financiële gegevens naar buiten, vanwege de vertrouwelijkheid van deze informatie. Bovendien betreft dit een aanbesteding die nog steeds loopt. Over een lopende aanbesteding doe ik nooit uitspraken over kosten, omdat de kosten pas bij de gunning bekend zijn en om onze onderhandelingspositie niet te ondermijnen, zoals ik heb toegelicht in mijn brief van 18 februari jl. (Kamerstuk 31 125, nr. 110).

Vraag 5

Migrantengeweld, aanbestedingsfiasco’s (zoals o.a. GrIT, vervanger van de Walrusklasse), chroom-6, CARC, PX10, burnpits, hitteletsels, bliksemletsel, eigenvuurincidenten, ziekmakende radartoren, oorverdovende laagvliegroutes, onveilig materiaal en vreselijke gewelds- en misbruikincidenten: hoeveel wantoestanden moeten er nog gebeuren voordat u eindelijk eens orde op zaken gaat stellen?

Ik neem afstand van het in de vraag geschetste beeld. Defensie geeft de komende jaren prioriteit aan zaken die te maken hebben met het verder realiseren van een veilige werkomgeving voor ons personeel. De focus ligt hierbij op het creëren van de randvoorwaarden om een professionele taakuitvoering voor iedereen mogelijk te maken. Hier wordt uw Kamer met de reguliere rapportages over geinformeerd. Met de Defensienota 2018 zijn we begonnen met de organisatie op orde te brengen. Dit zal stap voor stap moeten gebeuren en een lange tijd duren.

Vraag 6

Schaamt u zich niet voor het feit dat uw wanbeleid wekelijks (de afgelopen tijd welhaast dagelijks) de krantenkoppen haalt? Zo nee, waarom niet?

Zie het antwoord op vraag 5.

Vraag 7

Kunt u bovenstaande vragen apart en tijdig beantwoorden, ook indien samenhang bestaat tussen de vragen? Zo nee, waarom niet?

De vragen heb ik zo snel mogelijk en zoveel als mogelijk apart behandeld.

Vraag 1

Bent u bekend met het bericht «Hoe de Facebook-CEO zichzelf zou inperken»?1

Ja, hiermee ben ik bekend.

Vraag 2

Hoe staat u tegenover de uitspraken van Věra Jourová, voormalig Europees Commissaris voor Justitie, dat algoritmes onderworpen moeten worden aan een audit en dat academici meer toegang moeten krijgen om algoritmes beter te begrijpen? In hoeverre gebeurt dit al in Nederland?

Onderzoek naar algoritmes is belangrijk om grip te blijven houden op AI-toepassingen. Kennis uit verschillende wetenschapsgebieden is van belang om te kunnen beoordelen waaraan algoritmes kunnen voldoen. Naast de technische aspecten is er ook kennis nodig uit de sociale en geesteswetenschappen om bijvoorbeeld te beoordelen wanneer er sprake is van bias of andere onwenselijke gevolgen van bepaalde algoritmes. Onderzoekers hebben toegang tot algoritmes voor zover deze openbaar zijn of indien er toegang wordt gegeven door de rechthebbende van het algoritme. Het kabinet juicht, zoals beschreven in het Strategisch Actieplan AI, toe dat marktpartijen hun verantwoordelijkheid nemen in aanvulling op bestaande wettelijke vereisten. Er zijn verschillende initiatieven die hier invulling aan geven, zoals vertrouwde derde partijen die audits uitvoeren op algoritmes.2
Naast de kennis die academici gaan inbrengen zal er ook behoefte zijn aan toezichthouders die erop toezien, en indien nodig handhavend optreden, wanneer men algoritmes ontwikkelt en in gebruik neemt die mogelijke ongewenste effecten tot gevolg kunnen hebben. Daarom werken de Nederlandse toezichthouders nauw met elkaar samen om kennis te delen. Zo is bijvoorbeeld de Inspectieraad met alle Rijksinspecties bezig met het ontwikkelen van een programma waarin ze uitdagingen omtrent algoritmes en toezicht willen adresseren en samen tot gepaste oplossingen willen komen.

Vraag 3

Hoe staat u tegenover hervorming van de manier waarop technologiebedrijven belasting betalen in Nederland? Hoe zoekt Nederland de samenwerking op dit terrein binnen de OESO en bijvoorbeeld met Frankrijk?

Bij de OESO vinden binnen het Inclusive Framework (waaronder OESO-leden en niet-leden) discussies plaats over een nieuw internationaal stelsel voor belastingheffing in een digitaliserende economie (Pijler 1, zie brief Staatssecretaris van Financiën van 10 oktober 2019) en over internationale afspraken om een minimumniveau van winstbelasting te waarborgen (Pijler 2, zie brief Staatssecretaris van Financiën van 14 november 2019).3 Voor de laatste stand van zaken verwijs ik u graag naar de Staatssecretaris van Financiën – Fiscaliteit en Belastingdienst, en zijn brief van 10 februari 2020 met zijn reactie in het kader van twee schriftelijke overleggen hieromtrent.

Vraag 4

Wat vindt u ervan dat Facebook elke vorm van overheidsregulering tegenwerkt en dit verdedigt door te zeggen dat de gebruiker instemt met de gebruikersvoorwaarden? Hoe omzeilt Facebook op dit moment de nationale wetgeving? Welke andere techreuzen omzeilen nationale of Europese wetgeving? Wat is uw inzet hierop? Zijn er lopende onderzoeken vanuit het Nederland naar techreuzen?

Ik begrijp dat u zich afvraagt of grote techbedrijven, zoals Facebook, strategisch opereren. De nieuwe dienstverlening die dit soort ondernemingen biedt, en de wijze waarop ze dat doen, leidt soms tot de vraag welke wet- of regelgeving van toepassing is. Dit kan ertoe leiden dat er verschillen van mening ontstaan over de toepasselijkheid van wet- of regelgeving. Uiteraard zullen bedrijven daarbij de voor hen meest gunstige uitleg daarvan bepleiten, hetgeen kan betekenen dat zij zich op het standpunt stellen dat bepaalde wet- of regelgeving niet op hen van toepassing is. In dit kader is het positief om te zien dat deze vraagstukken worden voorgelegd aan de rechterlijke macht zodat die daar een oordeel over kan vellen en duidelijkheid kan verschaffen. Zie bijvoorbeeld de recente uitspraak van de rechter Amsterdam in de zaak tussen Facebook en John de Mol, of de uitspraken van het Hof van Justitie van de EU inzake UberPop en Airbnb. Dit soort uitspraken verduidelijkt welke wet- en regelgeving voor dit soort ondernemingen van toepassing is voor de diensten die zij bieden. Zodra deze duidelijkheid er is, dienen deze ondernemingen zich uiteraard daarnaar te voegen en zo nodig hun handelen daarop aan te passen.4 Hoewel het natuurlijk ondernemingen vrij staat om wetgeving op de voor hen meest gunstige wijze uit te leggen, doe ik een moreel appel op grote techbedrijven om hun verantwoordelijkheid proactief te nemen gegeven hun sterke positie en bij hun handelen oog te hebben voor het publieke belang.

Vraag 5

Hoe ondervinden Nederlandse bedrijven oneerlijke concurrentie van deze techreuzen? Hoe gaat u dit tegen? Welke hulp biedt u aan deze bedrijven?

Nederlandse bedrijven kunnen oneerlijke concurrentie van techreuzen ondervinden doordat deze bedrijven hun machtspositie misbruiken. Via bestaande mededingingsregelgeving wordt via toezicht achteraf (ex post) opgetreden tegen ondernemingen die misbruik maken van een economische machtspositie. Zo heeft de Europese Commissie in de afgelopen jaren in verschillende zaken waarin grote platforms betrokken waren boetes opgelegd voor het overtreden van de mededingingsregels. Tevens ondervinden Nederlandse bedrijven dat in de digitale economie het risico bestaat dat grote platforms een dusdanig belangrijke marktpositie hebben dat consumenten en ondernemers hier niet of nauwelijks meer omheen kunnen (en dus een poortwachtersfunctie hebben). Ondanks dat er geen sprake hoeft te zijn van machtsmisbruik, wordt toetreding door nieuwe ondernemingen hierdoor nagenoeg onmogelijk. In deze situatie is alleen achteraf toezicht zoals in het huidige mededingingsrecht onvoldoende.
Om ervoor te zorgen dat de concurrentie ook in de digitale economie wordt geborgd, pleit ik in Europa dat er in specifieke situaties, in ieder geval op Europees niveau, ook vooraf (ex ante) maatregelen moeten kunnen worden gesteld om de concurrentiemogelijkheden te versterken en bewaken. Een voorbeeld van zo’n maatregel kan zijn dat een platform specifieke data moet delen. Op 17 mei 2019 heb ik hierover een brief met mijn beleidsinzet naar de Kamer gestuurd waarin drie maatregelen, waaronder het ex ante instrument, worden beschreven.5 Deze maatregelen moeten er samen voor zorgen dat consumenten en ondernemers hun keuzevrijheid behouden en die kunnen benutten om de kansen die de platformeconomie biedt optimaal te verzilveren.
De Europese Commissie heeft op 19 februari 2020 haar digitale strategie gepubliceerd en kondigt daarin aan om de mogelijkheid om vooraf (ex ante) in te kunnen grijpen bij platforms met een poortwachtersfunctie te gaan verkennen en eind 2020 met een voorstel te komen.6 Dit is in lijn met mijn beleidsinzet. Ik ben verheugd dat het uitdragen van deze beleidsinzet bij verschillende gelegenheden effect heeft gehad en dat de Europese Commissie ook het belang inziet van een gezamenlijke aanpak op Europees niveau voor het borgen van de concurrentie in onze digitale economie. Uw Kamer wordt nader geïnformeerd over de digitale strategie van de Europese Commissie middels een BNC-fiche.

Vraag 6

Heeft de sterke marktpositie van techreuzen gevolgen voor innovatie, bijvoorbeeld doordat innovatieve bedrijven en/of concurrenten worden opgekocht door grote techbedrijven? Zo ja, wat kan hier aan worden gedaan? Zo nee, waarom denkt u dat? Kunt u in dat verband ook toelichten wat een land als Nederland meer zou kunnen doen bij dit soort risico’s?

Grote platforms hebben binnen de digitale economie op verschillende manieren invloed op innovatie in de markt. Aan de ene kant kunnen ze een positieve invloed hebben op innovatie, omdat het ervoor kan zorgen dat bij de overname van een startup een bepaalde innovatie waar de startup aan werkt, wordt doorontwikkeld door een kapitaalkrachtig bedrijf. Om die reden is het bedrijfsmodel van sommige startups ook om een innovatie op de markt te zetten en vervolgens te worden overgenomen door een groot platform. Aan de andere kant komt het ook voor dat grote bedrijven concurrenten overnemen die een potentiële bedreiging voor ze vormen. Vooral bedrijven met marktmacht kunnen een prikkel hebben om toekomstige concurrenten over te nemen en hun innovaties stop te zetten. Een bedrijf met een duurzame machtspositie ervaart immers minder druk om te investeren in innovatie.
Op dit moment zijn de meldingsdrempels in het concentratietoezicht gebaseerd op omzet. Overnames van relatief kleine innovatie startups, die te weinig omzet maken om boven de meldingsdrempels uit te komen, blijven nu buiten het zicht van toezichthouders. Deze overnames kunnen de mededinging en daarmee de innovatie toch significant beperken. Om ervoor te zorgen dat zowel de potentiële beperking van de mededinging als de mogelijke voordelen voor bijvoorbeeld innovatie en daarmee consumenten beoordeeld kunnen worden, is het belangrijk dat de toezichthouder ook deze fusies of overnames in het vizier krijgt. Daarom pleit ik in Europa voor aanpassing van de huidige meldingsdrempels voor fusies – bijvoorbeeld door ze te baseren op de transactiewaarde van een fusie of de verhouding tussen de omzet en transactiewaarde. Op die manier zullen ook deze fusies en overnames van bedrijven die (nog) geen hoge omzet hebben, maar wel ingrijpende mededingingseffecten kunnen hebben, in het vizier van de toezichthouder komen.
Daarnaast zet ik me in voor de aanpassing van de Europese richtsnoeren waar de toepassing van mededingingsregels in is vastgelegd. Zo kan bijvoorbeeld worden verduidelijkt hoe kan worden beoordeeld of bij een overname door een groot platform sprake is van een potentiële concurrent. In haar digitale strategie heeft de Europese Commissie aangekondigd de mededingingsregels te evalueren en een mogelijke aanpassing van de mededingingsregels te verkennen om te zorgen dat de toepassing van de regels nog effectief blijft in een digitaliserende wereld.

Vraag 7

Hoeveel werkgelegenheid heeft Nederland te danken aan grote techbedrijven zoals Google, Amazon, Facebook, Apple en Netflix? Hoeveel is dit in vergelijking met andere sectoren?

De werkgelegenheid die techbedrijven voor Nederland opleveren bestaat allereerst uit directe werkgelegenheid, zoals de ruim 5.000 medewerkers die voor Booking.com in Amsterdam werken. Techbedrijven zijn geen aparte bedrijfstak in de officiële statistieken, dus de werkgelegenheid die deze bedrijven opleveren wordt niet bijgehouden. Ook de werkgelegenheid dit indirect tot stand komt als gevolg van de aanwezigheid van kantoren van techbedrijven in Nederland wordt niet bijgehouden. Daarnaast werkt ongeveer 0,4% van de beroepsbevolking via techbedrijven in de «kluseconomie»: maaltijdbezorging, huishoudelijke dienstverlening. Hierbij is het de vraag in hoeverre dit additionele werkgelegenheid is, en welk deel ervan slechts vervanging van reeds bestaande werkgelegenheid is. Het CBS is verder bezig om te kijken naar mogelijkheden om platformen in Nederland te meten.

Vraag 1

Ben u bekend met het bericht «Onderzoeksinstituut Wetsus in Leeuwarden gehackt, hacker betaald in bitcoins»?1

Vraag 2

Wat heeft er precies plaatsgevonden bij het onderzoeksinstituut Wetsus met betrekking tot de ransomeware-aanval?

Vraag 3

Worden er minimale veiligheidseisen gesteld op het gebied van cyberveiligheid bij onderzoeksinstituten die een financiering vanuit de overheid ontvangen? Zo ja, wat zijn die eisen? Zo nee, waarom niet?

Vraag 4

Ziet u aanleiding om voortaan minimale cyberveiligheideisen te stellen aan onderzoeksinstituten die financiering ontvangen vanuit nationale of Europese instellingen? Zo nee, waarom niet?

Vraag 5

Heeft de ransomeware-aanval gevolgen voor de gelden die ontvangen worden uit Europese programma’s, zoals Horizon 2020? Kennen deze programma’s minimale eisen van cyberveiligheid die gevraagd worden aan ontvangers?

Vraag 6

Wanneer en op welke manier bent u op de hoogte gesteld van de ransomeware-aanval van onderzoeksinstituut Wetsus?

Vraag 7

Op welke manier heeft u het onderzoeksinstituut Wetsus ondersteuning geboden bij het verhelpen van de ransomeware-aanval?

Vraag 8

Op welke manier heeft de ransomware-aanval van het onderzoeksinstituut Wetsus overeenkomsten met die van de Universiteit Maastricht eind vorig jaar?

Vraag 9

Hoeveel losgeld is er uiteindelijk aan de criminelen betaald? Hoe beoordeelt u de keuze dat dit heeft plaatsgevonden? Van welke geld wordt dit betaald? Komt dit geld direct uit de verstrekte subsidies?

Vraag 10

Deelt u de mening dat het betalen van criminelen alleen maar hun businessmodel van ransomeware steunt en dat overheidsgeld niet gebruikt moet worden om criminelen te financieren? Zo ja, welke maatregelen gaat u nemen om herhaling te voorkomen? Hoe wordt hierbij rekening gehouden bij een eventuele aanvraag voor financiering van onderzoeksinstituut Wetsus voor het jaar 2021? Zo nee, welke maatregelen gaat u desondanks nemen om herhaling te voorkomen?

Vraag 11

In hoeverre kan de hack van het onderzoeksinstituut Wetsus worden gelieerd aan de waarschuwing van de AIVD dat het veiligheidsbewustzijn en de weerbaarheid van Nederlandse kennisinstellingen onvoldoende zijn tegen risico’s van diefstal van onderzoeksbevindingen vanuit landen zoals China?

Vraag 12

Is er volgens u binnen kennisinstituten voldoende bewustzijn over het plaatsvinden van spionage door China? Zo nee, wat gaat u doen om dit bewustzijn te vergroten? Zo ja, welke maatregelen worden binnen deze instituten genomen?

Vraag 13

Hoe helpt de Nederlandse regering kennisinstituten met het beschermen van hun kennis, patenten, octrooien etc.? Wordt hier voorlichting over gegeven aan kennisinstituten? Bestaan er, net zoals hij het MKB, subsidies voor cyberweerbaarheid voor onderzoeksinstituten? Zo nee, waarom niet?

Vraag 14

Op welke manier ontvangt het onderzoeksinstituut Wetsus financiering van de lokale, nationale en Europese overheid? Hoe hoog zijn deze bedragen? Klopt het ook dat onderzoeksinstituut Wetsus nog opzoek is naar financiering voor het jaar 2021? Wat gaat u (daarmee) doen?

Vraag 15

Klopt het dat uit onderzoek, dat is uitgevoerd in opdracht van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), is gebleken dat het financieringsmodel van onderzoeksinstituut Wetsus niet duurzaam is en dat een onafhankelijke commissie heeft geadviseerd om het financieringsmodel minder afhankelijk te maken overheidsfinanciën? Welke oplossing ziet u daarvoor, aangezien Wetsus is een belangrijk kennisinstituut is?

Vraag 16

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Kent u het bericht «Sanderink (Centric): «Miljoenenwinst is -verlies»»?1

Ja.

Vraag 2

Vindt u dit een zeer zorgwekkend bericht, aangezien de (financiële) positie van een belangrijke IT-leverancier van de Nederlandse overheid nu ernstig in gevaar lijkt te zijn?

Ik zie, gelet op berichtgeving die volgde na uw vragen, de huidige situatie niet als zorgwekkend.
Nadat uw vragen gesteld werden, is het bericht «Sanderink (Centric): «Miljoenenwinst is -verlies»»?» (d.d. 6 februari 2020) door Centric in een verklaring hersteld. Het bedrijf stelt: «Onlangs is in de media ten onrechte het beeld ontstaan dat Centric verlies zou hebben geleden in 2018.» Dit bericht wordt door het door u geciteerde medium (Computable) onderschreven op 11 februari in het artikel «Centric: «Wél winst gemaakt in 2018»» en op 21 februari in het artikel «Centric herziet herziening jaarcijfers 2018».2
Eerder werden door de leden Omtzigt, Ronnes en Amhaouch (allen CDA) aan de Ministers van Financiën en van Economische Zaken en Klimaat ook vragen over deze kwestie gesteld (ingezonden 7 januari 2020). Deze vragen waren uitgebreider en zijn momenteel nog niet beantwoord. Ik ben in contact getreden met mijn collega’s. Deze vragen zullen op korte termijn worden beantwoord. (Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 1678)

Vraag 3

Heeft u een beeld van de impact voor de Nederlandse overheid (op centraal en decentraal niveau) bij een mogelijk faillissement van Centric?

De hoeveelheid opdrachten die Centric binnen de rijksoverheid uitvoert is beperkt. Centric is het meest actief in de gemeentelijke sector. De verantwoordelijkheid voor de impact van een mogelijk faillissement van een leverancier aan een gemeente ligt bij de specifieke gemeente die zaken doet met deze leverancier. Ik heb voor het beantwoorden van deze vragen contact gehad met de Vereniging Nederlandse Gemeenten (VNG). Vanuit de VNG zijn er op dit moment geen zorgen.

Vraag 4

Bent u, mede vanuit uw ketenverantwoordelijkheid, bereid om te inventariseren welke (nood)maatregelen aan de kant van de overheid getroffen dienen te worden indien Centric failliet gaat en wilt u de Kamer hierover informeren?

Gelet op het antwoord op vraag 2, acht ik het op dit moment niet opportuun om (nood)maatregelen te inventariseren.

Vraag 1

Heeft u kennisgenomen van het bericht op Techzine.be van 27 januari 2020 «Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?»?1

Ja.

Vraag 2

Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren geweest tegen het beveiligingslek?

Citrix heeft op 17 december 2019 de kwetsbaarheid bekend gemaakt en tussentijdse mitigerende maatregelen beschikbaar gesteld voor de kwetsbare Citrix-producten. Of bij goed doorvoeren gebruikers beschermd waren tegen de kwetsbaarheid, hangt af van meer factoren dan alleen het al dan niet juist doorvoeren van deze maatregelen. Na de bekendmaking van de kwetsbaarheid door Citrix, heeft het Nationaal Cyber Security Centrum (NCSC) op 18 december 2019 in een beveiligingsadvies geadviseerd om de door Citrix beschikbaar gestelde tussentijdse mitigerende maatregelen door te voeren. In januari 2020, heeft het NCSC op basis van de toen beschikbare informatie geconcludeerd dat niet alleen als de tussentijdse mitigerende maatregelen niet of niet goed waren doorgevoerd, maar ook als deze niet vóór 9 januari 2020 op de juiste wijze waren doorgevoerd, organisaties ervan moesten uitgaan dat hun systemen niet beschermd waren. Daarnaast heeft Citrix 16 januari 2020 aan het NCSC gemeld dat de tijdelijke beschikbaar gestelde oplossing bij één softwareversie mogelijk niet effectief is geweest. Dit was ten tijde van bekendmaking van de kwetsbaarheid door Citrix nog niet bekend. Het NCSC heeft steeds zijn adviezen afgestemd op de laatst beschikbare informatie. Voor een overzicht hiervan verwijs ik u naar de brieven aan uw Kamer over dit onderwerp van 20 en 23 januari 2020.2

Vraag 3

Indien het klopt wat de CISO van Citrix beschrijft ten aanzien van de tijdelijke oplossing, waarom is deze oplossing dan niet doorgevoerd bij de overheidsdiensten die gebruik maken van Citrix?

Het beveiligingsadvies van het NCSC van 18 december 2019 is op 24 december 2019 verhoogd naar het hoogste niveau (high/high: hoge kans op misbruik én hoge schade aan systemen bij misbruik). De overheid hanteert de Baseline Informatiebeveiliging Overheid (BIO) als basisnormenkader voor haar informatiebeveiliging. Ten aanzien van kwetsbaarheden met een hoge kans op misbruik en een hoge schade aan systemen bij misbruik (high/high) schrijft de BIO voor kwetsbaarheden binnen één week op te lossen en in de tussentijd mitigerende maatregelen te treffen op basis van een risicoafweging.
Er zijn bij het NCSC en CIO-Rijk geen aanwijzingen dat Rijksoverheidsdiensten de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist hebben doorgevoerd. Wel is bij het NCSC bekend dat er binnen de rijksoverheid nog organisaties waren die deze oplossing niet of niet tijdig hebben doorgevoerd. Informatie van semipublieke organisaties is niet beschikbaar.
Ten aanzien van medeoverheden (provincies, gemeenten en waterschappen) zijn er geen aanwijzingen bij het Ministerie van BZK dat de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist zijn doorgevoerd. Overheden zijn autonome bestuursorganen en zijn zelf verantwoordelijk voor hun informatieveiligheidsbeleid, inbegrepen de risicoafweging die zij maken en de maatregelen die zij treffen.
Deze casus wordt geëvalueerd in opdracht van de Minister van Justitie en Veiligheid. De daaruit geleerde lessen worden samen met de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting» met uw Kamer gedeeld.

Vraag 4

Is er sprake geweest van overheidsdiensten of semipublieke organisaties die de tijdelijke patch die op 17 december 2019 werd gepubliceerd door Citrix onjuist hebben doorgevoerd? Doet u daar onderzoek naar?

Zie antwoord vraag 3.

Vraag 5

Kunt u lering trekken uit de wijze waarop andere landen om zijn gegaan met dit beveiligingslek? Kunt u verklaren waarom met name in Nederland dit beveiligingslek tot grote problemen heeft geleid?

Elk land maakt eigen afwegingen met betrekking tot kwetsbaarheden in informatie- en netwerksystemen. Internationaal heeft Nederland snel, maar niet als enige gehandeld als het gaat om advisering over hoe om te gaan met deze kwetsbaarheid. Door het NCSC is meerdere malen contact en afstemming geweest met collega-organisaties in het buitenland.

Vraag 6

Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?

Zodra een kwetsbaarheid publiek bekend wordt gemaakt, stellen veel leveranciers in beginsel zo snel mogelijk een sluitende oplossing beschikbaar, zodat de kans op misbruik kan worden beperkt. In de Leidraad Coordinated Vulnerability Disclosure3 van het NCSC zijn bouwstenen opgenomen die organisaties kunnen gebruiken voor het maken van een eigen beleid t.a.v. het verhelpen van kwetsbaarheden. In deze leidraad wordt een richtlijn meegegeven van 60 dagen voor het kunnen verhelpen van kwetsbaarheden in software voordat deze publiekelijk worden gemaakt, zodat de leverancier voldoende tijd heeft om bij bekendmaking ook een oplossing beschikbaar te hebben. In het geval van de Citrix kwetsbaarheid zijn er ten tijde van bekendmaking van de kwetsbaarheid alleen tussentijdse mitigerende maatregelen beschikbaar gesteld. Elke kwetsbaarheid is anders en elke leverancier kan eigen richtlijnen hanteren voor het tijdig verhelpen van een kwetsbaarheid. Per leverancier, maar ook rekening houdend met het type systemen, zal maatwerk nodig zijn. Ik hecht er wel waarde aan dat bedrijven omwille van veiligheid van ICT-systemen een duidelijk beleid hanteren voor het zo snel mogelijk verhelpen van kwetsbaarheden.

Vraag 1

Klopt het dat er intern bij de Belastingdienst weerstand is tegen de onduidelijkheid en de hoge kosten die eHerkenning met zich meebrengt?1 Waar is de interne weerstand tegen de implementatie van eHerkenning op gebaseerd?2 Wat is er met deze weerstand gedaan? Deelt u de mening dat er onvoldoende is geluisterd naar de mensen op de werkvloer die tegen de implementatie van eHerkenning zijn? Zo nee, waarom niet? Zo ja, waarom wel?

De zorgen over een betaald inlogmiddel zijn meegewogen en geadresseerd in de implementatie en tijdens de parlementaire behandeling van het wetsvoorstel Wet digitale overheid. De Belastingdienst is nadrukkelijk betrokken bij de Rijksbrede implementatie en mediacampagne rond eHerkenning en de implementatie bij het UWV. Bij leveranciers is aangedrongen op een passend prijsbeleid.

Vraag 2

Hoeveel vragen en klachten heeft de Belastingdienst ontvangen? Wat is hiermee gedaan?

De Belastingdienst heeft circa 60 klachten ontvangen van ondernemers. Ook zijn brieven ontvangen van FNV en het Interkerkelijk Contact in Overheidszaken (CIO). Met het CIO is zowel de Belastingdienst als het Ministerie van Binnenlandse Zaken in gesprek om spoedig tot een oplossing te komen. De Belastingdienst zal alle klachten zo snel mogelijk behandelen.

Vraag 3

Hoe duidt u de zorgelijke signalen uit het bedrijfsleven? Op welke manier is het bedrijfsleven betrokken bij de regelgeving rond eHerkenning? Wat waren hun reacties op de voorliggende voorstellen en wat is er met deze reacties gebeurd?

MKB-Nederland en VNO-NCW heeft het idee van eHerkenning, het gemak daarvan en de verhoogde betrouwbaarheid van de online identiteit altijd ondersteund. VNO-NCW en MKB-Nederland voert ook in nauwe afstemming met BZK/Logius campagne voor het gebruik van eHerkenning. Tegelijk maakt zij ook bezwaar tegen de verplichtstelling daarvan door de Belastingdienst.
Zie ook:
en
Bij de consultatie van het wetsvoorstel Generieke Digitale Infrastructuur3 heeft VNO-NCW aangegeven voorstander te zijn van de acceptatieplicht voor erkende middelen. Het redeneerde dat door de verplichting van bestuursorganen om erkende middelen te accepteren ondernemers gebruik kunnen maken van de voor hun meest relevante en optimale authenticatieservice. Het betoog daarbij was dat deze keuzevrijheid op zichzelf weer marktwerking in de markt van authenticatiemiddelen stimuleert, waardoor ook continue innovatie en prijs-optimalisatie plaatsvindt. Dit zou telkens een versnelling in de digitale dienstverlening teweeg kunnen brengen.
eHerkenning als inlogmiddel bestaat al sinds 2009. Overheidsbreed is er al ruime ervaring opgedaan met het gebruik door ondernemers. De Belastingdienst heeft voorafgaand aan de invoering van eHerkenning onderzoek gedaan. Deze onderzoeken zijn tegelijk met de beantwoording van deze vragen naar uw Kamer gestuurd. Ondernemers geven aan positief te staan tegenover het verhogen van de betrouwbaarheid van inlogmiddelen maar blijven kritisch over de kosten.

Vraag 4

Kunt u verklaren waarom het bedrijfsleven nog steeds kritisch is op eHerkenning en dan met name op het feit dat er geen rekening wordt gehouden met de negatieve impact ervan op ondernemers en het geen wettelijke grondslag lijkt te kennen?

Zoals ook geantwoord op de vragen die 23 december 2019 zijn gesteld door de leden Omtzigt en Lodders moeten overheidsinstanties, waaronder de Belastingdienst, in overeenstemming met de Algemene verordening gegevensbescherming (AVG) handelen. Informatiesystemen die persoonsgegevens verwerken, behoren aan bepaalde eisen te voldoen ten aanzien van toegangsbeveiliging. Op grond van artikel 5, eerste lid, letter f, van de AVG moeten passende technische beveiligingsmaatregelen worden genomen. De Belastingdienst stelt daarom dat organisaties voor het doen van de aangiftes loonheffingen en vennootschapsbelasting via het ondernemersportaal per 1 januari 2020 een inlogmiddel dienen te gebruiken dat ingevolge Verordening (EU) nr. 910/2014 (de zogeheten eIDAS-verordening) voldoet aan het beveiligingsniveau «substantieel» en bij de Europese Commissie is genotificeerd. Op dit moment is eHerkenning (niveau 3) het enige inlogmiddel dat hieraan voldoet. Eenmanszaken kunnen op het Mijn Belastingdienst zakelijk portaal met DigiD inloggen.
Het bedrijfsleven lijkt niet zozeer kritisch over eHerkenning in algemene zin- zie ook het standpunt van VNO-NCW en MKB NL – maar vooral over de kosten en de betrokkenheid van commerciële aanbieders. Onderzoek van de Belastingdienst wijst uit dat een deel van de kritische houding voortkomt uit onbekendheid met dit inlogmiddel. Daarnaast is in het kabinetsbeleid de overweging gemaakt dat de voordelen van een beveiligde communicatie met de overheid deze kosten rechtvaardigt.
Met name ondernemers die aangifte omzetbelasting doen zijn kritisch ten aanzien van de kosten van eHerkenning. Voor hen blijft het oude portaal van de Belastingdienst beschikbaar en kunnen zij inloggen met de bekende combinatie van gebruikersnaam en wachtwoord.

Vraag 5

Hoeveel ondernemers moeten de eHerkenning nog aanvragen?

Er is geen exact beeld te geven, omdat een deel van de doelgroep inmiddels al over een passend eHerkenningsmiddel beschikt (maar dit nog niet heeft gebruikt). Het is ook mogelijk dat een deel besloten heeft om de aangifte voortaan uit te besteden of gebruik te maken van een professioneel aangiftepakket. In deze gevallen hebben ondernemers geen eHerkenning nodig om aangifte te doen.
Wel bekend is dat:

Vraag 6

Klopt het dat ondernemers naast de aanschaf van eHerkenning ook nog op extra kosten worden gejaagd bijvoorbeeld door een identificatiecheck paspoort door een derde?

Nee, dat klopt niet. De Identificatiecheck zit in principe in de prijs inbegrepen. In uitzonderlijke gevallen kan extra fysieke identificatie ter plekke nodig zijn. Dan rekenen sommige leveranciers wel een meerprijs.

Vraag 7

Op welke manier kunnen ondernemers uitstel aanvragen bij de Belastingdienst voor het doen van aangifte via eHerkenning?

Zoals toegezegd in de brief over de invoering van eHerkenning d.d. 29 januari jl.4 informeer ik u hierbij nader over de verschillende mogelijkheden die ik heb om uitstel te verlenen en zo onterechte boetes te voorkomen.
De Belastingdienst verleent proactief uitstel voor ondernemers die aangifteplichtig zijn voor de loonheffingen, rechtspersoon zijn en hun laatst ingediende aangifte hebben gedaan via het oude ondernemersportaal van de Belastingdienst. Dit geldt voor ondernemers die overstappen naar Mijn Belastingdienst Zakelijk en daarvoor eHerkenning aanschaffen, maar ook voor ondernemers die voortaan een fiscaal dienstverlener of marktsoftware inzetten om aangifte te doen. Ondernemers die hun laatst ingediende aangifte hebben gedaan via een fiscaal dienstverlener of marktsoftware komen niet in aanmerking voor proactief uitstel. De groep, die in aanmerking komt voor proactief uitstel, ontvangt van de Belastingdienst binnenkort een brief waarin staat dat uitstel tot 1 juli wordt verleend voor de loonaangifte 2020 en de betaling daarvan. Deze groep hoeft daarvoor niet zelf een verzoek om uitstel te doen. De aangifteplichtige kan ook afzien van het proactief verleende uitstel.
Eenmanszaken kunnen inloggen met DigiD en krijgen geen uitstel. Voor overige werkgevers geldt dat zij een verzoek tot uitstel voor de aangifte loonheffing kunnen indienen voordat de uiterste inleverdatum van de aangifte verstreken is. Uitstel aanvragen kan door een schriftelijk verzoek te sturen (aan postbus 8738, 4820 BA Breda) onder vermelding van het loonheffingsnummer, de aanleiding van de aanvraag, de tijdvakken waarvoor uitstel wordt gevraagd en of uitstel wordt gevraagd voor het doen van de aangifte en/of de betaling.
Ondernemers kunnen voor 1 juni uitstel voor het doen van de aangifte vennootschapsbelasting aanvragen via het ondernemersportaal van de Belastingdienst of door op het openbare gedeelte van de website van de Belastingdienst het uitstelformulier te downloaden, in te vullen en per post te retourneren. Het reguliere uitstel wordt altijd verleend en is vijf maanden. Voor langer uitstel moet het verzoek worden onderbouwd.

Vraag 8

Waarom wordt er gestopt met het oude Belastingdienst-portaal en wat zijn de alternatieven?

Het portaal van de Belastingdienst is technisch zeer verouderd. Wijzigingen in de omzetbelasting als gevolg van nieuwe wetgeving kunnen hierop niet meer worden doorgevoerd. Wijzigingen voor de loonaangifte en Vennootschapsbelasting kunnen worden doorgevoerd op het nieuwe portaal.
Het oude portaal voor ondernemers blijft ook in 2020 nog beschikbaar voor de omzetbelasting. Vanaf januari 2020 is het echter niet meer mogelijk om nieuwe aangiftes Loonheffingen en Vennootschapsbelasting via het oude portaal te doen. Dit kan op het nieuwe Mijn Belastingdienst Zakelijk portaal.
Ondernemers die geen gebruik kunnen of willen maken van het nieuwe portaal kunnen gebruik maken van een fiscaal dienstverlener of professionele administratie- en aangiftesoftware aan te schaffen om aan hun aangifteverplichtingen te voldoen.

Vraag 9

Klopt het dat er een «Restgroep» van ongeveer 60.000 ondernemingen bestaat die niet de mogelijkheid heeft om eHerkenning aan te vragen? Deelt u de mening dat er klaarblijkelijk onvoldoende is nagedacht over de gevolgen van eHerkenning voor deze groep omdat de gangbare inlogprocessen niet geschikt zijn voor hen om de aangifte te kunnen doen? En deelt u de mening dat de overheid met de invoering van eHerkenning op deze manier juist meer problemen creëert? Zo nee, waarom niet? Zo ja, waarom wel?

Er zijn ongeveer 540 organisaties die geen eHerkenningsmiddel kunnen krijgen om de aangifte loonheffingen of vennootschapsbelasting te doen. Het aantal van 60.000 omvat de restgroep voor de aangifte omzetbelasting voor het geval dat eHerkenning vereist zou worden voor de aangifte omzetbelasting. Echter, voor het doen van aangifte omzetbelasting is de gangbare inlogmethode beschikbaar (gebruikersnaam en wachtwoord); eHerkenning is hiervoor nu niet vereist.
Ik ben van mening dat de aanloopproblemen van de implementatie zorgvuldig zijn afgewogen tegen het belang dat de toegang tot informatiesystemen, die persoonsgegevens verwerken, ingevolge de AVG passend zijn beveiligd zodat onbevoegden geen toegang krijgen tot gegevens van ondernemers.

Vraag 10

Wat gaat u doen om zorg te dragen dat (kleine) ondernemers kosteloos, zoals nu ook het geval is, hun belastingaangifte kunnen doen?

De meeste kleine ondernemers (eenmanszaken) kunnen gebruik maken van DigiD. Kleine ondernemers met rechtspersoonlijkheid kunnen gebruik maken van eHerkenning. Bij de behandeling van de Wet Digitale Overheid op 5 februari 2020 is toegezegd dat ik samen met de Minister van Binnenlandse Zaken en Koninkrijksrelaties binnen 4 weken met een nadere brief kom waarin wij ingaan op een mogelijke oplossing om tijdelijk tegemoet te komen aan de zorgen van kleine bedrijven over de (aanschaf)kosten van een herkennings-middel.

Vraag 1

Bent u bekend met het artikel «Sorry, alle IP-adressen zijn al vergeven»?1

Ja.

Vraag 2

Bent u bekend met het probleem rondom het opraken van IPv4 IP-adressen? Welke kortetermijnoplossingen ziet u?

Ja, het opraken van IPv4-adressen is al geruime tijd een bekend onderwerp.
De Europese organisatie die IP-adressen beschikbaar stelt, RIPE NCC, heeft in november 2019 bekend gemaakt dat alle voor Europa gereserveerde IPv4-adressen gebruikt zijn en dat er voor organisaties in Europa alleen nog de mogelijkheid is om op de wachtlijst te komen als adressen weer vrijkomen.
Er zijn geen goede korte termijn oplossingen. Er is echter een markt ontstaan waar niet gebruikte adressen verhandeld worden voor vaak hoge bedragen.
Daarnaast is een technische workaround bedacht (zoals een hulpmiddel bekend als Network Address Translation) dat het mogelijk maakt een IPv4-adres te gebruiken voor meerdere toepassingen, gebruikers of componenten in plaats van de oorspronkelijk bedoelde enkele toepassing, gebruiker of component. Een dergelijke workaround heeft mogelijk enig voordeel zolang IPv6-adressen nog niet veel gebruikt worden, maar beperkt bij verdere digitalisering (Internet of Things, AI) de mogelijkheden op gebied van veiligheid en dienstverlening die IPv6-adressen wel bieden.

Vraag 3

Klopt het dat (semi-)overheidsinstellingen grote hoeveelheden ongebruikte IPv4-adressen bezitten? Ziet u het vrijgeven van dergelijke IPv4-adressen als mogelijke oplossing om de nood op de korte termijn te verlichten?

De overheid heeft in het verleden IPv4-adressen aangevraagd en toegewezen gekregen. In theorie zou de overheid IPv4-adressen die niet meer nodig zijn kunnen verkopen aan andere partijen. Dit is echter onwenselijk en gebeurt dus ook niet, omdat dit zou bijdragen aan het in gebruik blijven van IPv4-adressen en de overgang naar IPv6-adressen belemmert. Deze overgang is dringend gewenst vanwege de verwachte toename van op internet aangesloten apparatuur en programmatuur. Al deze apparatuur en programmatuur moet van een internetadres kunnen worden voorzien.

Vraag 4

Deelt u de mening dat de echte oplossing zit in de overgang naar IPv6? Waar zit nu de belemmering in de overgang naar IPv6? Welke stappen neemt u, in overleg met de sector, om de overgang naar IPv6 te bevorderen? Bent u bereid om hiervoor een deadline af te dwingen?

Ja, de echte oplossing zit in de overgang door alle partijen en gebruikers naar IPv6.
De overgang naar IPv6 vergt investeringen door enerzijds alle leveranciers die de technische componenten ontwikkelen (zoals emailsoftware, netwerkapparatuur voor routering of interconnectie, enz.) en anderzijds de internetgebruikers -zowel organisaties, bedrijven als particulieren- die componenten moeten aanschaffen en installeren. Een bijkomend aspect hierbij is dat een zeer groot deel van de leveranciers buiten Nederland of zelfs de EU gevestigd zijn.
Met andere woorden, aan de overgang naar IPv6 zijn kosten verbonden, terwijl de voordelen, die op het gebied van veiligheid en dienstverlening liggen, pas duidelijk worden naarmate meer partijen overgaan op IPv6. Het dilemma hierbij is wie als eerste start met aanpassen en dus moet investeren. Een toepassing die alle partijen noodzaakt over te gaan op IPv6 adressering, is er niet of nog niet. Dit draagt ook bij aan de situatie dat IPv4 en IPv6-adresseringen lange tijd naast elkaar zullen blijven bestaan.
Gezien het zeer grote aantal private en publieke partijen dat een investering moet doen en deze investering moet inpassen in hun eigen investeringsplannen, laat de overheid het initiatief voor overgang naar IPv6 primair aan deze partijen. Wel stimuleert de overheid al geruime tijd de overgang naar IPv6 door voorlichting via het Platform Internetstandaarden waaraan marktpartijen, bedrijven en overheden deelnemen. Het Platform biedt onder andere kennis aan partijen ter ondersteuning bij de overgang naar IPv6 en daarnaast heeft het Platform de website Internet.nl ontwikkeld waar iedereen de door hem of haar gebruikte website of email voorziening kan laten testen op daadwerkelijk gebruik van onder meer IPv6. De overheid zelf hanteert bij inkopen de «pas toe of leg uit» lijst van standaarden en let er bij aanschaf van telecom en ICT-componenten op dat deze componenten IPv6 gebruiken.
Daarnaast zal op korte termijn een overheidsbrede afspraak gemaakt worden met het Forum Standaardisatie over de inspanningsverplichting om eind 2021 alle overheidswebsites en emailvoorzieningen bereikbaar te maken via IPv6 adressering. De overheid heeft hierin dus een stimulerende rol, geen afdwingende.

Vraag 1

Heeft u kennisgenomen van het bericht «Consumentenbond luidt noodklok om illegale datahandel» van 14 januari 2020?1

Ja

Vraag 2

Wat is uw appreciatie van het rapport «Out of Control» van de Noorse consumentenbond? Deelt u de strekking van het rapport dat illegale datahandel staande praktijk is in Europa?

Het rapport schetst een uitgebreid beeld van de handel in data en kaart terecht aan dat het voor burgers vaak zeer lastig is om controle te houden over wat er met hun persoonsgegevens gebeurt, zeker wanneer wet- en regelgeving niet worden nageleefd door de partijen die de gegevens verwerken. Het rapport focust met name op een aantal specifiek onderzochte apps, maar benoemt in brede zin ook dat de handel in data in Europa en daarbuiten wijdverspreid is. Het rapport zet vervolgens vraagtekens bij de kwestie in hoeverre deze grootschalige handel legaal kan zijn.
Ik zie net als de opstellers van het rapport dat er enorme hoeveelheden data worden verhandeld, maar vind het tevens belangrijk dat er per zaak wordt bepaald of de data in kwestie rechtmatig wordt verwerkt. Ik juich het dan ook toe dat dat de Autoriteit Persoonsgegevens (AP) in haar document «Focus AP 2020–2023» datahandel als één van de drie focusgebieden voor de komende jaren aanmerkt.2

Vraag 3

Deelt u de mening dat de groeiende handel in persoonsgegevens een risico vormt door individuen kwetsbaar te maken voor manipulatie en discriminatie?

Het illegaal verhandelen en verkopen van persoonsgegevens vind ik een zeer kwalijke zaak. Deze handel draait om het creëren van gedetailleerde profielen van individuen door hun gedrag te monitoren. Wanneer er gedetailleerde profielen worden samengesteld die terug te voeren zijn op specifieke individuen kan er een vergroot risico op discriminatie en manipulatie ontstaan. Dit manifesteert zich met name wanneer de transparantie en informatieverplichtingen uit de relevante wetgeving worden geschonden, omdat betrokkenen zich in dat geval niet bewust zijn van het feit dat zij worden geprofileerd. Het is om die reden van groot belang dat de AP, zoals hiervoor aangegeven, datahandel als een focusgebied heeft aangemerkt.
Wanneer betrokkenen wél bekend zijn met de verwerking van hun gegevens hebben zij de mogelijkheid op te treden tegen mogelijke discriminatie of manipulatie door bijvoorbeeld een klacht in te dienen bij de toezichthouder.

Vraag 4

Klopt het dat het doorverkopen of doorgeven van persoonsgegevens aan derden, zonder toestemming van de consument, een schending van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) betreft?

Het is in dit kader van belang om onderscheid te maken tussen enerzijds het doorgeven van gegevens en anderzijds het doorverkopen van gegevens.
Bij het doorgeven van persoonsgegevens is het afhankelijk van de specifieke situatie of het doorgeven van gegevens rechtmatig is. Het doorgeven van gegevens is een «verwerking» in de zin van de AVG en mag in ieder geval nooit zonder grondslag. De AVG biedt zes grondslagen waarop een verwerking van persoonsgegevens rechtmatig kan zijn. Het is afhankelijk van de specifieke situatie welke grondslag van toepassing is en of de verwerkingsverantwoordelijke voldoet aan alle eisen om de verwerking rechtmatig te laten zijn.
Voor de doorverkoop van persoonsgegevens ligt dit anders. Recent heeft de AP haar normuitleg over de rechtsgrond «gerechtvaardigd belang» gepubliceerd.3 Hierin overweegt de AP onder meer dat bijvoorbeeld het enkel dienen van zuiver commerciële belangen of winstmaximalisatie geen «gerechtvaardigd belangen» van de verwerkingsverantwoordelijke kunnen zijn in de zin van artikel 6 AVG. Dit brengt met zich mee dat de doorverkoop van persoonsgegevens in beginsel alleen rechtmatig kan zijn wanneer de betrokkene hier toestemming voor heeft gegeven.

Vraag 5

Bieden de AVG en UAVG voldoende handvatten om ongewenste datahandel te bestrijden? Zo ja, hoe is het mogelijk dat illegale datahandel nog altijd staande praktijk is volgens het rapport van de Noorse consumentenbond? Zo nee, op welke punten zou additionele wetgeving wenselijk kunnen zijn?

De AVG en de UAVG bieden voldoende handvatten om onrechtmatige handel in persoonsgegevens te bestrijden. De opstellers van het rapport betogen dat de onderzochte activiteiten veelal niet in overeenstemming zijn met de bestaande normen. Dit duidt er tevens op dat er voldoende normen zijn die de handel in persoonsgegevens reguleren, en dus om ongewenste handel in persoonsgegevens te bestrijden. Verder wil ik u er graag op wijzen dat de handel in gegevens in sommige gevallen ook wordt geraakt door de normen uit de Telecommunicatiewet. Het is dan ook goed om te vernemen dat de AP samenwerkt met haar collega toezichthouders om de onrechtmatige handel in data tegen te gaan.4

Vraag 6

Klopt het dat de privacyverklaringen van sommige van de onderzochte apps stellen dat gegevens als leeftijd, sekse en gedragsinformatie niet onder de categorie persoonsgegevens vallen? Is dat een overtreding van de AVG en UAVG? Zo nee, waarom niet? Zo ja, wat gaat u doen om deze overtredingen aan te pakken?

Het begrip «persoonsgegeven» wordt in de jurisprudentie breed ingevuld. Het omvat alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het is logischerwijs niet mogelijk om naar eigen inzicht van deze definitie af te wijken. Of dit al dan niet een overtreding van de AVG of UAVG betreft, is aan de bevoegde toezichthouder.

Vraag 7

In uw brief van 11 juni 2019 schreef u dat de aandacht van de Autoriteit Persoonsgegevens (AP) in 2019 nadrukkelijker uit zou gaan naar handhaving en sanctieoplegging; in hoeverre heeft die extra aandacht zich vertaald in concrete resultaten en opgelegde boetes of andere sancties voor het illegaal delen van data?2

De AP heeft mij desgevraagd laten weten dat er inmiddels verschillende onderzoeken lopen op dit terrein. Deze onderzoeken kunnen mogelijk leiden tot handhaving. Gelet op een effectieve uitoefening van de toezichtstaken van de AP kan ik u geen concretere informatie geven over de hoeveelheid onderzoeken of handhavingstrajecten. De AP heeft op dit moment nog geen boetes of andere sancties voor het illegaal delen van persoonsgegevens gepubliceerd. Verder wil ik u er nogmaals op wijzen dat datahandel centraal staat in de strategie van de AP voor de komende jaren (Focus 2020–2023).4

Vraag 8

Hoe vaak is de AP al een formeel handhavingstraject gestart naar aanleiding van het illegaal doorverkopen of doorgeven van persoonsgegevens aan derden, sinds de inwerkingtreding van de UAVG?

Zie de beantwoording vraag 7.

Vraag 9

Bent u van plan om gehoor te geven aan de oproep van de Consumentenbond om meer te doen om illegale datahandel tegen te gaan? Zo nee, waarom niet? Zo ja, op welke manier gaat u dat doen?

De oproep van de Consumentenbond om meer te doen tegen de illegale handel in data is zeer begrijpelijk. Ik juich het dan ook toe dat de AP zich hier de komende jaren specifiek op zal gaan richten.
In het rapport wordt verder aanbevolen om voldoende waarborgen op te nemen in de E-Privacy verordening, waarover in Brussel wordt onderhandeld. Zelf zal ik mij in samenwerking met de Staatssecretaris van Economische Zaken en Klimaat in blijven zetten voor een E-Privacy verordening die burgers voldoende bescherming biedt.
Verder steun ik de oproep die de Noorse consumentenbond doet aan de verschillende toezichthouders op de naleving van het gegevensbeschermingsrecht, maar ook op consumenten- en mededingingsrecht, om waar nodig gezamenlijk op te treden tegen illegale datahandel.

Vraag 1

Bent u bekend met het bericht «Hackpoging ziekenhuis Leeuwarden, NCSC vreest aanvallers in meer systemen»?1

Ja.

Vraag 2

Bent u van mening dat het ziekenhuis direct actie had moeten ondernemen toen het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid Citrix-gebruikers waarschuwde voor de kwetsbaarheid van deze servers voor aanvallen van hackers?

Zorgaanbieders zijn zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid. Zij worden hierin ondersteund door Z-CERT, het cybersecuritycentrum voor de zorg. Het NCSC en Z-CERT staan in nauw contact met elkaar om zo veel als mogelijk voor elkaar relevante informatie uit te wisselen. Z-CERT heeft vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. Het MCL heeft mij laten weten de tussentijdse mitigerende maatregelen van Citrix van medio december niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.

Vraag 3

Kunt u toelichten in hoeverre kwetsbaarheden in servers waar ziekenhuizen gebruik van maken meegenomen worden in de nieuwe wetgeving rondom gegevensuitwisseling in de zorg?

De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ICT-producten mogelijk maken. Kwetsbaarheden in producten zullen overigens aan het licht blijven komen. Daarom is het van belang dat zorgaanbieders blijvend aandacht besteden aan informatiebeveiliging.

Vraag 4

In hoeverre kunt u toelichten of er meer ziekenhuizen in Nederland gebruikmaken van servers van Citrix of andere servers waar kwetsbaarheden zijn ontstaan? Zo ja, hoeveel zijn dit er dan?

Ik heb hier geen inzicht in. Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ICT en welke systemen en/of servers zij gebruiken.

Vraag 5

Kunt u toelichten in hoeverre het dataverkeer tussen overige ziekenhuizen ook stilgelegd is na ontdekking van de hackpoging?

Het is mij niet bekend in hoeverre het dataverkeer tussen overige ziekenhuizen is stilgelegd na ontdekking van de hackpoging bij het Medisch Centrum Leeuwarden (MCL).

Vraag 6

Hoe ziet u de uitspraak van oktober 2019 over het harder aanpakken van bedrijven die hun ICT niet op orde hebben in het licht van de situatie bij het Medisch Centrum Leeuwarden?2

Ik deel met mijn ambtsgenoot Minister Grapperhaus dat informatieveiligheid een prioriteit dient te zijn, zo ook op alle bestuurslagen van de zorgsector. Zoals reeds gemeld zijn zorginstellingen zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Zorginstellingen als het MCL worden hierin ondersteund door Z-CERT. Zorginstellingen moeten zich meer in het algemeen onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN-norm 7510). De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hierop toe. Verder werk ik momenteel aan een herbeoordeling om te bezien of bepaalde organisaties binnen de zorgsector als vitale aanbieders zouden moeten worden aangewezen.

Vraag 1

Wat is uw reactie op het bericht dat hackers erin zijn geslaagd binnen te dringen in de systemen van het Medisch Centrum Leeuwarden (MCL)? Welke schade is hierdoor aangericht? Zijn er patiëntgegevens of andere belangrijke data in handen van onbevoegden gekomen?1

Zorgaanbieders zijn zelf verantwoordelijk voor hun eigen ICT en de informatieveiligheid. Daarbij moeten zij zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN 7510). De IGJ ziet hierop toe. Ik vind het van het grootste belang dat de gegevens van patiënten en zorginstellingen veilig zijn en daarom hecht ik eraan dat de zorginstellingen bij het treffen van maatregelen worden ondersteund door Z-CERT, het cybersecuritycentrum voor de zorg.
Het MCL meldt op haar website dat uit het onderzoek naar de poging tot inbraak op de systemen van het MCL is gebleken dat de aanval niet is doorgedrongen tot de interne systemen of patiëntgegevens. Het MCL heeft mij laten weten dat de patiëntveiligheid geen enkel moment in gevaar is geweest

Vraag 2

Zijn er berichten van andere organisaties in de zorg die hierdoor zijn getroffen? Welke schade hebben zij ondervonden?

Het College Beoordeling Geneesmiddelen heeft laten weten gecompromitteerd te zijn. Hiervan is een melding gemaakt bij NCSC. Forensisch onderzoek loopt nog, maar het huidige beeld is dat er geen indicatoren zijn dat er data is gelekt.

Vraag 3

Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?

Zoals reeds gemeld zijn zorginstellingen zijn zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Daarbij moeten zij zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN 7510). De IGJ ziet hierop toe. Hierbij hoort ook het direct nemen van maatregelen om de risico’s te verkleinen. Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.

Vraag 4

Hoe kan het dat zelfs nadat het Nationaal Cyber Security Centrum (NCSC) op 9 januari jl. waarschuwde dat hackers actief op zoek zijn naar kwetsbaarheden, er niet is gehandeld door het ziekenhuis?

Zie antwoord vraag 3.

Vraag 5

Wat was de rol van Z-Cert, expertisecentrum op het gebied van cybersecurity in de zorg, in deze? Waarom is op de website van Z-Cert sinds december geen bericht te lezen over de risico’s voor organisaties die werken met Citrix?

Z-CERT heeft vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. Z-CERT gebruikt een speciaal platform om met de deelnemers te communiceren. Ook wordt per e-mail gecommuniceerd. Gezien de omvang van de Citrix-kwetsbaarheid, is in dit geval gekozen om ook een advies op de website te plaatsen.

Vraag 6

Kunt u aangeven welke contacten er zijn geweest tussen het NCSC en Z-Cert om zorgaanbieders te informeren en aan te sporen actie te ondernemen?

NCSC en Z-CERT staan in nauw contact met elkaar om informatie uit te wisselen over onder andere kwetsbaarheden in IT-systemen van hun onderscheidenlijke doelgroepen.

Vraag 7

Klopt de analyse van experts dat de samenwerking rondom databescherming tekortschiet?

Deze vraag kan ik niet beantwoorden omdat ik deze analyse niet ken.

Vraag 8

Welke maatregelen gaat u nemen om ervoor te zorgen dat zorginstellingen eerder, actiever en indringender worden bijgestaan bij het nemen van maatregelen om hun data te beschermen tegen hackers?

Zoals reeds gemeld zijn zorgaanbieders zelf verantwoordelijk voor hun eigen ICT en de informatieveiligheid. De IGJ ziet hierop toe. In reactie op de motie van het Kamerlid Ellemeet2 verken ik of deelname aan Z-CERT verplicht kan worden gesteld. Voor de zomer van 2020 zal ik de resultaten hiervan met uw Kamer delen.
Het kabinet werkt aan een landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden waarbinnen informatie over dreigingen, incidenten en kwetsbaarheden breder, efficiënter en effectiever tussen publieke en private partijen wordt gedeeld. In dit verband is Z-CERT eerder deze maand door de Minister van JenV3 aangewezen als computercrisisteam, waaraan op grond van de Wet beveiliging netwerk- en informatiesystemen bepaalde informatie (bv. namen van bedrijven in relatie tot dreigingen) kan worden verstrekt. Dit maakt het mogelijk voor het NCSC om zoveel mogelijk informatie en handelingsperspectieven te delen met Z-CERT.

Vraag 1

Kent u het bericht «MCL legt dataverkeer stil na cyberaanval»?1

Ja.

Vraag 2

Welke invloed heeft het feit dat het Medisch Centrum Leeuwarden (MCL) uit voorzorg al het dataverkeer met de buitenwereld (zoals communicatie met andere ziekenhuizen) heeft stilgelegd voor patiënten die met spoed geholpen moeten worden?

Op 15 januari heeft het MCL gemeld dat er een poging tot digitale inbraak in de systemen is geweest. Daarbij werd gemeld dat uit voorzorg alle dataverkeer met de buitenwereld werd afgesloten. Door deze maatregel konden patiënten niet bij hun elektronische dossier en ook is de elektronische communicatie met andere ziekenhuizen gehinderd. Het MCL heeft laten weten dat de patiëntveiligheid geen enkel moment in gevaar is geweest.
Het MCL heeft op 21 januari via hun website laten weten dat alle systemen weer werken en dat uit onderzoek naar de poging tot inbraak is gebleken dat de aanval niet is doorgedrongen tot de interne systemen van het MCL of patiëntgegevens.

Vraag 3

Welke andere ziekenhuizen werken ook met Citrix-servers?

Dit is mij niet bekend. Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ICT en welke systemen en/of servers zij gebruiken.

Vraag 4

Zijn er bij andere ziekenhuizen ook pogingen gedaan om de Citrix-servers te hacken? Zo ja, hebben hackers kans gezien om in de systemen te komen?

Op dit moment heb ik geen aanwijzingen dat bij andere ziekenhuizen pogingen zijn gedaan.

Vraag 5

Heeft het MCL de «workaround» uitgevoerd, waarmee Citrix medio december 2019 bedrijven adviseerde zich te beschermen omdat er tot op heden nog geen updates zijn die tegen het lek in de Citrix-servers beschermen?2

Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen om uit te zoeken wat precies de redenen waren om niet al in december in te grijpen.

Vraag 6

Kunt u een update geven voor alle ziekenhuizen? Hebben zij voldoende maatregelen getroffen?

Of alle ziekenhuizen workarounds hebben uitgevoerd naar aanleiding van de poging tot hackpoging bij het MCL is mij onbekend. Z-CERT heeft haar deelnemers gewaarschuwd voor de kwetsbaarheid in Citrix en heeft handelingsadvies gegeven en aangeraden om alle stappen te doorlopen uit het beveiligingsadvies van het NCSC.
Citrix heeft inmiddels patches beschikbaar gesteld om de kwetsbaarheid te herstellen. Op basis van zijn informatie adviseert het NCSC op hun website om deze patches te vertrouwen en te installeren, tenzij uit eigen risicoanalyse blijkt dat de systemen waarschijnlijk gecompromitteerd zijn. Het NCSC adviseert ook om na de installatie van de patches te blijven monitoren en detectie toe te passen op misbruik van de kwetsbaarheden.

Vraag 7

Wordt met de «workaround» van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?

Zie antwoord vraag 6.

Vraag 8

Welke ziekenhuizen zijn nog niet aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg?

Alle ziekenhuizen (academisch, topklinisch en algemeen) zijn via de koepel van Nederlandse Vereniging van Ziekenhuizen (NVZ) en de koepel van Nederlandse Federatie van Universitair Medische Centra (NFU) aangesloten. Onderzocht wordt, conform de motie van het Kamerlid Ellemeet, of deelname aan Z-Cert verplicht kan worden. Na het zomerreces zal ik de voortgang van mijn onderzoek met uw kamer delen.

Vraag 9

Wat gaat u doen om te bevorderen dat zo spoedig mogelijk alle ziekenhuizen zijn aangesloten bij Z-Cert?

Zie antwoord vraag 8.

Vraag 1

Bent u bekend met het bericht «Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie»?1

Ja.

Vraag 2

Wat is er precies op kerstavond gebeurd tijdens de cyberaanval op Universiteit Maastricht?

Na de cyberaanval heeft de Universiteit Maastricht gespecialiseerd bureau Fox-IT in de arm genomen om onderzoek te doen naar wat er is gebeurd. Uit het rapport van Fox-IT2 blijkt dat de aanvaller halverwege oktober via phishing e-mails eerste toegang heeft gekregen tot het netwerk van de Universiteit Maastricht. Vervolgens heeft de aanvaller in een periode van ruim twee maanden zichzelf toegang verschaft tot de rest van het netwerk van de Universiteit Maastricht. Dit heeft er uiteindelijk toe geleid dat aan het begin van de avond van 23 december de zogenaamde ransomware is uitgerold in het systeem, waarmee op 267 servers alle bestanden zijn versleuteld. Onder de getroffen systemen bevonden zich zeer kritieke systemen voor de bedrijfsvoering en zijn enkele back-upservers getroffen. Vervolgens is door de hackers losgeld geëist om de versleuteling van de databestanden op te heffen.

Vraag 3

Wat zijn de gevolgen van de cyberaanval op Universiteit Maastricht voor haar studenten? Welke systemen zijn niet meer bereikbaar? Welke back-upsystemen heeft de Universiteit Maastricht? Zouden goede back-upsystemen niet onderdeel moeten zijn van de reguliere beveiligingsprocessen? Hoe groot is de kans dat de data überhaupt niet meer beschikbaar wordt?

In de kerstvakantie is een groot deel van de data niet beschikbaar geweest voor studenten en zijn systemen niet toegankelijk geweest. Op 6 januari is het onderwijs en onderzoek hervat. De centrale systemen zijn snel weer beschikbaar gesteld en ook de decentrale systemen waren in de loop van januari weer te gebruiken. Een beperkte segmentatie binnen het netwerk was één van de redenen dat dit incident kon ontstaan. De Universiteit Maastricht heeft aangekondigd de aanbevelingen van Fox-IT op dit vlak op te zullen volgen. De Universiteit Maastricht geeft bovendien aan dat er voor elk cruciaal systeem inmiddels beter afgeschermde back-ups zijn gemaakt. Er zijn vooralsnog geen aanwijzingen over verminderde beschikbaarheid van data.

Vraag 4

Welke stappen worden er gezet om de documenten van en voor studenten veilig te stellen? In hoeverre heeft de Universiteit Maastricht haar studenten hierover geïnformeerd?

In het door Fox-IT uitgevoerde onderzoek is uitdrukkelijk aandacht besteed aan eventuele data-extractie. Fox-IT concludeert: «Tijdens het onderzoek zijn sporen aangetroffen die aantonen dat de aanvaller data heeft verzameld aangaande de topologie van het netwerk, gebruikersnamen en wachtwoorden van meerdere accounts, en andere netwerkarchitectuur-informatie. Fox-IT heeft binnen de scope van het onderzoek geen sporen aangetroffen die wijzen op het verzamelen van andersoortige data. Additioneel forensisch onderzoek op kritieke systemen, ook wel aangeduid als kroonjuwelen, zou hier meer inzicht in kunnen bieden.» De Universiteit Maastricht heeft aangekondigd vervolgonderzoek te (laten) doen. De Universiteit Maastricht heeft studenten en andere betrokken nagenoeg dagelijks op de hoogte gesteld via de website en sociale media. Studenten hebben hier volgens de Universiteit Maastricht in algemene zin waardering voor geuit.

Vraag 5

In hoeverre kan Universiteit Maastricht garanderen dat wetenschappelijke data beschermd is? Hoe gaat u dit waarborgen?

Zie antwoord vraag 4.

Vraag 6

Hoe gaat Universiteit Maastricht er zo snel mogelijk voor zorgen dat de gijzeling van haar computersystemen wordt beëindigd? Heeft u aanwijzingen dat de universiteit hiervoor losgeld gaat betalen? Kunt u het betalen van losgeld uitsluiten?

Door de Universiteit Maastricht ben ik op de hoogte gesteld van het feit dat er losgeld is betaald aan de criminele organisatie, inclusief de hoogte van het bedrag. Voordat de Universiteit Maastricht hiertoe over is gegaan, heb ik de universiteit kenbaar gemaakt dat de regering van mening is dat er geen geld naar criminelen toe moet vloeien. Het is de eigen afweging van het college van bestuur van de Universiteit Maastricht geweest om het losgeld te betalen. De universiteit heeft mij te kennen gegeven dat de betaling van het losgeld, inclusief alle overige kosten die samenhangen met de ransomware-aanval, bekostigd zijn uit de verkoop van een deelneming van de holding Universiteit Maastricht.

Vraag 7

In hoeverre bent u het met het Expertisecentrum Cyberweerbaarheid Limburg eens, dat het moeilijk te verkopen is dat overheidsinstellingen criminelen gaan betalen om een einde te maken aan de cyberhack van Universiteit Maastricht? In hoeverre bent u betrokken bij het besluit om wel of niet losgeld te betalen aan deze criminelen? Deelt u de mening dat het betalen van deze criminelen ervoor zorgt dat hun verdienmodel in stand wordt gehouden?

Zie antwoord vraag 6.

Vraag 8

Kan Universiteit Maastricht er zeker van zijn dat het betalen van de criminelen er ook daadwerkelijk voor zorgt dat de cyberaanval stopt?2 Zo nee, hoe gaat u er dan voor zorgen dat dit niet gebeurt?

Na het betalen van het losgeld zijn alle versleutelde gegevens van de Universiteit Maastricht ontsleuteld. Daarvoor en daarna heeft de Universiteit Maastricht mitigerende maatregelen getroffen zodat de criminelen geen toegang meer hadden tot het netwerk.

Vraag 9

Op welke manier biedt het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op dit moment hulp aan Universiteit Maastricht?

Kort na de cyberaanval heeft de UM contact opgenomen met het Ministerie van OCW en gedurende de aanval is er nauw contact onderhouden tussen de Universiteit Maastricht, het Ministerie van OCW, de Inspectie, de NCTV, het NCSC en SURF om een volledig beeld te verkrijgen en te adviseren.
Universiteiten en Hogescholen hebben met ondersteuning van OCW in 2018 een Platform Integrale Veiligheid Hoger Onderwijs (Platform IV-HO) opgericht om expertise te bundelen en grip te krijgen op incidenten en veiligheidsrisico’s in het hoger onderwijs waaronder in het cyberdomein. Daarnaast heeft onderwijs-ICT-organisatie SURF veel expertise op het gebied van digitale veiligheid. SURF en het Platform IV-HO staan met elkaar in nauw contact en bundelen zo hun kracht om universiteiten en hogescholen zo goed mogelijk bij te staan en voor te bereiden op dergelijke situaties. Ook in deze situatie hebben het Platform IV-HO en SURF hun expertise beschikbaar gesteld.

Vraag 10

Hoeveel andere universiteiten in Nederland hebben te maken met dergelijke cyberaanvallen of pogingen daartoe? Heeft u aanwijzingen dat naast Universiteit Maastricht ook andere Nederlandse universiteiten aan de beurt zijn?

Cyberaanvallen op grote instellingen in de private en publieke sector zijn aan de orde van de dag. Zo ook bij universiteiten. De universiteiten hebben mij aangegeven dat zij maatregelen hebben aangescherpt om aanvallen af te slaan of de gevolgen van aanvallen te beperken. Daarbij is het goed te realiseren dat 100% veiligheid niet bestaat, zo concludeert ook de Wetenschappelijke Raad voor Regeringsbeleid in het rapport «Voorbereiden op digitale ontwrichting».4 De WRR stelt daarin dat het volledig voorkomen van digitale incidenten een illusie is.

Vraag 11

Deelt u de mening dat informatieveiligheid een belangrijk onderdeel is van de organisatie van onderwijsinstellingen? In hoeverre wordt hierop toegezien binnen de reguliere inspectie?

Het instellingstoezicht door de Inspectie van het Onderwijs (hierna: Inspectie) vindt in het hoger onderwijs plaats naar aanleiding van incidenten of signalen van niet-naleving. De Wet op het hoger onderwijs en wetenschappelijk onderzoek geeft geen specifieke voorschriften voor informatieveiligheid. Van het bestuur mag worden verwacht dat zij zorgdraagt voor de goede voortgang van het onderwijs en daartoe verantwoorde beslissingen neemt over alle aspecten die dat mogelijk maken. Daaronder valt ook de verantwoordelijkheid voor informatieveiligheid. In dat kader heeft de Inspectie een onderzoek ingesteld.

Vraag 12

Zijn er al aanwijzingen waar de cyberaanval op Universiteit Maastricht vandaan komt en met welk doel deze cyberaanval is uitgevoerd? Is de aanval vergelijkbaar met de aanval op Universiteit Antwerpen van afgelopen oktober?

Fox-IT geeft aan dat de werkwijze van de aanvaller overeenkomt met een bij hen bekende criminele groepering, publiek bekend als «TA505», die – volgens hun informatie – al meer dan 150 slachtoffers heeft gemaakt in 2019. De werkwijze is vergelijkbaar met die van de aanval op de Universiteit Antwerpen.

Vraag 13

Welke stappen gaat u zetten om dergelijke cyberaanvallen in de toekomst te voorkomen?3

In de Kamerbrief «Cyberveiligheid in het onderwijs» heb ik aangekondigd dat in het mbo en hoger onderwijs aanvullende acties worden gepleegd om de cyberveiligheid te versterken. In de acties is aandacht voor de lessen die zijn getrokken uit de aanval op Universiteit Maastricht, de toetsing van digitale veiligheid in het onderwijs, de monitoring en scanfunctie en voor vergroten van awareness. Vanuit mijn rol als verantwoordelijke voor de continuïteit van het gehele stelsel, zal ik mij ervan vergewissen dat de continuïteit ook in dit geval geborgd is en mij met enige regelmaat laten informeren over de voortgang van de aangekondigde acties.