Vraag 1

Klopt het dat op 27 maart 2026 besloten is om het DigiD-contract met Solvinity nogmaals voor twee jaar te verlengen?

Op dit moment heeft Logius een contract met Solvinity dat uiterlijk in augustus 2028 afloopt. Binnen het huidige contract kan er gebruik worden gemaakt van een tweede en laatste verlengingsoptie voor de periode van 7 augustus 2026 tot (uiterlijk) 6 augustus 2028. Het gaat hierbij om het contract met Solvinity voor het uitvoeren van de beheerwerkzaamheden aan het platform waar onder andere DigiD op draait. Het is niet mogelijk om voor augustus 2026 over te stappen naar een andere partij zonder dat hierbij de continuïteit en veiligheid van DigiD en andere voorzieningen in gevaar komen. Derhalve heb ik op 27 maart 2026 ingestemd met een contractverlenging voor de periode van 7 augustus 2026 tot 6 augustus 2028.

Vraag 2

Welke overwegingen liggen ten grondslag aan deze keuze? Is het niet verlengen van het contract serieus overwogen?

De afgelopen maanden zijn er door Logius en BZK verschillende mogelijkheden verkend, zoals het versneld overstappen naar een andere leverancier of het zelf in beheer nemen van het platform waar voorzieningen als DigiD op draaien
Het beheer van het platform vraagt om een ervaren beheerorganisatie om de continuïteit en veiligheid van dienstverlening blijvend te kunnen borgen. Op dit moment is het niet mogelijk om het platform in eigen beheer te nemen vanwege het feit dat Logius niet beschikt over voldoende kennis en capaciteit.
Het beheer van het platform versneld onderbrengen bij een andere beheerorganisatie kan ook leiden tot risico’s. De voornaamste reden hiervoor is dat een nieuwe beheerorganisatie kennis en ervaring moet opbouwen met het platform dat door Logius wordt gebruikt. Onder normale omstandigheden wordt hier een periode van 6 tot 12 maanden voor gehanteerd.
Deze overdracht kan plaatsvinden nadat een aanbestedingstraject is doorlopen en een nieuwe contractant is geselecteerd. Dat maakt het niet mogelijk om de overdracht naar een andere leverancier voor augustus 2026 af te ronden. Het vormgeven van een nieuwe aanbesteding en de overdracht naar een nieuwe leverancier is een langdurig traject dat zorgvuldig moet worden doorlopen, juist om de continuïteit en veiligheid van dienstverlening te borgen.

Vraag 3

Welke andere opties heeft u overwogen, behalve het contract met twee jaar verlengen? Waarom zijn deze opties afgevallen?

Zie het antwoord op vraag 2.

Vraag 4

Welke mogelijkheden heeft u om vóór het definitieve beslismoment begin mei alsnog af te zien van de contractverlenging van twee jaar? Kunt u een beroep doen op een voorwaarde in het contract of een wettelijke bevoegdheid om dit vervroegd te doen?

De Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) zijn op deze overeenkomst van toepassing en bieden middels artikel 30 (onder voorwaarden) mogelijkheden tot het tussentijds ontbinden of opzeggen van de overeenkomst.
Voor het definitieve beslismoment van 6 mei 2026 heb ik geen mogelijkheden om af te zien van de contractverlenging. Zoals in de beantwoording op vraag 2 beschreven, zijn er op dit moment geen mogelijkheden om per augustus 2026 over te stappen naar een andere partij die in voldoende mate continuïteit en veiligheid kan borgen.

Vraag 5

Zo niet, heeft u de mogelijkheid om het contract slechts onder voorbehoud te verlengen zolang Solvinity niet door een Amerikaans bedrijf wordt overgenomen? Bent u bereid om zo’n voorbehoud te maken?

Zie antwoord op vraag 2 en 4.

Vraag 6

Heeft u de aangenomen motie-Stoffer c.s. (Kamerstuk 26 643, nr. 1467) en de twee moties-Kathmann c.s. (Kamerstuk 21 501-33, nr. 1190) (Kamerstuk 26 643, nr. 1507) meegewogen in dit besluit? Zo ja, hoe?

Deze zijn meegenomen in het besluit. Het kabinet wacht het oordeel van de onafhankelijke toezichthouder in het kader van het driesporenbeleid zoals vermeld in de Kamerbrief van 10 februari 20261 en de kabinetsreactie van 21 april 20262 af, om vervolgens een besluit te kunnen nemen.
Om vanaf (uiterlijk) augustus 2028 over te stappen naar een contractant waarbij het zeggenschap in Nederlandse/Europese handen ligt3, 4, wor dt er door Logius samen met de Landsadvocaat gekeken naar onder welke voorwaarden de aanbesteding kan worden uitgezet in de markt. In juni 2026 zullen wij uw Kamer hierover informeren.

Vraag 7

Kunt u concreet uitleggen hoe de continuïteit en veiligheid van de dienstverlening in gevaar komt als het contract niet was verlengd? Op basis van welke onderzoeken concludeert u dat?

Logius heeft een leverancier nodig voor het leveren van diensten die benodigd zijn om het platform waarop voorzieningen zoals DigiD staan, te laten draaien. Logius moet daarom een contract afsluiten met een leverancier. Zie voor verdere toelichting het antwoord op vraag 2.

Vraag 8

Is het mogelijk om de DigiD-diensten, die nu in beheer zijn bij Solvinity, binnen drie maanden over te schakelen naar een ander bedrijf? Is deze optie serieus onderzocht?

Zie beantwoording vraag 2.

Vraag 9

Hoe kunt u het DigiD-contract met Solvinity in zo kort mogelijke tijd ontbinden, nog vóór 2028, als de Amerikaanse overname doorgang vindt? Kunt u de Kamer uiterlijk in juni 2026 informeren over de opties die u hiertoe heeft en wat hiervan de kosten zijn?

Zie antwoord op vraag 4 en 6. Ik zal uw Kamer in juni 2026 nader informeren.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het definitieve verlengen van het contract in begin mei beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «Snelgroeiende autonome AI-assistent is een «disaster waiting to happen»»?1

Ja, ik heb kennisgenomen van dit artikel.

Vraag 2

Deelt u de zorgen van experts dat steeds autonomer opererende AI-assistenten risico’s vormen voor veiligheid, privacy, menselijke controle en mentale gezondheid? En kunt u daarbij aangeven welke risico’s u het meest urgent acht?

Ja, die zorgen deel ik. In de Verzamelbrief van 18 december 20252 heeft de voormalig Staatssecretaris Digitalisering en Koninkrijksrelaties uw Kamer geïnformeerd over de resultaten van de forecast «Zicht op de Digitale Toekomst», welke TNO heeft ontwikkeld op zijn verzoek. TNO heeft daarin ook gekeken naar de impact van autonomer opererende AI-assistenten («Agentic AI») op publieke waarden zoals privacy, autonomie en democratie. Een risico is bijvoorbeeld dat gebruikers de controle verliezen op wat AI-assistenten doen. Daarnaast verzamelt en verwerkt het veel persoonlijke gegevens van gebruikers. Omdat deze AI-assistenten zelfstandig werken is het voor gebruikers moeilijk te overzien welke data waar terechtkomt en wat er met die data gebeurt. Een ander risico is dat het niet meer scherp wordt wie verantwoordelijk is voor de handelingen van de AI-assistent. Ook op het gebied van privacy en (cyber)veiligheid zijn er risico’s. Dat geldt met name voor de meer experimentele vormen van AI-assistenten waar in het artikel naar verwezen wordt, en waar ook de Autoriteit Persoonsgegevens recent voor heeft gewaarschuwd.3 Op het moment dat autonome AI-assistenten breed toegang krijgen tot talrijke apps en informatiebronnen, dan kan het misgaan doordat bijvoorbeeld accounts worden overgenomen, hacks worden gezet, of toegang worden verkregen tot privacy gevoelige gegevens (datalekken).

Vraag 3

Acht u het wenselijk dat AI-systemen zelfstandig handelingen, zoals het doen van aankopen en het aangaan van contracten, kunnen verrichten namens gebruikers?

De wenselijkheid van dit soort autonomere AI-toepassingen hangt samen met de wijze waarop en het domein waarin deze worden ingezet. Bij iedere toepassing is het daarbij in beginsel de vraag in hoeverre de inzet rechtmatig en proportioneel is en in lijn met bestaande wet- en regelgeving. Ook is van belang dat duidelijk is wie verantwoordelijk is voor de handelingen die een AI-systeem namens een gebruiker verricht en dat er voldoende waarborgen bestaan op het gebied van bijvoorbeeld transparantie, controleerbaarheid en de bescherming van (andere) publieke waarden. Uiteraard vind ik het daarbij van belang om de ontwikkelingen op het gebied van AI, zoals agentic AI en autonomere AI-systemen, nauwgezet te volgen en hierin ook in Europees verband op te trekken, bijvoorbeeld via de Europese AI Board en andere relevante EU-gremia.

Vraag 4

Zo ja, kunt u aangeven welke toepassingen het kabinet maatschappelijk gezien wenselijk en/of acceptabel vindt, en welke niet?

Zie antwoord vraag 3.

Vraag 5

In hoeverre is het huidige Nederlandse en Europese toezichtkader (waaronder de AI Act) toereikend om risico’s van autonome AI-systemen die zelfstandig taken uitvoeren te ondervangen?

De AI-verordening reguleert autonome AI-systemen zoals AI-assistenten op verschillende manieren. Ten eerste zullen alle AI-assistenten die in gevoelige hoog risico toepassingsgebieden of producten worden ingezet aan de strenge eisen uit de AI-verordening moeten voldoen. De AI-verordening noemt expliciet welke gebieden of producten dit zijn. Dit gaat bijvoorbeeld om een AI-assistent die leerlingen in het onderwijs beoordeelt of een AI-assistent die gebruikt wordt als een medisch hulpmiddel. Eén van de eisen aan deze hoog risico AI-systemen is dat risico’s beoordeeld en gemitigeerd moeten worden. Als dat niet kan, mag het AI-systeem niet voor die risicovolle toepassing ingezet worden. Hiermee worden de gezondheid, veiligheid en grondrechten van mensen beschermd.
Ten tweede worden er eisen gesteld aan autonome AI-systemen die worden ontworpen om directe interacties met mensen te hebben, bijvoorbeeld als ze zelfstandig e-mails uit kunnen sturen of reacties kunnen plaatsen op het internet. De aanbieder van een dergelijk AI-systeem moet ervoor zorgen dat het duidelijk is dat men contact met een AI-systeem heeft, en niet met een mens.
Ten slotte worden er onder de AI-verordening ook eisen gesteld aan de modellen voor algemene doeleinden die de basis vormen van deze autonome AI-systemen. Als deze modellen capaciteiten met een grote impact hebben, bijvoorbeeld door negatieve effecten op publieke gezondheid, veiligheid, fundamentele rechten of de maatschappij als geheel, dan moeten de aanbieders van deze modellen systeemrisico’s in kaart brengen en mitigeren. Capaciteiten zoals vergaande autonomie en het kunnen interacteren met andere hardware en software kunnen mogelijk voor systeemrisico’s zorgen.
Naast de AI-verordening, is ook de digitaledienstenverordening (DSA) mogelijk relevant. De digitaledienstenverordening verplicht zeer grote online platforms- en zoekmachines om de zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of uit de werking van hun dienst en de daaraan verbonden systemen, te beoordelen en te beperken. Dergelijke risico’s omvatten onder meer de verspreiding van illegale inhoud en werkelijke of voorzienbare negatieve effecten op grondrechten, de burgerdialoog en verkiezingsprocessen, minderjarigen of het lichamelijke en geestelijke welzijn van personen. Zulke risico's kunnen bijvoorbeeld ontstaan door het niet-authentieke gebruik van de dienst, zoals het aanmaken van nepaccounts, het gebruik van bots en andere geautomatiseerde of gedeeltelijk geautomatiseerde gedragingen. Dit kan leiden tot een snelle en wijdverbreide verspreiding onder het publiek van informatie die illegale inhoud bevat of onverenigbaar is met de algemene voorwaarden van een onlineplatform of onlinezoekmachine, en die bijdraagt aan desinformatiecampagnes. Het is mogelijk dat de risico’s van de inzet van autonome AI-systemen binnen zeer grote onlineplatforms langs deze weg moeten worden aangepakt.

Vraag 6

Welke definitie van verantwoorde AI (innovaties) hanteert het kabinet? En in hoeverre passen AI-assistenten daarin?

AI-innovaties zijn verantwoord als ze voldoen aan geldende wet- en regelgeving (zoals de AI-verordening, de digitaledienstenverordening en andere wettelijke kaders die van toepassing kunnen zijn) en zijn ontwikkeld op een manier waardoor ze geen voorzienbare negatieve gevolgen hebben voor de gezondheid, veiligheid en grondrechten van mensen.
AI-assistenten kunnen ook op een manier ontwikkeld en gebruikt worden dat ze betrouwbaar en mensgericht zijn. Het is van belang dat zowel ontwikkelaars als gebruikers van AI-assistenten zich bewust zijn van de mogelijke risico’s van de technologie in verschillende contexten en hier robuuste maatregelen voor nemen. Aan de ene kant gaat dit om maatregelen om voorzienbare risico’s bij de ontwikkeling van het AI-systeem zo veel mogelijk by design te ontwikkelen, maar ook om maatregelen om een systeem stop te zetten of aan te passen zodra onvoorziene risico’s zich voordoen. Wetgeving zoals de AI-verordening biedt hier kaders voor, onder andere door te bepalen welke toepassingen van AI-assistenten gevolgen kunnen hebben voor de gezondheid, veiligheid en grondrechten van mensen. Toezichthouders, zoals de AP4 en RDI, monitoren risico’s van ontwikkelingen op het gebied van AI en delen best practices voor de aanbieders van deze technologie om hun systemen op een verantwoorde manier te ontwikkelen.

Vraag 7

Kunt u aangeven of het naar uw inzicht wenselijk is dat er vanuit de overheid gebruik gemaakt wordt van autonome AI-assistenten? En op welke vlakken gebeurt dit al? Onder welke voorwaarden wordt dit toegestaan en hoe wordt hierop toegezien in de praktijk?

De wenselijkheid van autonome AI-assistenten is afhankelijk van de context waarbinnen de AI-systemen worden ingezet. Het is vanzelfsprekend dat de inzet ervan gebeurt in lijn met bestaande regelgeving, zoals de AI-verordening, de AVG in het geval er persoonsgegevens worden verwerkt, en andere relevante (sectorale) wetgeving. Op al deze wettelijke kaders is of wordt toezicht ingericht. Voor overheden geldt daarbij sinds april 2025 het overheidsbrede standpunt generatieve AI, wat ook van toepassing is op autonomere vormen van AI, zoals AI-agenten.5 Vooraf dienen overheden daarbij altijd een impactassessment (zoals bijvoorbeeld een gegevensbeschermingseffectbeoordeling of een Impact Assessment Mensenrechten en Algoritmes (IAMA)) te hebben uitgevoerd en dient duidelijk te zijn welk maatschappelijk doel precies wordt gediend met de inzet. De in 2025 – in opdracht van BZK – uitgevoerde overheidsbrede monitor generatieve AI laat een duidelijke toename van het aantal generatieve AI-toepassingen zien, maar daarin zijn nog geen tekenen van (veelvuldig) gebruik van autonomere AI-assistenten.6 Als onderdeel van de AI-prioriteit binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt er voor de Nederlandse overheid gewerkt aan een visie op taalmodellen en aan een herijking van het overheidsbrede standpunt generatieve AI en bijbehorende handreiking.7 Hierbij worden ook de ontwikkelingen op het gebied van autonome (of agentic) AI nadrukkelijk meegenomen. Deze zullen nog dit jaar met uw Kamer worden gedeeld.

Vraag 8

Hoe wordt op dit moment geborgd dat er in kritieke infrastructuur, in sectoren als defensie, de zorg en de overheid zelf, altijd sprake blijft van «meaningful human control» (ofwel «human in the loop») bij het gebruik van autonome AI-assistenten?

In algemene zin hangt de mate van menselijke tussenkomst sterk af van het risico en de mogelijke impact van de toepassing van AI. Onder de AI-verordening worden er eisen gesteld aan onder andere hoog risico AI-systemen die als veiligheidscomponent in de kritieke infrastructuur worden gebruikt, hoog risico AI als medisch product of veiligheidscomponent daarvan en hoog risico AI in gevoelige overheidsgebieden, zoals het toekennen van toeslagen of in de rechtshandhaving. Voor alle hoog risico AI-systemen moet er menselijk toezicht («human in the loop») uitgeoefend kunnen worden. Dit houdt onder andere in dat men de capaciteiten van het systeem moet begrijpen en de werking ervan moet kunnen monitoren. Ook moet het systeem stopgezet kunnen worden. De mate van deze menselijke controle is contextafhankelijk: des te groter het risico, des te steviger het menselijk toezicht moet zijn.
Als het specifiek gaat om dergelijke AI-systemen in het Defensiedomein is menselijke controle noodzakelijk om het oordeelsvermogen van de mens voor AI-systemen te behouden, zodat deze conform het (internationaal) recht kunnen worden gebruikt. In Nederland worden nieuwe middelen en strijdmethoden door de Adviescommissie Internationaal Recht en Conventioneel Wapengebruik (AIRCW) getoetst aan het internationaal recht. De Minister van Defensie besluit op basis van het advies al dan niet goedkeuring te verlenen voor gebruik door de krijgsmacht.
Als het specifiek om de zorg gaat rust vanuit de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) de plicht op zorgaanbieders om medische hulpmiddelen, inclusief AI, te gebruiken die veilig en kwalitatief goed zijn. Individuele zorgverleners zijn vanuit de Wet op de geneeskundige behandelingsovereenkomst (WGBO) verplicht om bij hun werkzaamheden de zorg van een goed hulpverlener in acht te nemen. Dit betekent onder meer dat de zorgverlener altijd eindverantwoordelijk blijft voor medische beslissingen en niet blindelings op AI-systemen mag vertrouwen. Bij het gebruik van autonome AI-systemen zal het systeem dus ook ontworpen moeten worden met deze waarborgen als randvoorwaarden. De Minister van VWS is in de brief over innovatie in de beroepsuitoefening8 van 9 december jl. uitgebreid ingegaan op de acties die worden ondernomen bij het gebruik van AI in de beroepsuitoefening in de zorg.
Wanneer autonome AI-assistenten bijvoorbeeld door overheden worden ingezet in het kader van (algoritmische) besluitvorming, dient daarbij altijd sprake te zijn van betekenisvolle menselijke tussenkomst. Daarbij geldt voor de overheid in het geval van een besluit ook de Algemene Wet Bestuursrecht (Awb). Deze bevat de algemene regels waaraan de overheid moet voldoen bij het nemen van besluiten, onder meer met het oog op transparantie, kenbaarheid en uitlegbaarheid van besluiten. De regels zijn techniekonafhankelijk opgesteld en normeren ook algoritmische besluitvorming en daarmee ook de inzet van AI.
Daarnaast werkt de overheid aan de ontwikkeling van een integraal wegingskader voor de verantwoorde inzet van AI, waarin expliciet aandacht wordt besteed aan het waarborgen van autonomie van AI-systemen, het bevorderen van mensgerichte toepassingen, het inrichten van robuuste terugvalopties ten behoeve van continuïteit, en de zorgvuldige afweging of en in welke gevallen AI -bijvoorbeeld in de vorm van AI-assistenten – passend is. Daarbij geldt in het bijzonder dat binnen de publieke dienstverlening het behoud van betekenisvol menselijk contact met burgers en bedrijven leidend is, en dat steeds nauwgezet wordt beoordeeld welke (repetitieve) taken verantwoord door AI kunnen worden ondersteund of overgenomen. Dit integraal wegingskader wordt ontwikkeld in het kader van de NDS, en de conceptversie is voorzien voor dit jaar (na enkele pilots ermee).

Vraag 9

Welke andere waarborgen (vangrails) zijn naar uw verwachting nog nodig om hier goed mee om te gaan, voor zowel overheid als samenleving, en is bijsturing mogelijk?

Het is bij nieuwe technologische ontwikkelingen, waaronder autonomie AI-assistenten, belangrijk om goed te kijken naar de waarborgen die nodig zijn om hier goed mee om te gaan. Bijvoorbeeld door het principe van ethics-by-design toe te passen zodat publieke waarden zoals privacy, transparantie, autonomie en non-discriminatie al vanaf het begin worden meegenomen. Ik zet mij ervoor in om te zorgen dat publieke waarden gewaarborgd worden, ook bij nieuwe technologische ontwikkelingen zoals quantum en autonome AI-assistenten. Verder merk ik graag op dat binnen de NDS overheden gezamenlijk aan verantwoord en succesvol ontwikkelen van AI-toepassingen werken. Bijkomend doel is om AI breder inzetbaar te maken waardoor de impact en succes van AI groter wordt. Gelet op die bredere inzetbaarheid en de verwachte impact wordt binnen de AI-opschalingsfaciliteit voor overheden een afwegingskader voor het opschalen van AI ontwikkeld, zodat zorgvuldig kan worden gekeken naar de inzet van AI in relatie tot wet- en regelgeving en ethisch verantwoord gebruik. Dit afwegingskader wordt later in 2026 gepubliceerd. Tot slot zou ik ook voorzichtigheid willen bepleiten. Bij experimentele vormen van autonome AI-assistenten zoals OpenClaw is het belangrijk om nu vooral zeer terughoudend te zijn en deze niet te gebruiken op systemen met privacygevoelige of vertrouwelijke gegevens, zoals ook de Autoriteit Persoonsgegevens heeft opgeroepen.9

Vraag 1

Bent u bekend met het bericht «Pedobots gewoon te vinden op internet en dat mag volgens de wet: Anya (7) is vastgebonden en huilt»?1

Ja.

Vraag 2

Deelt u de mening dat dergelijke AI-toepassingen net als kindersekspoppen bijdragen aan de normalisering van seksueel misbruik van minderjarigen, ook wanneer er geen fysiek kind bij betrokken is?

Wij zijn met zijn allen verantwoordelijk voor de bescherming van onze kinderen en moeten elke subcultuur die seksueel misbruik van kinderen normaliseert, bestrijden. Seksueel misbruik van kinderen is onacceptabel en heeft ernstige gevolgen voor de slachtoffers en hun omgeving. Elk slachtoffer van (online) seksueel kindermisbruik is er één te veel. De AI-ontwikkelingen die op dit moment gaande zijn op dit vlak, en de berichten die hierover naar buiten komen, baren mij zorgen. Dit soort ontwikkelingen zijn zeer onwenselijk.

Vraag 3

Deelt u de mening dat gedragingen die in de fysieke wereld strafbaar zijn, ook online niet moeten worden getolereerd, ook wanneer het gaat om nabootsing door middel van AI?

Die mening deel ik. Uitgangspunt van de Wet seksuele misdrijven (hierna: WSM) is dat wat offline strafbaar is, ook online strafbaar is. Het voeren van seksgesprekken met of het aanbieden van AI-seksbots van kinderen keur ik af;iedere poging tot normalisering van seksueel misbruik van kinderen is zeer onwenselijk.
Het enkel voeren van seksgesprekken met een AI-chatbot die zich voordoet als een kind is op dit moment niet als zodanig strafbaar. Datzelfde geldt voor het vervaardigen van een AI-chatbot die zich kan voordoen als een kind.
Dat betekent overigens niet dat gebruikers van zo’n chatbot vrij spel hebben: bepaalde aspecten van het bevragen van of praten met een AI-chatbot zijn mogelijk wel strafbaar, bijvoorbeeld het uitvragen van tips voor seksueel misbruik van kinderen, ex artikel 250a Wetboek van Strafrecht en het via zo’n AI-chatbot uitvragen van/creëren van kinderporno, ex artikel 252 van het Wetboek van Strafrecht.
De strafzaak waarnaar wordt verwezen in het door u aangehaalde artikel van het Algemeen Dagblad is een voorbeeld waarin wel sprake was van een strafbare situatie. Hoewel een en ander altijd afhankelijk is van de omstandigheden van het geval overwoog de rechtbank dat sprake was van voorbereidingshandelingen van seksueel kindermisbruik. In de gesprekken die de verdachte met de AI-chatbot voerde werd niet alleen gesproken, of «gefantaseerd», over misbruik, maar werd hoofdzakelijk informatie vergaard over een methode voor het groomen van het neefje van de verdachte om de voorwaarden te scheppen waarin dat misbruik zou kunnen plaatsvinden. De rechtbank oordeelde dat het chatgesprek daarmee, in samenhang met de geschetste context, een duidelijk instructieve inslag had.2

Vraag 4

In hoeverre biedt het huidige strafrecht voldoende mogelijkheden om op te treden tegen het ontwikkelen van dergelijke bots, het verspreiden ervan en het gebruiken van dergelijks bots met een seksueel oogmerk?

Het ontwikkelen, verspreiden en gebruiken van dergelijke bots is niet strafbaar gesteld. Bepaalde aspecten van het bevragen van/praten met een dergelijke bot zijn mogelijk wel strafbaar, bijvoorbeeld het uitvragen van tips voor seksueel misbruik van kinderen, ex artikel 250a Wetboek van Strafrecht, en het via zo’n AI-chatbot uitvragen van/creëren van kinderporno, ex artikel 252 Wetboek van strafrecht.

Vraag 5

Bent u bereid om het Wetboek van Strafrecht aan te passen zodat ook het creëren, aanbieden of gebruiken van seksueel expliciete AI-personages die minderjarigen voorstellen strafbaar wordt gesteld?

Als beantwoord in de vragen 3 en 4 kunnen bepaalde aspecten van het gebruiken van dit soort bots strafbaar zijn, daarmee zijn er dus nu al instrumenten om dit gedrag aan te pakken. Ik heb daarom op dit moment niet het voornemen om het creëren, aanbieden of gebruiken van deze bots apart strafbaar te stellen.

Vraag 1

Bent u bekend met het Volkskrant-bericht «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (d.d. 5 maart 2026)?1

Ja.

Vraag 2

Hoe beoordeelt u de conclusie van experts dat de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van Amazon worden onderschat?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn. Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:

Vraag 3

Bent u voornemens gebruik te maken van de nieuwe clouddienst van Amazon? Waarom wel of niet?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak. Vanuit deze inzet zullen ook nieuwe ontwikkelingen op de cloudmarkt overwogen worden.

Vraag 4

Bent u bekend met de aangenomen motie van het lid Dassen (Kamerstuk 36 800, nr. 61) over het volledig overstappen op Europese, op open standaarden gebaseerde digitale alternatieven voor de digitale infrastructuur?2

Ja.

Vraag 5

Hoe verhoudt het publiceren, en naar aanleiding van deskundige kritiek weer verwijderen, van dit rapport zich tot de aangenomen motie van het lid Dassen en de brede wens van de Kamer om grootschalig over te stappen naar Europese alternatieven?

Er is geen verband tussen de lopende uitvoering van de motie Dassen en het tijdelijk terugnemen van de publicatie van het rapport. De motie richt zich op het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven, terwijl het tijdelijk terugnemen van de publicatie van het rapport te maken heeft met onduidelijkheden in de interpretatie. Het begeleidende bericht is verduidelijkt en daarna opnieuw geplaatst. De inhoud van het rapport is geheel ongewijzigd.

Vraag 6

Welke alternatieven zijn er al reeds om invulling te geven aan deze motie en hoe snel kunnen deze worden geïmplementeerd?

De motie roept op tot het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven. Deze is in ontwikkeling en zal uiterlijk in het laatste kwartaal van dit jaar aan de Kamer voorgelegd worden.

Vraag 7

Hoe zou het eventueel aanschaffen van diensten van de nieuwe clouddienst van Amazon staan in relatie tot het coalitieakkoord, waarin staat dat het inkoopbeleid van de overheid gebruikt zal worden voor het aanjagen van Nederlandse en Europese ICT-industrie?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Erkent u het risico voor onze digitale soevereiniteit als wij niet versneld overstappen op Europese alternatieven voor onze digitale infrastructuur? Waarom wel of niet?

Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal buitenlandse spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. In algemene zin is de inzet van het kabinet erop gericht om het Europese aanbod van clouddiensten te vergroten en eenzijdige afhankelijkheden van partijen met een marktmacht en partijen uit derde landen af te bouwen.
Hier ziet het kabinet op in met verschillende beleidsinstrumenten zoals wetgeving (Dataverordening en de Digitalemarktenverordening) en innovatiebevordering (o.a. middels het IPCEI CIS). Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen in het digitale domein te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 9

Kunt u deze vragen binnen een week en afzonderlijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met de berichten «Meta blokkeert opnieuw tientallen queer accounts op Instagram» en «Meta heft de blokkade van queer-Instagramaccounts deels op, maar de angst voor herhaling blijft: «Het duwt je terug de kast in»»?1, 2

Vraag 2

Vindt u het acceptabel dat Meta wederom eenzijdig de accounts van tientallen queerorganisaties en queer personen heeft geblokkeerd of zelfs permanent heeft verwijderd?

Vraag 3

Heeft u sinds de beantwoording op de vragen van de leden Dassen en Kathmann over een soortgelijke situatie in december 2025, meer informatie gekregen over de moderatiekeuzes door Meta?3

Vraag 4

Bent u sinds de beantwoording op de bovengenoemde vragen nog verder in contact geweest met Meta over het eenzijdig blokkeren van queer accounts? Zo ja, wat was uw inzet bij deze gesprekken?

Vraag 5

Herkent u de signalen van de getroffen accounts dat het vaak niet lukt om in contact te komen met een echt persoon bij Meta om bezwaar te kunnen maken? Wat kan u hiertegen doen?

Vraag 6

Zijn er signalen dat online accounts worden getroffen door gecoördineerde massameldingen van gebruikers of groepen die het oneens zijn met de inhoud van de accounts? Wat doet Meta om zulke gecoördineerde massameldingen tegen te gaan, met name als deze zich richten tegen minderheidsgroepen?

Vraag 7

Kunt u ingaan op de onevenredig grote gevolgen die zulke blokkades hebben voor queerorganisaties en personen die voor hun zichtbaarheid en bereik afhankelijk zijn van grote online platforms?

Vraag 8

Hoe ziet u het blokkeren van queer accounts in het licht van artikel 35 van de Digital Services Act (DSA) die stelt dat platforms structurele risico’s op haat en discriminatie moet bestrijden?

Vraag 9

Vindt u dat Meta een verantwoordelijkheid heeft om een veilige en vrije omgeving te bieden voor queer content? Hoe spant u zich vanuit het perspectief van emancipatie in om dit te waarborgen?

Vraag 10

Bent u bereid om te onderzoeken of de aanname klopt dat minderheidsgroepen onevenredig vaak en hard worden geraakt door de niet-transparante moderatie van Meta?

Vraag 11

Bent u bereid zich in te zetten om de geblokkeerde of verwijderde accounts Nederlandse personen en organisaties te herstellen? Welke mogelijkheden heeft u hiertoe?

Vraag 12

Is het blokkeren van accounts, zonder waarschuwing of motivering, in strijd met de DSA?

Vraag 13

Welke gevolgen zijn er voor grote online platforms die zich herhaaldelijk niet aan de DSA houden? Wat hebben toezichthouders nodig om harder en sneller op te kunnen treden?

Vraag 14

Bent u het ermee eens dat grote online platforms, die dusdanig veel invloed hebben op het publieke debat en het bereik van organisaties, volledige openheid moeten geven over hun moderatiecriteria en werkwijze? Voorziet de DSA voldoende in deze transparantieverplichting volgens u?

Vraag 15

Kunt u deze vragen afzonderlijk en tijdig vóór het commissiedebat sociale media en inmenging van 4 juni 2026 beantwoorden?

Vraag 1

Bent u bekend met het bericht «Nog veel meer Instagramaccounts van LHBTIQ+’ers op zwart, veel meldingen uit Nederland» waaruit blijkt dat opnieuw meerdere Instagramaccounts van LHBTIQ+-organisaties, activisten en gemeenschappen, waaronder accounts uit Nederland, offline zijn gehaald of ontoegankelijk zijn gemaakt?1

Vraag 2

Bent u eens met de stelling dat het blokkeren van specifieke LHBTIQ+ accounts en content onrechtmatig, discriminerend en onacceptabel is? Bent u het ook eens met de stelling dat het optreden hiervan, meermaals en herhaald in vrij korte tijd, niet steeds door Meta afgedaan kan worden als een incident maar dat het onderdeel lijkt te zijn van hun beleid?

Vraag 3

Deelt u de ernstige zorgen dat het blokkeren van LHBTIQ+ personen en LHBTIQ+ organisaties, zonder geldige reden, discriminerend is, de vrijheid van meningsuiting aantast en de acceptatie en het veiligheidsgevoel van LHBTIQ+-gemeenschap onder druk zet? Zo ja, waarom en welke acties onderneemt u om deze ernstige zorgen te adresseren?

Vraag 4

Is het bij u bekend in hoeverre andere minderheidsgroepen dan LHBTIQ+ ook te maken hebben met structurele discriminatie en aantasting van hun vrijheid van meningsuiting door sociale media platforms?

Vraag 5

Kunt u toelichten in hoeverre het blokkeren van deze LHBTIQ+ accounts en content zonder duidelijke uitleg in lijn is met de verplichtingen uit de Digital Services Act, met name ten aanzien van transparantie, motivering en effectieve bezwaarprocedures en welke stappen het kabinet en de Europese Commissie zetten om hier actief op te handhaven?

Vraag 6

Welke acties zijn sinds de vorige blokkades (in december 2025) ondernomen door het kabinet of bevoegde toezichthouders naar aanleiding van deze signalen?

Vraag 7

Is er tevens contact geweest met belangenorganisaties van LHBTIQ+ personen om te vragen welke signalen er nog meer zijn en waar behoefte aan is?

Vraag 8

Welke mogelijkheden ziet u voor zich om bij sociale media platformen de transparantie over het blokkeren van accounts af te dwingen zodat voor gebruikers duidelijk is op welke gronden een blokkade is ingesteld en waar ze terecht kunnen met klachten of vragen?

Vraag 9

Welke mogelijkheden heeft u om platforms ertoe te bewegen geblokkeerde accounts te herstellen en/of gedupeerden te ondersteunen bij het herstellen van hun account?

Vraag 10

Welke maatregelen gaat u nemen tegen sociale media platforms die LHBTIQ+ personen en organisaties discrimineren? En welke aanvullende maatregelen overweegt u om het digitaal targetten van LHBTIQ+ gemeenschappen via sociale media platforms tegen te gaan en de LHBITQ+ gemeenschap beter te beschermen?

Vraag 11

Kunt u de vragen afzonderlijk beantwoorden?

Vraag 1

Klopt het dat op 27 maart 2026 besloten is om het DigiD-contract met Solvinity nogmaals voor twee jaar te verlengen?

Op dit moment heeft Logius een contract met Solvinity dat uiterlijk in augustus 2028 afloopt. Binnen het huidige contract kan er gebruik worden gemaakt van een tweede en laatste verlengingsoptie voor de periode van 7 augustus 2026 tot (uiterlijk) 6 augustus 2028. Het gaat hierbij om het contract met Solvinity voor het uitvoeren van de beheerwerkzaamheden aan het platform waar onder andere DigiD op draait. Het is niet mogelijk om voor augustus 2026 over te stappen naar een andere partij zonder dat hierbij de continuïteit en veiligheid van DigiD en andere voorzieningen in gevaar komen. Derhalve heb ik op 27 maart 2026 ingestemd met een contractverlenging voor de periode van 7 augustus 2026 tot 6 augustus 2028.

Vraag 2

Welke overwegingen liggen ten grondslag aan deze keuze? Is het niet verlengen van het contract serieus overwogen?

De afgelopen maanden zijn er door Logius en BZK verschillende mogelijkheden verkend, zoals het versneld overstappen naar een andere leverancier of het zelf in beheer nemen van het platform waar voorzieningen als DigiD op draaien
Het beheer van het platform vraagt om een ervaren beheerorganisatie om de continuïteit en veiligheid van dienstverlening blijvend te kunnen borgen. Op dit moment is het niet mogelijk om het platform in eigen beheer te nemen vanwege het feit dat Logius niet beschikt over voldoende kennis en capaciteit.
Het beheer van het platform versneld onderbrengen bij een andere beheerorganisatie kan ook leiden tot risico’s. De voornaamste reden hiervoor is dat een nieuwe beheerorganisatie kennis en ervaring moet opbouwen met het platform dat door Logius wordt gebruikt. Onder normale omstandigheden wordt hier een periode van 6 tot 12 maanden voor gehanteerd.
Deze overdracht kan plaatsvinden nadat een aanbestedingstraject is doorlopen en een nieuwe contractant is geselecteerd. Dat maakt het niet mogelijk om de overdracht naar een andere leverancier voor augustus 2026 af te ronden. Het vormgeven van een nieuwe aanbesteding en de overdracht naar een nieuwe leverancier is een langdurig traject dat zorgvuldig moet worden doorlopen, juist om de continuïteit en veiligheid van dienstverlening te borgen.

Vraag 3

Welke andere opties heeft u overwogen, behalve het contract met twee jaar verlengen? Waarom zijn deze opties afgevallen?

Zie het antwoord op vraag 2.

Vraag 4

Welke mogelijkheden heeft u om vóór het definitieve beslismoment begin mei alsnog af te zien van de contractverlenging van twee jaar? Kunt u een beroep doen op een voorwaarde in het contract of een wettelijke bevoegdheid om dit vervroegd te doen?

De Algemene Rijksinkoopvoorwaarden bij IT-opdrachten (ARBIT) zijn op deze overeenkomst van toepassing en bieden middels artikel 30 (onder voorwaarden) mogelijkheden tot het tussentijds ontbinden of opzeggen van de overeenkomst.
Voor het definitieve beslismoment van 6 mei 2026 heb ik geen mogelijkheden om af te zien van de contractverlenging. Zoals in de beantwoording op vraag 2 beschreven, zijn er op dit moment geen mogelijkheden om per augustus 2026 over te stappen naar een andere partij die in voldoende mate continuïteit en veiligheid kan borgen.

Vraag 5

Zo niet, heeft u de mogelijkheid om het contract slechts onder voorbehoud te verlengen zolang Solvinity niet door een Amerikaans bedrijf wordt overgenomen? Bent u bereid om zo’n voorbehoud te maken?

Zie antwoord op vraag 2 en 4.

Vraag 6

Heeft u de aangenomen motie-Stoffer c.s. (Kamerstuk 26 643, nr. 1467) en de twee moties-Kathmann c.s. (Kamerstuk 21 501-33, nr. 1190) (Kamerstuk 26 643, nr. 1507) meegewogen in dit besluit? Zo ja, hoe?

Deze zijn meegenomen in het besluit. Het kabinet wacht het oordeel van de onafhankelijke toezichthouder in het kader van het driesporenbeleid zoals vermeld in de Kamerbrief van 10 februari 20261 en de kabinetsreactie van 21 april 20262 af, om vervolgens een besluit te kunnen nemen.
Om vanaf (uiterlijk) augustus 2028 over te stappen naar een contractant waarbij het zeggenschap in Nederlandse/Europese handen ligt3, 4, wor dt er door Logius samen met de Landsadvocaat gekeken naar onder welke voorwaarden de aanbesteding kan worden uitgezet in de markt. In juni 2026 zullen wij uw Kamer hierover informeren.

Vraag 7

Kunt u concreet uitleggen hoe de continuïteit en veiligheid van de dienstverlening in gevaar komt als het contract niet was verlengd? Op basis van welke onderzoeken concludeert u dat?

Logius heeft een leverancier nodig voor het leveren van diensten die benodigd zijn om het platform waarop voorzieningen zoals DigiD staan, te laten draaien. Logius moet daarom een contract afsluiten met een leverancier. Zie voor verdere toelichting het antwoord op vraag 2.

Vraag 8

Is het mogelijk om de DigiD-diensten, die nu in beheer zijn bij Solvinity, binnen drie maanden over te schakelen naar een ander bedrijf? Is deze optie serieus onderzocht?

Zie beantwoording vraag 2.

Vraag 9

Hoe kunt u het DigiD-contract met Solvinity in zo kort mogelijke tijd ontbinden, nog vóór 2028, als de Amerikaanse overname doorgang vindt? Kunt u de Kamer uiterlijk in juni 2026 informeren over de opties die u hiertoe heeft en wat hiervan de kosten zijn?

Zie antwoord op vraag 4 en 6. Ik zal uw Kamer in juni 2026 nader informeren.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het definitieve verlengen van het contract in begin mei beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het artikel van Follow the Money waarin wordt gesteld dat de Kamer niet volledig is geïnformeerd over een contract met Palantir?1

Vraag 2

Erkent u dat het antwoord dat in augustus 2025 is gegeven door de Minister van Justitie en Veiligheid op de vraag of er buiten de bekende voorbeelden binnen Justitie en Veiligheid gebruik is of wordt gemaakt van software van Palantir onjuist of op zijn minst onvolledig was? En erkent u dat de Kamer onjuist en/of onvolledig is geïnformeerd?

Vraag 3

Kunt u precies uiteenzetten wanneer het contract tussen de Koninklijke Marechaussee (KMar) en Palantir is afgesloten, welke onderdelen van Defensie hierbij betrokken zijn en waarom de Kamer hier niet (volledig) vooraf over is geïnformeerd?

Vraag 4

Heeft u kennisgenomen van het 22-punten manifesto van Palantir dat zij op hun sociale media hebben gezet?2 Hoe beoordeelt u dat manifesto? Deelt u de mening dat dit manifesto direct ingaat tegen de normen en waarden van de Nederlandse overheid en dat er mede op basis daarvan geen samenwerking kan plaatsvinden tussen Palantir en de Nederlandse overheid?

Vraag 5

Kunt u een totaaloverzicht geven van alle samenwerkingen die er hebben plaatsgevonden of plaatsvinden tussen de Nederlandse overheid en Palantir sinds de oprichting in 2003? Mochten er nog lopende samenwerkingen zijn, liggen er exitstrategieën om als Defensie zo snel mogelijk te stoppen met het gebruik van de betreffende software?

Vraag 1

Kunt u meer toelichten over de raamovereenkomst die is gesloten met het Europese cloudplatform STACKIT?1

Vraag 2

Kunt u de raamovereenkomst aan de Kamer doen toekomen?

Vraag 3

Hoe ziet u de rol van de Rijksoverheid als lancerende klant van autonome Europese IT-diensten? Hoe draagt de raamovereenkomst met STACKIT bij aan dit doel?

Vraag 4

Met welk doel is de raamovereenkomst gesloten? Zijn er ook afspraken gemaakt over de afname van deze diensten?

Vraag 5

Welke «veilige en gunstige voorwaarden» heeft u afgesproken met STACKIT? Op welke manier dragen deze voorwaarden bij aan de digitale autonomie van Nederland?

Vraag 6

Hoe draagt het sluiten van een raamovereenkomst met één leverancier bij aan een eerlijk en open speelveld voor Nederlandse en Europese techbedrijven?

Vraag 7

Hoe borgt u in het sluiten van een raamovereenkomst de diversificatie en keuzevrijheid tussen leveranciers, zoals wel beoogd wordt door een privaat initiatief zoals de Open Cloud Alliantie?2

Vraag 8

Welke diensten levert STACKIT? Kunt u concreet maken voor welke belangrijke IT-processen u van plan bent de clouddiensten van STACKIT af te nemen?

Vraag 9

Erkent u dat opslag binnen de Europese Economische Ruimte (EER) geen afdoende bescherming is tegen inzageverzoeken van niet-Europese overheden, als de bedrijven die de opslag beheren onder niet-Europese wetgeving vallen?

Vraag 10

Is uitgesloten dat de clouddiensten van STACKIT op welke manier dan ook afhankelijk zijn van niet-Europese techbedrijven in het beheer, onderhoud, de beveiliging, of andere essentiële processen?

Vraag 11

Indien dit niet uit te sluiten is, kunt u dan toelichten welke afhankelijkheden STACKIT heeft van niet-Europese bedrijven? Zijn deze afhankelijkheden weg te nemen?

Vraag 12

Welke analyses heeft u gemaakt om te bevestigen dat STACKIT daadwerkelijk volledig Europees en autonoom is? Kunt u deze met de Kamer delen?

Vraag 13

Hoe gaat de Rijksoverheid toezien of STACKIT zich aan de afspraken houdt? Welke toezichthouder is hiertoe aan zet?

Vraag 14

Kunt u de vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het Follow The Money-artikel «Marechaussee werkte met omstreden techreus Palantir: Minister van Weel verzweeg contract voor Tweede Kamer»?1

Vraag 2

Was uw eerdere antwoord op Kamervragen in juli 2025 over gebruik van Palantir binnen de Nederlandse overheid correct en compleet?2 Zo nee, wat heeft u dan verzaakt te melden?

Vraag 3

Was u op de hoogte van het contract tussen Palantir en de Programmadirectie Identiteitsmanagement en Immigratie (IDMI) in 2014?

Vraag 4

Zo ja, waarom heeft u dat contract niet genoemd in uw eerdere antwoord? Zo nee, waarom bent u niet voldoende op de hoogte over Amerikaanse tech-afhankelijkheden binnen uw eigen ministerie?

Vraag 5

Kunt u een kloppend overzicht geven van alle lopende, aanstaand of verlopen contracten tussen de Nederlandse overheid, inclusief sub-overheden en Zelfstandig Uitvoeringsorganen (ZBO’s), en het Amerikaanse Palantir?

Vraag 6

Bent u van mening dat ongepaste of onethische uitspraken van het bestuur van een bedrijf een reden moet zijn dat de Nederlandse overheid geen zaken meer moet doen met het bedrijf in kwestie? Zo nee, waarom niet?

Vraag 7

Bent u voornemens alle lopende en aanstaande contracten tussen de Nederlandse overheid en Palantir in belang van nationale veiligheid te annuleren, dan wel niet te verlengen? Zo nee, waarom niet?

Vraag 8

Kunt u deze vragen apart van elkaar en voor 12 mei 2026 beantwoorden?

Vraag 1

Bent u bekend met het bericht in het NRC over het AI-model Mythos dat mogelijk in handen is gevallen van onbevoegden?1

Vraag 2

Deelt u de analyse dat ongecontroleerde verspreiding van geavanceerde AI-modellen risico’s kan vergroten op cyberaanvallen, geautomatiseerde fraude en andere schadelijke toepassingen? Zo ja, welke risico’s acht u het meest urgent? Zo nee, waarom niet?

Vraag 3

Welke rol spelen geavanceerde AI-modellen op dit moment in het dreigingsbeeld? Welke gevolgen heeft de uitrol van Mythos, binnen afzienbare tijd ook aan het grotere publiek, voor dit dreigingsbeeld?

Vraag 4

Bent u van mening dat overheden toegang moeten krijgen tot Mythos zodat zij het kunnen gebruiken om preventief kwetsbaarheden op te sporen en te dichten? Kan dit op een veilige en verantwoorde manier?

Vraag 5

Hoe bereidt u overheidsorganisaties voor op de cyberveiligheidsrisico’s die gepaard gaan met de uitrol van Mythos? Kunt u uiteenzetten welke acties u neemt om de veiligheid van persoonsgegevens van burgers en de ICT-processen van de overheid te garanderen?

Vraag 6

Welke rol zou een onafhankelijke AI-raad, zoals voorgesteld in de motie-Kathmann/Six Dijkstra (Kamerstuk 26 643, nr. 1403), kunnen spelen om de veiligheidsrisico’s van geavanceerde AI te monitoren en af te dekken? Hoe wordt deze motie nu uitgevoerd?

Vraag 7

Heeft u voldoende zicht op de risico’s van model leakage, model theft en ongeautoriseerde verspreiding van geavanceerde AI-systemen in Nederland en Europa? Zo ja, hoe wordt dit inzicht benut voor beleid en toezicht? Zo nee, welke maatregelen neemt u om dit inzicht te verbeteren?

Vraag 8

Hoe beoordeelt u de toereikendheid van bestaande beveiligingsnormen en toezichtmechanismen voor ontwikkelaars en beheerders van krachtige AI-modellen, mede in relatie tot de implementatie van de AI-verordening?

Vraag 9

Welke kansen ziet u om via veilige ontwikkeling en deployment van AI de digitale veiligheid te versterken, bijvoorbeeld voor cyberdetectie, opsporing en publieke dienstverlening?

Vraag 10

Ziet u in deze casus aanleiding om in Europees verband te pleiten voor versterkte samenwerking rond monitoring van toegangsbeheer, auditing en incidentrespons? Zo ja, op welke wijze?

Vraag 11

Hoe beoordeelt u de wenselijkheid van meer transparantieverplichtingen voor aanbieders van geavanceerde AI-systemen over beveiligingsmaatregelen, incidenten en misbruikrisico’s?

Vraag 12

Kunt u de vragen afzonderlijk beantwoorden en in ieder geval vóór het rondetafelgesprek cyberveiligheid en informatiebeveiliging van 20 mei 2026?

Vraag 1

Bent u bekend met het bericht «Ukraine Creates UK-Backed «A1» AI Hub to Develop EW-Resistant Drones and Predict Russian Moves»?1

Vraag 2

Naar aanleiding van uw bezoek aan Oekraïne in maart 2026 werd bekend dat Nederland intensief gaat meekijken bij de Oekraïense inzet van drones op het slagveld, om meer te leren over de mogelijkheden voor Nederlandse productie en innovatie van onbemenste systemen; sluit dit aan op het initiatief in de berichtgeving?

Vraag 3

Heeft de Nederlandse industrie toegang tot de beschikbare informatie en zo ja, hoe waarborgt u dat deze informatie eerlijk toegankelijk is voor alle geïnteresseerde marktpartijen?

Vraag 4

Is Nederland ook voornemens om zelf een soevereine database aan te vullen voor het trainen van AI-modellen (al dan niet met Europese partners)? Wordt de Nederlandse industrie aangesloten bij een mogelijk initiatief?

Vraag 5

Ziet u ook een kans om als Nederland koploper in Europa te worden in het ontwikkelen van verantwoorde AI? Wat gaat u op korte termijn initiëren om dit te bewerkstelligen?

Vraag 6

Hoe weegt u het risico van het niet zelf hebben van een soevereine database voor het trainen van AI-modellen en van welke landen verwacht u afhankelijk te zijn?

Vraag 7

Sluit u aan bij de gedachten dat we de standaarden voor militair gebruik van AI niet aan externe machten overlaten, maar dat we die zelf bepalen?

Vraag 8

Ziet u mogelijkheden om aan te haken op het samenwerkingsverband tussen Duitsland en Oekraïne, die hun defensiesamenwerking verder hebben geïntensiveerd door een memorandum te tekenen op het gebied van delen van data van het slagveld, waarbij Duitsland ook toegang krijgt tot real-time DELTA battlefield management system?

Vraag 9

Ziet u het belang van in Europees verband initiatieven organiseren voor een strategisch autonome battlefield management architectuur die interoperabiliteit tussen de (gefragmenteerde) Europese systemen waarborgt?

Vraag 10

Onderneemt Defensie andere initiatieven om een strategisch autonome battlefield management architectuur te maken? Zo niet, kunt u een risicoafweging van afhankelijkheden geven? Zo ja, bent u bereid een plan van aanpak te maken en te delen?

Vraag 11

Kunt u de bovenstaande vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met de voorgenomen overname van Solvinity Group B.V. door Kyndryl Netherlands B.V., de rol van Solvinity als leverancier van het platform waarop DigiD draait, en de eerdere beantwoording van Kamervragen over deze casus?

Vraag 2

Kunnen de Verenigde Staten volgens u gezien worden als een bondgenoot? Zo nee, waarom niet?

Vraag 3

Acht u het waarschijnlijk dat een NAVO-bondgenoot als de Verenigde Staten doelbewust DigiD of vergelijkbare Nederlandse kritieke digitale overheidsinfrastructuur zou uitschakelen? Graag een onderbouwing op basis van dreiging, intentie, capaciteit, precedent en diplomatieke consequenties.

Vraag 4

Acht u een dergelijk scenario realistisch, of gaat het primair om een theoretische mogelijkheid die in de risicoanalyse wel moet worden meegenomen, maar niet gelijkgesteld mag worden aan een waarschijnlijke dreiging? Graag een expliciet onderscheid tussen «mogelijk», «aannemelijk», «waarschijnlijk» en «urgent».

Vraag 5

Kunt u per juridisch instrument, CLOUD Act, FISA Section 702, Executive Order 12333 en eventuele andere relevante Amerikaanse bevoegdheden, uiteenzetten wat de wettelijke grondslag is, welke autoriteit bevoegd is, welk type gegevens kan worden gevorderd of verzameld, welke rechterlijke toetsing plaatsvindt, of kennisgeving aan de betrokkene, Logius of de Nederlandse Staat verplicht, verboden of beperkt kan zijn en hoe dit zich verhoudt tot de Algemene verordening gegevensbescherming (AVG), verwerkersovereenkomsten en contractuele geheimhoudingsplichten?

Vraag 6

Kunt u expliciet onderscheid maken tussen toegang tot gegevens enerzijds en operationele zeggenschap over systemen anderzijds? Klopt het dat wetgeving zoals de CLOUD Act primair ziet op toegang tot elektronische gegevens en niet zonder meer op het met «één druk op de knop» uitschakelen van infrastructuur?

Vraag 7

Hoe verhoudt de stelling dat Solvinity in beginsel geen toegang heeft tot burgerservicenummers, adres en telefoonnummer van DigiD-gebruikers zich tot de eerdere kabinetsuitspraak dat Amerikaanse autoriteiten «in theorie» toegang kunnen krijgen tot gegevens die door Solvinity in opdracht van de Staat worden verwerkt?

Vraag 8

Bent u van mening dat er momenteel geen gelijkwaardige technologieën zijn op Nationaal/Europees gebied? Zo ja, bent u dan van mening dat hierdoor de continuiteit van de dienstverlening juist onder druk komt te staan?

Vraag 9

Kunt u reflecteren op de gehele Amerikaanse verwevenheid met technologie, zoals de hardware waar de applicaties van Solvinity op draait, de datacenters en eveneens de zeekabels? Zijn deze componenten/diensten ook in handen van Amerikaanse bedrijven? Bent u het daarom eens met de mening dat het nationaliseren van Solvinity geen enkel effect heeft op deze risico’s, gezien de verwevenheid in de keten?

Vraag 10

Welke concrete risico’s bestaan er momenteel volgens u op het gebied van het opvragen van data, inzage in data en het (eenzijdig) stopzetten van dienstverlening, en van welke vormen van dienstverlening maakt de overheid op dit moment gebruik bij niet-Nederlandse of niet-Europese partijen?

Vraag 11

Welke aanvullende (theoretische) risico’s zouden volgens u kunnen ontstaan op deze punten als gevolg van de beoogde overname van Solvinity door Kyndryl?

Vraag 12

Kunt u allen de voorgaande vragen los van elkaar beantwoorden?

Vraag 1

Bent u op de hoogte van de hack bij ChipSoft, het bedrijf dat software voor patiëntendossiers en andere digitale systemen voor ziekenhuizen levert?1

Ja.

Vraag 2

Kunt u toelichten wat de ernst is van de hack en hoeveel ziekenhuizen, huisartsenpraktijken en eventuele andere zorgverleners zijn geraakt door de hack?

Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Chipsoft voert momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uit om de oorzaak, omvang en bron van het incident vast te stellen. ChipSoft levert software aan ongeveer 70% van de Nederlandse ziekenhuizen. Uit voorzorg zijn sinds 8 april 20:00 uur de verbindingen met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar geweest. Inmiddels is er sinds vrijdag 17 april weer sprake van het gefaseerd opstarten van functionaliteiten, nadat deze veilig zijn bevonden. Op donderdag 16 april heeft ChipSoft gecommuniceerd met de klanten die dat betrof dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd3. ChipSoft heeft geen gedetailleerde inzage gegeven in welke klanten op welke wijze getroffen zijn. In de zojuist genoemde Kamerbrief heb ik ons inzicht met u gedeeld. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

Wat zijn de gevolgen van de hack voor zorgverleners en hun patiënten, bijvoorbeeld doordat zorginstellingen hun systemen offline hebben moeten halen?

Navraag bij de betrokken zorginstellingen leert dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien. Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen digitale verwijzingen niet goed plaatsvinden.
Ziekenhuizen zijn hier echter op dit soort incidenten voorbereid en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel.

Vraag 4

Is bepaalde zorg uitgesteld vanwege de hack en zo ja, op welke schaal?

Nee, de zorgprocessen lopen door.

Vraag 5

Is er gevoelige data, zoals patiëntgegevens, in handen gekomen van criminelen?

Patiënten moeten erop kunnen vertrouwen dat hun gegevens veilig zijn. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Welke exacte patiëntgegevens hierbij zijn buitgemaakt is nog in onderzoek. Ik heb de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april hierover geïnformeerd.4 Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 6

Hoe verklaart u de verschillende aanpak van ziekenhuizen na de hack, bijvoorbeeld in het wel of niet offline halen van systemen?

Ziekenhuizen die klant zijn bij ChipSoft hebben op advies van Z-CERT, het expertisecentrum cybersecurity in de zorg, preventieve maatregelen genomen en hebben monitoring op hun lopende systemen geïntensiveerd. De keuzes die gemaakt worden, zijn door de ziekenhuizen of organisaties zelf gemaakt op basis van eigen specifieke situatie en risico inschatting.

Vraag 7

Verschilt de impact van de hack tussen ziekenhuizen die hun gegevens lokaal, hybride of juist in een cloudomgeving opslaan? Kunt u uitleggen welke keuze de meeste weerbaarheid biedt?

De gegevens van de zorgaanbieders die gebruikmaken van de cloudomgeving van ChipSoft zijn gestolen. Van instellingen die de software van ChipSoft in eigen beheer uitvoeren of door derden laten beheren, zijn geen gegevens gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd.5
Er valt niet in z’n algemeenheid te zeggen welke keuze de meeste weerbaarheid biedt. Dit hangt af van de lokale context van de zorgaanbieder en de risicoafweging die gedaan is en de beheersmaatregelen die daarbij genomen zijn.

Vraag 8

Welke rol speelt de overheid in de afwikkeling van de hack?

Wat betreft de afwikkeling van de hack en opsporing en/of vervolging ligt de verantwoordelijkheid bij de politie en het Openbaar Ministerie (OM). Diverse toezichthouders doen onderzoek naar de hack. Vanuit onze stelselverantwoordelijkheid ondersteunen we de koepelorganisaties die in het Informatieberaad Zorg zitten met informatie over de digitale aanval en een woordvoeringslijn die zij kunnen gebruiken naar hun leden.
Ook worden bijvoorbeeld handelingsperspectieven uitgewisseld. VWS en organisaties die gesubsidieerd worden door VWS ondersteunen de getroffen zorginstellingen zoveel als mogelijk. Zo financiert de overheid Z-CERT, het expertise centrum cybersecurity in de zorg. Z-CERT, biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie. Vanuit het ministerie volgen we de ontwikkelingen zeer nauw, adviseren we koepels en zorgaanbieders en duiden we de rollen en bevoegdheden, waar nodig.

Vraag 9

Zijn er alternatieven voorhanden bij een hack als deze, bijvoorbeeld alternatieve software waar ziekenhuizen en andere zorgverleners op kunnen terugvallen?

Ziekenhuizen hebben draaiboeken en protocollen voor als systemen niet werken om te zorgen dat het zorgproces door kan blijven gaan. Dit volgt uit de verplichte risico analyse die zij moeten doen. Zo gaan bijvoorbeeld verwijzingen van huisartsen naar Chipsoft-ziekenhuizen niet meer digitaal, maar per mail of telefonisch. Zie ook het antwoord op vraag 3. Het is aan zorgverleners zelf om deze protocollen, gegeven de specifieke situatie van de betreffende zorgverlener, in te richten. De ingebruikname van een ander elektronisch patiëntendossier of andere alternatieve software is niet iets wat in enkele dagen of weken geregeld kan worden. Dit is technisch zeer complex en kent een lange doorlooptijd. Bovendien brengt het hoge kosten en andere risico’s met zich mee.

Vraag 10

Welke eisen gelden er voor leveranciers van cruciale zorg-ICT?

Nederlandse zorgaanbieders zijn wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat.
In de nabije toekomst zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2-richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. De European Health Data Space-verordening (EHDS) draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening6.

Vraag 11

Is de ketenweerbaarheid op het gebied van ICT in de zorg wat u betreft op orde, onder andere in de domeinen hosting, beheer, en koppelingen? Waarom wel of niet?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast gaat de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, verplichten om hun leveranciersketen in kaart te brengen, en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen. De Cbw is voorzien medio 2026 in te gaan.

Vraag 12

Deelt u de opvatting dat dit geen incident is, maar een symptoom van te grote afhankelijkheid van een paar dominante leveranciers in de zorg, waarbij een incident bij één leverancier meteen een nationale zorgvraag wordt?

Nee, ik deel die opvatting niet. Zorgaanbieders dienen afspraken te maken met zorg-ICT-leveranciers en hierbij risico’s af te wegen. Het is wel zo dat de omvang van een hack groter kan zijn wanneer een leverancier met een groot marktaandeel wordt getroffen waarbij ook nog eens patiëntgegevens zijn opgeslagen.

Vraag 13

Deelt u de zorgen over de risico’s wanneer één dominante marktpartij de infrastructuur levert voor zorginstellingen of andere essentiële publieke voorzieningen?

Het is belangrijk dat er sprake is van een gezonde marktwerking op de zorg-ICT-markt. Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze marktconcentratie zorgt voor minder concurrentie, wat de prijzen op kan drijven en innovatie kan vertragen. Ook is er een definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM7 gepubliceerd. Het Ministerie van VWS maakt hieruit op dat het voor nieuwe innovatieve spelers moeilijk is voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico’s te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in onze zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan overwegingen van digitale autonomie.
In de brief Voortgang agenda databeschikbaarheid van 20 januari 2026 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken, ga ik de komende tijd aan de slag om de bewustwording en kennis en expertise bij bestuurders over zorg-ICT te vergroten. Ook wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden. Daarnaast wordt er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel opgezet. Daar kunnen signalen over zorg-ICT worden gedeeld en kan vanuit bestaand instrumentarium bekeken worden of en zo ja welke (gezamenlijke) interventie gewenst is. Naast de hierboven genoemde acties zet ik in op de European Health Data Space (EHDS) om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en aan een verplicht loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden op zorg-ICT.

Vraag 14

Zijn er maatregelen die u neemt om dergelijke marktdominantie tegen te gaan, bijvoorbeeld door afspraken te maken over het inkoop- en aanbestedingsbeleid in de zorgsector? Waarom wel of niet?

In de eerste plaats zijn zorgaanbieders zelf verantwoordelijk voor de inkoop, aanbesteding en contractering van zorg-ICT. Wel blijkt uit het NZa rapport «Sturing op kwaliteit en betaalbaarheid zorg-ICT» januari 2025 dat de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarom wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden, bijvoorbeeld door de inzet van externe expertise om gezamenlijke inkoop van een kernapplicatie te laten slagen. Dit zorgt voor schaalvoordelen en vergroot de kans op samenwerking. Over dit soort onderwerpen heeft mijn ministerie ook regelmatig overleg met de ICT-gebruikersverenigingen van de ziekenhuizen.

Vraag 15

Hoe zorgt u voor voldoende diversificatie tussen ICT-leveranciers bij zorginstellingen? Is het uw verantwoordelijkheid om monopolievorming in de zorg-ICT tegen te gaan?

De Autoriteit Consument en Markt (ACM) houdt toezicht op eerlijke concurrentie en marktwerking, zo ook op de zorg-ICT markt. In eerste instantie is zij de toezichthouder op basis van de Mededingingswet die toezicht houdt op de markt en ook concentraties (fusies/overnames) beoordeelt. Zij heeft in haar brief op 28 januari 20258 aangegeven dat de zorg-ict markt niet goed werkt omdat ICT-systemen gesloten zijn. De ACM geeft aan dat zij op dit moment onvoldoende instrumenten heeft om eerlijke concurrentie en marktwerking structureel af te dwingen en adviseert het Ministerie van VWS om openheid van digitale informatiesystemen via wetgeving te verplichten.
Ik vind het belangrijk dat de zorg-ICT-markt toegankelijk is, zodat concurrentie en innovatie worden gestimuleerd. Met de EHDS wordt ook ingezet op een zo open mogelijke markt voor onder andere EPD-leveranciers. Ik onderzoek de mogelijkheden om als randvoorwaardelijk onderdeel van de EHDS, te komen tot additionele regulerende instrumenten.

Vraag 16

Is het wenselijk dat zorginstellingen individueel ICT-diensten inkopen en hierover onderhandelen? Welke voor- en nadelen ziet u bij een meer gezamenlijke vorm van inkoop?

In de eerste plaats zijn zorgaanbieders zelf verantwoordelijk voor de inkoop, aanbesteding en contractering. Gezamenlijke inkoop kan schaalvoordelen opleveren, vergroot de kans op samenwerking en versterkt de positie van de zorgaanbieders. Een nadeel kan zijn dat er minder maatwerk wordt geleverd.

Vraag 17

Wat is de status van de uitvoering van de motie-Bushoff/Bevers om bij de evaluatie van de Wet vifo te bezien of bij fusies en overnames vanuit het buitenland van digitale zorginfrastructuur vergelijkbare voorwaarden gesteld kunnen worden als bij andere cruciale sectoren, zoals de chip-, energie- en telecomsector?2

Sinds juni 2023 is de Wet Veiligheidstoets investeringen, fusies en overnames (vifo) van kracht. De Wet vifo introduceerde een mechanisme voor investeringstoetsing in Nederland. Recent is de wet, conform de toezegging aan de Tweede Kamer, geëvalueerd.
Tevens is in december 2025 de herziene Foreign Direct Investment (FDI)-screeningsverordening vastgesteld. Met de wijziging van de Verordening worden de reikwijdte en procedures van de nationale investeringstoetsingsregimes in de Europese Unie gestroomlijnd om economische veiligheidsrisico’s van investeringen op een meer coherente manier aan te pakken. Nadat de herziene FDI verordening formeel is vastgesteld, start de termijn voor omzetting van de Verordening in nationale wetgeving. In Nederland wordt deze Verordening geïmplementeerd in de Wet vifo. Ik koers aan op een verwijzing in de wet vifo naar de (terminologie van de) Wet weerbaarheid kritieke entiteiten (Wwke). Hiermee zullen kritieke entiteiten in de zorg in het geval van vijandige investeringen, fusies of overnames kunnen worden getoetst.

Vraag 18

Deelt u de zorgen van de Autoriteit Consument & Markt (ACM) over gesloten datastandaarden bij ICT-aanbieders in de zorg, aangezien systemen daardoor niet goed met elkaar communiceren en zorgaanbieders minder keuze hebben in hun leveranciers, met monopolievorming tot gevolg?

Ja ik deel deze zorgen. Het niet gebruiken van open standaarden en de geslotenheid van ICT-systemen bevordert niet de door de Nationale, Visie en Strategie10 gewenste interoperabiliteit op weg naar databeschikbaarheid. Om dat te veranderen zal een mix van Europese verplichtingen en nationale keuzes nodig zijn. Met de European Health Data Space (EHDS) verordening wordt ingezet op een zo open mogelijke markt voor EPD-leveranciers. Om dat te bereiken worden er op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen. Vanuit de NVS-ambitie stuur ik op openstelling van systemen via open gestandaardiseerde koppelvlakken: publiek beschikbare koppelvlakken,
zodat data veilig, herbruikbaar en leverancier-onafhankelijk kan stromen door het hele stelsel. De specificaties van deze open koppelvlakken zijn een publieke verantwoordelijkheid. Zo nodig zal ik deze koppelvlakken ook als open source laten ontwikkelen en beschikbaar stellen aan marktpartijen.

Vraag 19

Wat is de status van de uitvoering van de motie-Bushoff/Kathmann over een routekaart waarlangs ICT-leveranciers in de zorg de komende jaren verplicht worden gebruik te maken van open datastandaarden?3

In mijn brief «stand van zaken landelijk dekkend netwerk» die ik voor het commissiedebat digitale zorg (gepland op 21 mei) naar uw Kamer zal sturen, zal ik dieper ingaan op dit vraagstuk.

Vraag 20

Welke structurele problemen in de zorg-ICT legt deze hack bloot? Wie is er aan zet om deze op te lossen?

Het onderzoek naar deze hack is nog in volle gang. Het is daarmee te vroeg om een verband te leggen tussen deze hack en structurele problemen in de zorg-ICT.

Vraag 21

Welke maatregelen neemt u om de cyberveiligheid en weerbaarheid van zorginstellingen structureel te vergroten?

In het versterken van de cyberweerbaarheid van de zorg neem ik een kader stellende, toezichthoudende, stimulerende en faciliterende rol in. In de brief over informatieveiligheid in de zorg van 4 december 2025 heeft mijn voorganger uw Kamer geïnformeerd over de maatregelen die mijn ministerie neemt12. Ik ondersteun zorginstellingen bij het voorkomen van incidenten door het verhogen van bewustzijn van zorgmedewerkers in het programma Informatieveilig gedrag in de zorg. Een groot deel van cyberincidenten zijn mede veroorzaakt door menselijk handelen. Daarnaast bied ik hulpmiddelen aan om te voldoen aan de NEN7510, de norm voor informatiebeveiliging in de zorg. Deze norm schrijft organisatorische, mensgerichte, fysieke en technologische beheersmaatregelen voor die de digitale weerbaarheid van een organisatie concreet verhogen. Dit met het doel om dreigingen te voorkomen, detecteren of erop te reageren. Tot slot helpt het expertisecentrum cybersecurity in de zorg (Z-CERT) zorginstellingen in het voorkomen van incidenten door te monitoren en eventuele dreigingsinformatie te delen. Daarnaast biedt Z-CERT ondersteuning bij het beperken van de gevolgen wanneer er onverhoopt een incident heeft plaatsgevonden.

Vraag 22

Wat wordt de rol van de Cyberbeveiligingswet, zodra deze is aangenomen, om dergelijke hacks te voorkomen en sneller af te wikkelen? Wat gaat er concreet veranderen in een casus zoals deze?

Voor alle zorgaanbieders is de NEN 7510, de norm voor informatiebeveiliging in de zorg, nu al wettelijk verplicht. De Cyberbeveiligingswet (Cbw) gaat bredere eisen stellen aan netwerk- en informatiebeveiliging voor diverse sectoren waaronder de sector zorg. Zodra de Cbw van kracht is (voorzien medio 2026), hebben organisaties die onder de wet vallen een meldplicht. Dit houdt in dat een significante cyberincident13 binnen 24 uur wordt gemeld bij het portaal van het Nationaal Cyber Security Centrum (NCSC). Het NSCS werkt nauw samen met Z-CERT, het expertisecentrum op het gebied van het cybersecurity in de zorg. Deze meldplicht zorgt ervoor dat alle significante meldingen worden gemonitord en er tijdig wordt gewaarschuwd tegen cyberdreigingen. Daarnaast stelt de Cbw een zorgplicht voor organisaties verplicht. Dit houdt in dat organisaties vallend onder Cbw maatregelen moeten nemen om hun netwerk- en informatiesystemen te beschermen tegen significante incidenten. De Cbw zal cyberincidenten niet voorkomen, maar de cyberweerbaarheid in Nederland en daarmee ook in de sector zorg wordt verhoogd doordat significante cyberincidenten worden gemonitord en vervolgens snel wordt gehandeld om de beveiliging van informatiesystemen en bedrijfscontinuïteit te waarborgen.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het commissiedebat over digitale ontwikkelingen in de zorg van 21 mei 2026 beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Ook Grieken overstag, regering wil verbod op sociale media voor kinderen»?1

Vraag 2

Hoe beoordeelt u het voornemen van Griekenland om kinderen tot 15 jaar de toegang tot sociale media te verbieden, mede in het licht van het coalitieakkoord waarin is opgenomen dat wordt gewerkt aan een handhaafbare Europese minimumleeftijd van 15 jaar voor sociale media met privacyvriendelijke leeftijdsverificatie?

Vraag 3

Welke concrete stappen zet het kabinet op dit moment in Europees verband om te komen tot die handhaafbare Europese minimumleeftijd van 15 jaar voor sociale media?

Vraag 4

Erkent het kabinet dat, in het licht van de ontwikkeling dat steeds meer landen overgaan tot een verbod, nu het moment is om tot een gezamenlijke aanpak te komen?

Vraag 5

Trekt Nederland hierbij actief op met andere Europese lidstaten die eveneens willen komen tot strengere regels voor kinderen op sociale media, zoals Griekenland, Frankrijk, en Spanje? Zo ja, op welke wijze?

Vraag 6

Hoe wil het kabinet een Europese minimumleeftijd juridisch en technisch handhaafbaar vormgeven, in het bijzonder in relatie tot de Digital Services Act (DSA) en de door de Europese Commissie ontwikkelde leeftijdsverificatie-aanpak?

Vraag 1

Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1

Ja.

Vraag 2

Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?

Het Ministerie van VWS onderhoudt geen klantrelatie met Chipsoft en is daarmee geen onderdeel van de informatievoorziening van Chipsoft naar zijn klanten. Uit informele contacten heb ik begrepen dat Chipsoft momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uitvoert om de oorzaak, omvang en bron van het incident vast te stellen. Naar ik begrepen heb zijn uit voorzorg de verbindingen sinds 8 april 20:00 uur met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons doen laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?

Ik heb van de betrokken zorginstellingen begrepen dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen verwijzingen niet goed plaatsvinden. Echter, ziekenhuizen zijn voorbereid op dit soort incidenten en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel. Deze situatie kan daarmee maar voor een beperkte periode bestaan. Inmiddels zo begreep ik is er sinds vrijdag 17 april weer sprake van het opstarten van functionaliteiten, nadat deze veilig zijn bevonden.

Vraag 4

Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?

Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd. Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 5

Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt?

Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze concentratie van marktmacht zorgt ervoor dat er minder concurrentie is, wat de prijzen op kan drijven en innovatie kan vertragen. Ook in de Definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM3 staat dat het voor nieuwe, innovatieve spelers moeilijk is om voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico's te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in de zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan hun digitale autonomie.
Ik ben echter ook van mening dat de ontwikkeling naar een European Health Data Space (EHDS) bij kan dragen om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er bijvoorbeeld op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en het verplicht maken van een loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden. In de brief Voortgang agenda databeschikbaarheid van 20 januari 20264 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken ga ik de komende tijd aan de slag om te bezien hoe de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarnaast wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden en zal er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel worden opgezet waar signalen aangaande zorg-IT kunnen worden gedeeld en vanuit bestaand instrumentarium kan worden bekeken of en zo ja welke (gezamenlijke) interventie gewenst is.

Vraag 6

Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?

Nederlandse zorgaanbieders zijn momenteel wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat. Daarnaast zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2 richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. Ik ga hier verder op in bij vraag 8. De EHDS draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening5.

Vraag 7

In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?

Het doen van een risicoanalyse is onderdeel van de norm voor informatieveiligheid in de zorg (NEN7510). Aan deze norm dienen zorgaanbieders aantoonbaar te voldoen. Bij het werken volgens de norm hoort ook het nemen van maatregelen om uitval (door bijvoorbeeld een cyberincident) te voorkomen en de impact te beperken. Een belangrijk onderdeel van de norm is bovendien dat er plannen worden gemaakt voor bedrijfscontinuïteit bij onverwachte verstoringen of uitval en dat deze periodiek getest, geëvalueerd en verbeterd worden.

Vraag 8

Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?

De NIS2 richtlijn wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. In de Cyberbeveiligingswet is in artikel 10 opgenomen dat de organisaties die onder deze wet vallen verplicht zijn om beleid vast te stellen over de beveiliging van de toeleveringsketen. Dit betekent dat de zorgaanbieders die onder de reikwijdte vallen niet alleen hun eigen netwerk- en informatiesystemen op orde hebben, maar ook die van hun rechtstreekse leveranciers periodiek toetsen. Daarnaast zullen IT-leveranciers ook rechtstreeks onder de reikwijdte van de wet vallen, onder de sector digitale infrastructuur.

Vraag 9

Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast verplicht de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, om hun leveranciersketen in kaart te brengen en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen.

Vraag 10

In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?

Er wordt vanuit verschillende projecten en programma’s gewerkt aan het realiseren van een duurzaam en veilig gezondheidsinformatiestelsel. Bij de totstandkoming van dit stelsel is het uitgangspunt dat er sprake is van een federatief stelsel waarbij data aan de bron blijft. Voor vertrouwen in het gebruik van gezondheidsgegevens zijn enkele (centrale) vertrouwenscomponenten noodzakelijk. Om te waarborgen dat deze voorzieningen geen centrale point-of-failure worden, is bij de realisatie van de techniek rekening gehouden met de mogelijkheden om de data te kunnen repliceren zonder dat daarmee de betrouwbaarheid van data in het geding komt. Zo wordt het Landelijk Register Zorgaanbieders (LRZa) ingericht om adresseerbare punten per zorgaanbieder op te kunnen vragen zodat de decentrale punten direct met elkaar kunnen uitwisselen. Om te voorkomen dat dit een single-point-of-failure wordt, is er synchronisatie van gegevens mogelijk zodat de adresseerbare punten periodiek kunnen worden geharmoniseerd zonder dat dit de betrouwbaarheid van de gegevens in het geding brengt.
Zoals beschreven bij vraag 5 worden er bij de European Health Data Space- verordening regels opgelegd aan leveranciers om de EPD-markt beter te laten functioneren en concurrentie en innovatie te bevorderden. Daarmee wordt het voor nieuwe toetreders aantrekkelijker om toe te treden tot de Nederlandse markt. Ook wordt ingezet op een betere vraagbundeling en vraagarticulatie en het verbeteren van het inkoopproces.

Vraag 11

Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?

Digitale veiligheid is nooit voor honderd procent te garanderen en dit soort aanvallen zijn nooit helemaal te voorkomen. Wat we wel gezamenlijk kunnen doen, is de risico’s zoveel mogelijk beperken en ervoor zorgen dat eventueel misbruik snel wordt gesignaleerd en doeltreffend wordt aangepakt. Ik vind het belangrijk dat zorgaanbieders regie nemen over hun digitale autonomie. Bij digitale autonomie hoort een inzicht én keuzes jegens kwetsbaarheden in veiligheid, maar ook in eenzijdige afhankelijkheden van dominante marktpartijen. Dit vraagstuk is niet specifiek voor de zorg. Hier kan de zorg dus inspiratie putten uit stappen die in andere sectoren gezet worden. Zonder in contractuele verplichtingen te willen treden, zie ik het als mijn taak de zorgsector in deze bredere maatschappelijke beweging mee te krijgen.

Vraag 12

Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?

In eerste instantie is ChipSoft zelf verantwoordelijk om te communiceren over de bevindingen van het forensisch onderzoek dat zij momenteel, in samenwerking met cybersecurity-experts, laten uitvoeren. Ik volg de zaak uiteraard nauwlettend. Mocht de rapportage van ChipSoft aanleiding zijn voor mij om vanuit mijn systeemverantwoordelijkheid aanvullende acties te ondernemen dan zal ik uw Kamer hierover informeren.

Vraag 1

Herinnert u zich dat u in het commissiedebat Digitale Infrastructuur en Economie d.d. 8 april aangaf dat het ontbreken van middelen op de begroting de doorslaggevende reden was om niet deel te nemen aan het Europese AI-gigafabriekeninitiatief?

Vraag 2

Klopt het dat in de beslisnota d.d. 23 maart bij de Kamerbrief «Positie van het kabinet ten aanzien van deelname aan het Europese AI-gigafabriekeninitiatief» (Kamerstuk 26 643-1499) staat dat in de StafEZ van 10 maart 2026 is vastgesteld dat binnen de huidige begroting geen ruimte bestaat voor de vereiste financiële verplichtingen?

Vraag 3

Klopt het dat eerst is geconcludeerd dat er geen geld beschikbaar was, en dat pas daarna inhoudelijke argumenten, waaronder een verwijzing naar het rapport-Wennink, zijn gebruikt om dit besluit te onderbouwen? Zo nee, kan de Staatssecretaris dan precies uiteenzetten in welke volgorde de budgettaire en inhoudelijke afwegingen zijn gemaakt?

Vraag 4

Kan de Staatssecretaris alsnog de stukken openbaar maken die ten grondslag lagen aan het overleg in de StafEZ van 10 maart 2026, conform het eerder gedane informatieverzoek van de Kamer gedaan tijdens het commissiedebat Digitale infrastructuur en economie, waaronder memo’s, notities, berekeningen, scenario’s en de stukken waarmee de Staatssecretaris en de betrokken ambtenaren dat overleg zijn ingegaan? Indien volledige openbaarmaking niet mogelijk is, is de Staatssecretaris dan bereid om ten aanzien van het deel waarvan openbaring niet mogelijk is, deze stukken vertrouwelijk ter inzage te geven?

Vraag 5

Herinnert u zich dat u zich zowel in het debat, als in de Kamerbrief betreft de Positie van het kabinet ten aanzien van deelname aan het Europese AI-gigafabriekeninitiatief, beriep op het rapport-Wennink, en dat dat rapport volgens het kabinet geheel in lijn zou zijn met het standpunt van het kabinet om AI-gigafabrieken volledig door de markt te laten financieren?

Vraag 6

Deelt u de mening dat in het rapport-Wennink staat dat «Nieuwe initiatieven [...] zijn (nog) niet volledig privaat te financieren door hoge opstartkosten en lange, onzekere terugverdientermijnen.»?

Vraag 7

Deelt u de mening dat in het rapport-Wennink staat dat «Publieke financiering – en cofinanciering door EU-instrumenten – kan een vliegwieleffect hebben.»?

Vraag 8

Deelt u de mening dat in het rapport-Wennink staat dat «Nederland heeft grootschalige private én publieke investeringen nodig.»?

Vraag 9

Deelt u de mening dat u stelt te handelen in lijn met het rapport-Wennink, terwijl datzelfde rapport expliciet aangeeft dat grootschalige digitale infrastructuur juist níet volledig privaat te financieren is en publieke cofinanciering noodzakelijk is om investeringen los te krijgen? Zo nee, waarom niet?

Vraag 10

Is hier niet gewoon sprake van het gebruiken van het rapport-Wennink als dekmantel voor een besluit dat puur budgettair is genomen? Zo nee, waarom niet?

Vraag 11

Deelt de Staatssecretaris de opvatting dat dit de indruk wekt van «cherry picking»? Zo nee, waarom niet?

Vraag 12

Herinnert u zich dat u zich in het debat ook beriep op het Ecorys-rapport? Kan de Staatssecretaris bevestigen dat Ecorys niet concludeert dat een AI-gigafabriek per definitie niet rendabel of niet zinvol is, maar juist dat de meerwaarde afhangt van ontwerp, gebruiksdoel en strategische inbedding? Waarom wordt dit rapport dan door het kabinet wel gebruikt als argument om af te haken?

Vraag 13

Deelt de Staatssecretaris de opvatting dat ook in dit geval dit de indruk wekt van cherry picking? Zo nee, waarom niet?

Vraag 14

Kan de Staatssecretaris bevestigen dat het kabinet ervan uitgaat dat Nederlandse partijen later ook rekenkracht kunnen inkopen bij AI-gigafabrieken elders in Europa? Waarop baseert het kabinet de aanname dat die capaciteit bij toenemende schaarste daadwerkelijk beschikbaar blijft voor Nederlandse bedrijven, kennisinstellingen en overheden, in plaats van dat Nederland achteraan aansluit in de rij?

Vraag 15

Kan de Staatssecretaris ingaan op de analyse van het The Hague Centre for Strategic Studies dat toegang tot kritieke digitale infrastructuur in toenemende mate afhankelijk is van geopolitieke verhoudingen en dat bij schaarste landen primair hun eigen belangen zullen beschermen? Hoe rijmt de Staatssecretaris dit met de aanname dat Nederlandse partijen bij toenemende vraag en schaarste probleemloos gebruik kunnen blijven maken van rekenkracht in andere lidstaten of daarbuiten?

Vraag 16

Kan de Staatssecretaris bevestigen dat het kabinet kiest voor AI-gigafabrieken die volledig door de markt worden gefinancierd? Hoe realistisch acht de Staatssecretaris dat, gelet op het feit dat het rapport-Wennink juist wijst op achterblijvende private investeringen?

Vraag 17

In de genoemde Kamerbrief schrijft het kabinet dat het kiest voor een ontwikkeling van AI-infrastructuur die meegroeit met de marktvraag; hoe verhoudt zich dat tot de constatering in de onderliggende analyses dat de ontwikkeling van AI-infrastructuur juist sterk aanbodgedreven kan zijn, en dat investeringen in capaciteit zelf vraag, innovatie en ecosysteemvorming aanjagen? Loopt Nederland door deze afwachtende houding niet juist het risico achter te blijven omdat vraag pas ontstaat waar capaciteit al aanwezig is?

Vraag 18

Is de Staatssecretaris, gelet op het feit dat de doorslaggevende overweging blijkens de beslisnota budgettair was en rapporten waarachter het kabinet zich verschuilt het kabinet lijken te tegenspreken, bereid het besluit alsnog te heroverwegen en de Kamer een scenario te sturen waarin Nederland wél, al dan niet gefaseerd, kan aansluiten bij het Europese AI-gigafabriekeninitiatief?

Vraag 19

Kunt u deze vragen in ieder geval voor het tweeminutendebat naar aanleiding van het commissiedebat Digitale Infrastructuur en Economie, een voor een, beantwoorden?

Vraag 1

Hoe beoordeelt u het besluit van het grootste Nederlandse pensioenfonds (ABP) om zich terug te trekken uit Palantir vanwege zorgen over mensenrechten en ethisch verantwoord investeren?1

Vraag 2

Deelt u de zorg dat afhankelijkheid van buitenlandse technologiebedrijven zoals Palantir de digitale soevereiniteit van Nederland kan ondermijnen? Zo nee, waarom niet?

Vraag 3

Kunt u uiteenzetten waar binnen de overheid de diensten en producten van Palantir worden gebruikt en waarvoor deze worden ingezet? Zo nee, waarom niet?

Vraag 4

Hoe beoordeelt u het gebruikmaken door Nederlandse (semi-)overheidsorganisaties van technologie van bedrijven zoals Palantir, waarover ernstige zorgen bestaan over betrokkenheid bij mensenrechtenschendingen? En op welke gronden wordt dit beoordeeld?

Vraag 5

Welke ethische kaders hanteert het kabinet bij de inkoop en inzet van data-analyse- en AI-systemen van commerciële partijen zoals Palantir, en hoe worden deze kaders in de praktijk toegepast en gehandhaafd?

Vraag 6

Welke concrete waarborgen, zoals toezicht, impact assessments en transparantiemechanismen, worden ingezet om te voorkomen dat het gebruik van dergelijke technologie leidt tot discriminatie, profilering of schending van privacyrechten?

Vraag 7

Bent u bereid om aanvullende richtlijnen of toetsingskaders te ontwikkelen voor samenwerking met technologiebedrijven die actief zijn in veiligheids- en surveillancedomeinen, die de digitale soevereiniteit ten goede komen? Zo nee, waarom niet?

Vraag 8

Bent u bereid om, in navolging van het besluit van ABP, voortaan expliciet en vooraf te toetsen of samenwerkingen met technologiebedrijven zoals Palantir verenigbaar zijn met Nederlandse en Europese normen, en deze toets openbaar te maken? Zo nee, waarom niet?

Vraag 9

Zou u deze vragen afzonderlijk van elkaar kunnen beantwoorden?

Vraag 1

Bent u bekend met het artikel «Nederland wil Amerikaanse onbemenste gevechtsvliegtuigen vol AI aanschaffen» van Argos?1

Ja.

Vraag 2

In uw Kamerbrief (Kamerstuk 36 592, nr. 60) geeft u aan: «Bij wijze van uitzondering en omdat ik in deze casus extra waarde hecht aan transparantie, informeer ik uw Kamer vooraf.» Klopt het dat u tot een brief over bent gegaan na vragen van Argos? Zo nee, waarom maakt u dan deze uitzondering?

Het besluit om de Kamer vooraf te informeren is gemaakt omdat ik voornemens ben om een Letter of Acceptance (LOA) te tekenen op 8 april aanstaande en zoals in de brief vermeld, waarde hecht aan transparantie en het tijdig informeren van de Kamer.

Vraag 3

Welke commitment geeft Nederland aan het CCA-programma, nu en in de toekomst, bij het tekenen van de letter of acceptance?

Defensie gaat met het tekenen van de LOA een eenmalige verplichting aan richting de Amerikaanse overheid in de bandbreedte 50–250 miljoen2. Daarmee krijgen Defensie en betrokken kennisinstellingen TNO en NLR als deelnemer aan het programma kennis en toegang tot data over het CCA testprogramma.

Vraag 4

In hoeverre zullen de vergaarde kennis en onderzoeksresultaten uit dit programma intellectueel eigendom zijn van de Nederlandse overheid?

Het programma deelt de experimentele data en analyses van het Amerikaanse testprogramma CCA met Nederland. Op grond van de LOA worden nadere samenwerkingsafspraken, onder andere op gebied van intellectueel eigendom, uitgewerkt.

Vraag 5

Op welke manier zullen de vergaarde kennis en onderzoeksresultaten later gebruikt kunnen worden ter bevordering van een Europees alternatief?

De opgebouwde kennis stelt Defensie in staat om in de toekomst beter geïnformeerde afwegingen te maken t.a.v. toekomstige materiaalverwerving. En geeft Nederland de mogelijkheid om beter geïnformeerd in eventuele andere Europese programma's te kunnen deelnemen, indien dit opportuun is in de toekomst.

Vraag 6

Kunt u aangeven waarvoor het benodigde budget van € 50–100 miljoen wordt gebruikt?

Om als partner in het Amerikaanse programma deel te nemen, betaalt Defensie een Buy in Fee in de vorm van een financiële bijdrage. Defensie en betrokken kennisinstellingen TNO en NLR krijgen als deelnemer aan het programma kennis en toegang tot data over CCA.

Vraag 7

Bent u voornemens om twee testtoestellen aan te schaffen?

Door Defensie worden geen testtoestellen aangeschaft, maar wordt toegang verkregen tot het Amerikaanse CCA-programma.
Oorspronkelijk, voorafgaand aan het ondertekenen van de LOI op 16 oktober 2025, ging Defensie er vanuit dat deelname aan het onderzoeksprogramma mogelijk was door middel van aanschaf van twee testtoestellen. Dit bleek anders, zoals ook in de LOA is verwoord. Er is door de Verenigde Staten gevraagd om een financiële bijdrage ter hoogte van de aankoop van twee testtoestellen voor deelname aan het CCA programma, waarna Nederland de beschikking krijgt over de testdata en analyse. De testtoestellen blijven eigendom van de Verenigde Staten.

Vraag 8

Waarom is de Kamer in de voorgaande Kamerbrief (Kamerstuk 36 592, nr. 56) over CCA niet ingelicht over het aanschaffen van testtoestellen?

Het aanschaffen van testtoestellen is niet aan de orde, zie vraag 7.

Vraag 9

Worden er binnen het ministerie momenteel al vervolgstappen besproken om het inkooptraject van het CCA te vorderen, naast het aanschaffen van de twee testtoestellen? Zo ja, welke?

Nee, daar is hier geen sprake van.

Vraag 10

Op basis van welke gronden kan de Nederlandse overheid nog uit het project stappen?

Na ondertekening van de LOA zullen nadere afspraken gemaakt worden over de inrichting van de Nederlandse deelname middels een Project Arrangement. Volgens de LOA is het mogelijk om uit het project te stappen met inachtneming van annuleringskosten. De details van de annuleringsgronden- en kosten staan in de LOA toegelicht en zijn commercieel vertrouwelijk.

Vraag 11

Welke afspraken zijn daaromtrent gemaakt en welke kosten zijn daarmee gemoeid?

Zie antwoord vraag 10.

Vraag 12

Deelt u de zorg dat de verdere integratie van CCA met de vijfde generatie jachtvliegtuigen onze afhankelijkheid van het Amerikaanse defensie-ecosysteem vergroot? Waarom wel, waarom niet?

De doorontwikkeling van het vijfde generatie jachtvliegtuig staat los van Nederlandse deelname aan dit Amerikaanse CCA programma. Nederland maakt op dit moment geen aanschafkeuze in onbemenste jachtvliegcapaciteit.

Vraag 13

Deelt u de mening dat het onwenselijk is, gezien de huidige geopolitieke ontwikkelingen, dat Nederland verder geïntegreerd raakt in het Amerikaanse defensie-ecosysteem? Indien u deze zorg deelt, kunt u dan uitleggen hoe deze verdere integratie bijdraagt aan het onafhankelijker worden?

Als Nederland en Europa nemen we meer verantwoordelijkheid t.a.v. onze veiligheid en de verdediging van ons eigen continent. In het regeerakkoord is afgesproken om afhankelijkheden van buiten Europa af te bouwen en dat we voorop blijven in het toewerken naar een versterkte Europese pijler binnen de NAVO. Het Kabinet streeft daarom naar een meer gelijkwaardige trans-Atlantische relatie en een meer evenwichtige verdeling van de lasten binnen de NAVO. Echter houdt Defensie belang bij materieel- en industriesamenwerking met de VS, omdat we op bepaalde capaciteitsgebieden voorlopig afhankelijk zijn van kennis, onderdelen en ondersteuning vanuit de VS.

Vraag 14

Bent u ermee bekend dat Anduril nauw samenwerkt met Palantir?

Ja.

Vraag 15

Bent u bekend met de uitspraken van Anduril CEO Palmer Luckey: «So, to me, there's no moral high ground in using inferior technology, even if it allows you to say things like, «We never let a robot decide who lives and who dies,»» en van Palantir CEO Alex Karp «I love the idea of getting a drone and having light fentanyl-laced urine spraying on analysts that tried to screw us.»? In hoeverre bent u comfortabel met het uitbesteden van onze AI-defensiecapaciteiten aan deze personen?

Met deelname aan het programma wil Defensie kennis en data vergaren voor de mogelijke aanschaf, integratie en inzet van CCA in de verdere toekomst. Het gaat hier niet over het uitbesteden van defensiecapaciteiten. Daarnaast ga ik niet in op uitspraken van personen die geen betrekking hebben op CCA of de overeenkomst die ik van plan ben te sluiten met de Amerikaanse overheid.

Vraag 16

Kunt u reflecteren op de uitspraak over Palantir van Italiaanse onderzoeker Francesca Bria in Follow the Money: «Het is een arm van de Amerikaanse veiligheidsstaat: een particulier instrument van geopolitieke macht. Als Europese overheden hun tools kopen, kopen ze niet alleen software: ze geven soevereiniteit op. Als je in zo’n bedrijf investeert, financier je de oorlog tegen Europese democratie.»?

Er is geen sprake van aanschaf van Amerikaans materiaal, enkel deelname aan een programma. Hiermee kan Defensie de benodigde kennis en data vergaren om later de juiste investeringskeuzes te kunnen maken. Door deelname aan het Amerikaanse programma, vergaren we ook kennis die we in Nederland en in Europees verband kunnen benutten of inzetten. Binnen het programma krijgen de kennisinstituten TNO en NLR mogelijkheden voor samenwerking, het opdoen van de nodige kennis en het vergaren van data.

Vraag 17

Hoe verhoudt de samenwerking met deze bedrijven zich tot de verklaring over het gebruik van AI op Responsible AI in the Military Domain (REAIM), welke Nederland wel en de VS niet getekend hebben?

De software is gebaseerd op een open architectuur en geen eigendom van betrokken bedrijven, maar van de Amerikaanse overheid. Defensie behoudt de mogelijkheid om in samenwerking met de Nederlandse en Europese kennisinstellingen en industrie software te ontwikkelen conform de verklaring over Responsible AI in the Military Domain (REAIM).

Vraag 18

Hoe verhoudt de samenwerking zich met de uitspraken van Pete Hegseth, Amerikaanse Minister van Oorlog: «De AI van het Ministerie van Oorlog zal niet woke zijn.» en «Geen domme gevechtsregels, geen moeras van natie-opbouw, geen oefening in het bouwen van democratie, geen politiek correcte oorlogen»?

Defensie voert zijn activiteiten op het gebied van AI uit conform de verklaring over Responsible AI in the Military Domain.

Vraag 19

Heeft het ministerie contact gezocht met Italië, het Verenigd Koninkrijk, dan wel met Japan, om te verkennen wat hun plannen zijn voor onbemenste vliegtuigen en of Nederland daaraan kan bijdragen? Zo nee, waarom niet?

Defensie doet sinds 2023 onderzoek en heeft veelvuldig informeel contact gehad met verschillende partijen. Hieruit blijkt o.a. dat het Global Combat Air Program (GCAP) in een conceptstadium zit met een initiële focus op bemenste zesde generatie vliegtuigen als opvolger van de vierde generatie jachtvliegtuigen van Italië, het Verenigd Koninkrijk en Japan. Dit past nu niet bij de wens van Defensie om kennis te vergaren over onbemenste gevechtsvliegtuigen en daarom is niet formeel de vraag gesteld voor samenwerking.

Vraag 20

In de Kamerbrief van 19 maart schrijft u dat: «[twee Europese samenwerkingsprogramma’s] bieden op dit moment geen mogelijkheden tot deelname aan een kennis- en innovatieprogramma voor onbemenste gevechtsvliegtuigen.»; waarom heeft u er niet voor gekozen om deze in samenwerking met andere landen op te zetten en in plaats daarvan uit te wijken naar de Amerikanen?

Defensie verkent de mogelijkheden van deelname aan programma’s in de ontwikkeling van onbemenste systemen binnen en buiten Europa in het MOBIUS project, zoals vermeld in Kamerstuk 36 592 nr.60. Het doel is waar mogelijk kennis en ervaring op te doen, om in de toekomst beter geïnformeerde materiaalverwerving te kunnen doen. Het Amerikaanse CCA programma biedt nu de kans om kennis, data en analyses in de concept, test en ontwikkelfase te vergaren. Overige programma’s bieden dit vooralsnog niet, maar blijven nauwlettend gevolgd worden.

Vraag 21

Kunt u deze vragen apart en voor 8 april 2026 beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het artikel «Nederland wil Amerikaanse onbemenste gevechtsvliegtuigen vol AI aanschaffen»?1

Ja.

Vraag 2

Hoe voorziet u, naast toetreding tot het Amerikaanse CCA-programma, concreet aan te sluiten op Europese ontwikkelingen? Kunt u een plan van aanpak aan de Kamer verstrekken?

In de brief van 19 maart jl. (Kamerstuk 36 592 nr. 60) is toegelicht dat Defensie door deelneming in het CCA-programma nu concrete kansen kan benutten voor het opdoen van kennis tijdens de fase van test, onderzoek en ontwikkeling van onbemenste gevechtsvliegtuigen die kunnen samenwerken met bemenste jachtvliegtuigen. De twee genoemde grotere internationale samenwerkingsprogramma’s voor toekomstige jachtvliegtuigen, waar eventuele onbemenste gevechtscapaciteit onderdeel van uitmaakt, zijn in een beginstadium en bieden deze mogelijkheden (nog) niet. Dit neemt niet weg dat Defensie in het programma MOBIUS de mogelijkheden blijft verkennen van deelname aan andere programma’s voor kennisopbouw en ontwikkeling van dit soort systemen, wereldwijd en specifiek in Europees verband. Defensie werkt daarnaast in NAVO en in EU-verband en bilateraal met verschillende partners nauw samen op kennis- en innovatiegebied in het luchtdomein en wisselt in dit kader informatie uit over het opzetten van kansrijke projecten en initiatieven, waaronder op de gebieden van onbemenste systemen en autonomie.

Vraag 3

Wat betreft de ambitie om aan te sluiten op Europese alternatieven; hoe gaat u om met het risico dat het ene Europese alternatief, «Future Combat Aircraft System» met daarbij behorende onbemenste systemen («Remote Carriers»), zo goed als stukgelopen is, en het andere Europese alternatief «Global Combat Air Program» zich met name richt op een volgende generatie bemenste jachtvliegtuig?

Geïntegreerde onbemenste luchtsystemen kunnen de effectiviteit van bemenste gevechtsvliegtuigen aanzienlijk vergroten en zijn sneller en goedkoper te produceren dan traditionele bemenste gevechtsvliegtuigen. De ontwikkelingen gaan snel en het is daarom aannemelijk dat bestaande trajecten van Europese landen worden doorontwikkeld of aangevuld met nieuwe initiatieven voor de toekomstige integratie van onbemenste luchtsystemen. Door deelname aan het Amerikaanse programma kan Defensie nu kennis vergaren waarmee we voorop lopen in deze ontwikkeling. Dit kan ook van nut zijn bij eventueel toekomstige deelname aan programma’s met Europese partners.

Vraag 4

De wet- en regelgeving voor het gebruik van kunstmatige intelligentie bij militaire inzet staat nog in de kinderschoenen; wat is uw plan als de kunstmatige intelligentie in het Amerikaanse CCA-programma niet aansluit op Europese of Nederlandse standaarden? Hoe gaat u om met de risico’s? Bent u voornemens om, indien het niet aansluit, zelf alternatieven binnen Europese standaarden te ontwikkelen?

Het Amerikaanse CCA programma ontwikkelt de software in een open architectuur. Defensie behoudt de mogelijkheid om in samenwerking met de Nederlandse en Europese kennisinstellingen en industrie software te ontwikkelen conform Nederlandse dan wel Europese standaarden.

Vraag 5

In uw recente Kamerbrief van 19 maart 2026 (Kamerstuk 36 592, nr. 60) schrijft u mogelijkheden te onderzoeken om de Nederlandse innovatieve industrie aan te laten sluiten bij de ontwikkeling van CCA in de toekomst; bent u bereid te verkennen of Nederland het voortouw kan nemen in de Europese ontwikkeling van onbemenste systemen zoals «Collaborative Combat Aircraft» of «Remote Carriers», overwegende dat dit complementair kan zijn aan huidige internationale initiatieven en de kennis en kunde in Nederland beschikbaar is?

Defensie verkent de mogelijkheden van deelname aan programma’s in de ontwikkeling van onbemenste systemen binnen en buiten Europa in het MOBIUS project. Deelname aan het Amerikaanse CCA programma biedt unieke kansen op kennisopbouw om deze verkenning zorgvuldig uit te kunnen voeren.

Vraag 6

Kunt u de vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Bescherm de lichamelijke integriteit van vrouwen, ook in de digitale wereld»?1

Ja.

Vraag 2

Hoe oordeelt u over het feit dat informatie van vrouwen over vruchtbaarheid, hun menstruatiecyclus en (het afbreken van) een eventuele zwangerschap wordt doorverkocht en gedeeld met bedrijven?

Dergelijke informatie zal in de regel kwalificeren als bijzondere categorieën van persoonsgegevens, waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Als in de hier genoemde gevallen sprake is van een dergelijke doorverkoop zonder expliciete toestemming, en van een onrechtmatige verwerking van dergelijke bijzondere persoonsgegevens, dan vind ik dat verontrustend. Het verwerken van deze persoonsgegevens is immers verboden, tenzij er een uitzonderingsgrond van toepassing is, bijvoorbeeld wanneer uitdrukkelijke toestemming is gegeven. Het Hof van Justitie van de Europese Unie (HvJEU) heeft geoordeeld2 dat het begrip «bijzondere persoonsgegevens» in dit soort gevallen ruim dient te worden uitgelegd. Persoonlijke gegevens die bij het online bestellen van geneesmiddelen worden ingevoerd, zoals namen en adressen, zijn naar het oordeel van het HvJEU in beginsel gezondheidsgegevens. De verkoop daarvan aan derde partijen, zonder dat er een mechanisme bestaat dat de klant hiervoor vooraf uitdrukkelijke toestemming laat geven, is in strijd met de AVG.
Het beoordelen van een specifieke situatie is echter aan de bevoegde toezichthoudende autoriteiten; in Nederland is dat de Autoriteit Persoonsgegevens (AP). De AP is bij uitstek bevoegd om stappen te ondernemen wanneer sprake is van een overtreding van de regels die zijn neergelegd in de AVG. Het kabinet beschikt niet over bevoegdheden om daarover uitspraken te doen en zou op de stoel van de toezichthouder gaan zitten als het dat deed.

Vraag 3

Hoe beoordeelt u het feit dat deze data lijkt te worden gedeeld met landen of bedrijven die zich buiten Europa bevinden en waar vrouwenrechten, zoals het recht op abortus, onder druk staan?

Persoonsgegevens mogen alleen naar zogeheten derde landen (landen buiten de Europese Economische Ruimte) worden doorgegeven als een van de in de AVG genoemde specifieke uitzonderingen van toepassing is. Dat kan het geval zijn als de Europese Commissie (EC) heeft vastgesteld dat dit land een passend beschermingsniveau biedt, of als de doorgifte is voorzien van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. De beoordeling hiervan in specifieke gevallen vereist een juridische en feitelijke oordeelsvorming door de onafhankelijke toezichthouder.

Vraag 4

Klopt het dat gegevens over onder andere menstruatie, miskramen, zwangerschapstesten en het gebruik van morning-afterpillen volgens de privacywetgeving als bijzondere persoonsgegevens gelden? Zo nee, waarom niet? Zo ja, klopt het dat deze bijzondere persoonsgegevens niet zonder medeweten van degene waar het om gaat verkocht mogen worden?

Zie antwoord vraag 2.

Vraag 5

Deelt u onze zorg dat bedrijven die zichzelf profileren als vóór de vrouwengezondheid en als een betrouwbare partij, terwijl zij zonder uitdrukkelijke toestemming bijzondere persoonsgegevens van gebruikers doorverkopen, misleidend te werk gaan? Zo ja, welke rol ziet u hierbij voor de Autoriteit Consument & Markt of de Autoriteit Persoonsgegevens?

Deze zorg deel ik. Wanneer inderdaad sprake is van onrechtmatige verwerkingen van dergelijke bijzondere persoonsgegevens, dan vind ik dat verontrustend. Voor mogelijke schending van consumenten- en gegevensbeschermingsrecht kunnen gebruikers zich tot de toezichthoudende autoriteit wenden. Voor zover het de naleving betreft van de AVG is dat de AP. De AP kan onderzoek instellen naar de naleving van de gegevensbeschermingswetgeving, kan boetes en dwangsommen opleggen alsook stopzetting van gegevensverwerkingen gelasten. Met betrekking tot de naleving van het consumentenrecht kan een melding worden gedaan bij de Autoriteit Consument en Markt (ACM).

Vraag 6

Bent u bereid om in gesprek te gaan met de toezichthouders, en waar nodig partners op Europees niveau, om zo snel mogelijk de lichamelijke integriteit van vrouwen en mensen ook digitaal te beschermen zodat voorkomen wordt dat hormonale kwetsbaarheden worden geëxploiteerd voor commercieel gewin, zonder dat vrouwen dat weten? Zo nee, waarom niet?

Het arrest van het HvJEU d.d. 4 oktober 2024 waaraan ik heb gerefereerd in de antwoorden op de vragen 2 en 4, heeft de brede werkingssfeer van de AVG bevestigd door een ruime interpretatie van het begrip «gezondheidsgegevens», door ook online aankopen van receptvrije geneesmiddelen daaronder (en daarmee onder de strikte regels voor bijzondere persoonsgegevens) te brengen. Ik zou niet willen concluderen dat er sprake is van lacunes in de wetgeving; veeleer wringt het bij de naleving daarvan door verwerkingsverantwoordelijken. Het doen van onderzoek daarnaar is als gezegd een taak van de onafhankelijke toezichthouder. Op grond van artikel 52 AVG treedt de AP daarbij volledig onafhankelijk op en blijft zij vrij van al dan niet rechtstreekse externe invloed en vragen, noch aanvaardt zij instructies van wie dan ook. Deze onafhankelijkheid vind ik belangrijk en ik wil deze dan ook niet doorkruisen.

Vraag 7

Bent u bereid te onderzoeken of de huidige wetgeving afdoende is, of dat er nog aanvullende wetgeving of beleid nodig is? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 1

Bent u bekend met het bericht: «Rechter dwarsboomt IT-aanbesteding rijksoverheid van € 3 mrd» (Financieel Dagblad, 9 maart 2026)?1

Ja.

Vraag 2

Bent u eveneens bekend met de uitspraak van de rechter in Den Haag, die stelt dat twee IT-aanbestedingen van de Rijksoverheid ter waarde van 3,3 miljard euro gestaakt moeten worden?2

Ja.

Vraag 3

Wat is uw reactie op de berichtgeving en de rechterlijke uitspraak?

De Staat werkt momenteel aan verduidelijking en, waar nodig, aanpassing van de aanbestedingsvoorwaarden, in lijn met het vonnis.
Mede omdat de zaak onder de rechter is, wordt niet in algemene zin ingegaan op de berichtgeving. Dat is anders ten aanzien van concrete vragen die de Kamer stelt.

Vraag 4

Kunt u toelichten welke aanpassingen u gaat doorvoeren of al heeft doorgevoerd in de aanbestedingsvoorwaarden om aan de rechterlijke uitspraak te voldoen?

Nee, op dit moment nog niet. Het onderzoek naar de mogelijkheden om de aanbestedingsvoorwaarden te verduidelijken danwel aan te passen loopt nog.

Vraag 5

Zouden de IT-aanbestedingen, indien ze doorgang vinden, de digitale autonomie van Nederland vergroten of verkleinen? Kunt u dit onderbouwen?

Op dit moment kan niet concreet worden gezegd of de aanbestedingen de digitale autonomie van Nederland vergroten danwel verkleinen. Echter, op de Europese Aanbesteding Programmatuur 2025 (EAP-2025) aanbestedingen waren en blijven de Algemene Rijksvoorwaarden bij IT-overeenkomsten (ARBIT) van toepassing. De ARBIT bevat ook voorwaarden die bijdragen aan digitale autonomie en soevereiniteit, zoals voorwaarden met betrekking tot exit, opzegging, ontbinding en informatieveiligheid.
Met de aanbestedingen wordt beoogd raamovereenkomsten te sluiten met daartoe geschikt bevonden resellers. Dat zijn resellers die zich aan de aanbestedingsvoorwaarden conformeren. De deelnemers doen binnen de raamovereenkomsten met de resellers nadere uitvragen voor de levering van specifieke producten. De impact op de digitale autonomie is vooral afhankelijk van de inhoud van deze nadere uitvragen.

Vraag 6

Hoe houdt u de komende vier jaar de mogelijkheid om de afhankelijkheid van Amerikaanse techbedrijven via aanbestedingen te verkleinen conform de wens van de Tweede Kamer,3 nu u middels een raamovereenkomst de voorwaarden voor nieuwe inkoop jarenlang vastlegt?

Bij aanpassing van de aanbestedingsstrategie en -voorwaarden wordt, waar van toepassing en mogelijk, (nieuw) rijksbreed beleid geborgd, waaronder rijksbreed beleid inzake digitale autonomie en soevereiniteit.
Deelnemers moeten binnen hun inkoopvraagstukken borgen dat zij gericht besluiten nemen inzake de reductie van het risico op afhankelijkheid. Dat betekent dat zij bestaande producten vervangen door alternatieven die minder / geen risico op afhankelijkheid kennen. Voor nieuwe producten dienen zij voor hun nadere uitvragen binnen de raamovereenkomsten aanvullende eisen en voorwaarden op te nemen, passend bij de specifieke opdracht, om te borgen dat het risico op afhankelijkheid beheersbaar blijft.

Vraag 7

Ziet u met de rechterlijke uitspraak en de noodzaak om de aanbestedingsvoorwaarden aan te passen ook de mogelijkheid om digitale autonomie zwaarder mee te wegen als criterium?

Deze vraag kan op dit moment nog niet worden beantwoord. De categorie Software Rijk onderzoekt nog of en zo ja, in welke mate de aanbestedingsvoorwaarden ten aanzien van digitale soevereiniteit en autonomie verder moeten worden aangepast.

Vraag 8

Welke gevolgen heeft de rechterlijke uitspraak voor de twee IT-aanbestedingen ter waarde van 3,3 miljard euro? Kunt u een overzicht geven van lopende contracten waar deze uitspraak mogelijk ook gevolgen voor heeft?

Voor het antwoord op de eerste vraag wordt verwezen naar het antwoord op vraag 3. De aanbestedingen zijn gestaakt. De Staat onderzoekt de noodzaak en mogelijkheden voor aanpassing of herziening van de aanbestedingsvoorwaarden en neemt op basis van de bevindingen een besluit inzake de vervolgaanpak. Ter overbrugging zijn de bestaande raamovereenkomsten verlengd, om te voorkomen dat de inkoop van standaardprogrammatuur tussentijds stilvalt.
De uitspraak van de rechter heeft gevolgen voor alle opdrachten (nadere overeenkomsten) die worden afgesloten onder de verlengde raamovereenkomsten van het Ministerie van Defensie en van het Ministerie van Justitie en Veiligheid. De ministeries zijn hierover geïnformeerd.

Vraag 9

Wat is het doel en de noodzaak van de twee IT-aanbestedingen? Welke diensten zouden precies ingekocht worden bij Microsoft en Oracle, en in welke ministeries en overheidsorganisaties zouden deze gebruikt worden?

Zoals toegelicht bij vraag 6 is het doel van de aanbestedingen om voor de inkoop van standaardprogrammatuur (zowel nieuwe, als uitbreidingen op bestaande software) een duidelijk en rechtmatig afsprakenkader te creëren. Deze aanbestedingen hebben niet specifiek betrekking op software van Microsoft of Oracle.
De noodzaak van de aanbestedingen is drieledig, namelijk:
Diensten die worden ingekocht zijn: de levering van standaardsoftware, onderhoud en support, helpdeskondersteuning, adviesdiensten, installatie en configuratie van standaardsoftware en trainingen en opleidingen.
De aanbestedingen worden uitgevoerd ten behoeve van het Ministerie van Defensie en het Ministerie van Justitie en Veiligheid. De lijst met deelnemende organisaties staat onderaan de beantwoording van deze lijst met vragen en antwoorden.

Vraag 10

Waarom vraagt u in de aanbesteding voor deze grote IT-projecten om «levering van standaardprogrammatuur van vendor Microsoft» in plaats van dat u de technische eisen uitvraagt van de software die u wil inkopen?4

Binnen de lopende raamovereenkomsten moet het voor deelnemers mogelijk zijn om, indien nodig, het aantal licenties voor het gebruik, onderhoud en/of beheer van deze programmatuur uit te kunnen breiden. Een uitvraag op basis van technische eisen kan leiden tot aanbod van een ander typen licenties, hetgeen praktisch niet wenselijk is en tot kostenverhoging kan leiden.

Vraag 11

Wat bedoelt u met «gerelateerde open source toepassingen» aan de standaardprogrammatuur van Microsoft? Op welke toepassingen gaat dit, en waarom neemt u deze af via de tussenhandelaar?5

Met «gerelateerde open source toepassingen» aan de standaardprogrammatuur van Microsoft wordt de closed source- en open source, software bedoeld die softwareleveranciers gebruiken voor het leveren van hun software(diensten). Dat is ook van toepassing voor software(diensten) van Microsoft (Perceel6. Binnen deze aanbesteding is het leveren van open-source software(diensten) voorbehouden aan een ander Perceel, Perceel 2. Om te voorkomen dat dit voorbehoud ervoor zorgt dat de software van de softwareleverancier in Perceel 1 niet meer werkt, danwel wordt uitgesloten, omdat deze open source software bevat, is de uitzonderingsgrond toegevoegd dat ook software(diensten) met gerelateerde open source toepassingen in Perceel 1 kunnen worden aangeboden.
De Staat neemt deze oplossingen af via resellers omdat de Staat de software op deze wijze op basis van eenduidige voorwaarden (ARBIT) in kan kopen.

Vraag 12

Hoe verhoudt het niet opnemen van technische eisen voor de af te nemen software zich tot artikel 2.75–2.77 van de Aanbestedingswet 2012, nu ook de term «of gelijkwaardig» (2.76, lid 4, subartikel b) ontbreekt?6

De EAP-aanbestedingen leiden tot raamovereenkomsten met meerdere resellers die in principe alle gangbare standaardprogrammatuur (> 4.000) kunnen leveren. De concrete, technische eisen worden niet in de raamovereenkomst vastgelegd, maar pas bij elke afzonderlijke nadere offerteaanvraag van een deelnemer. Die offerteaanvraag kan:
Waar de Aanbestedingswet 2012 een lichter regime of een uitzondering toestaat, geldt die ook voor de betreffende nadere offerteaanvraag voor standaardprogrammatuur en bijbehorende dienstverlening. Dat kan bijvoorbeeld in de volgende situaties:
Samengevat: de technische specificaties worden per opdracht geformuleerd binnen het raamwerk, en waar de wet uitzonderingen of een lichter regime toelaat, wordt dat op die specifieke nadere offerteaanvraag toegepast.

Vraag 13

Zijn de toepasselijke (verplichte of aanbevolen) standaarden van het Forum Standaardisatie uitgevraagd in deze aanbestedingen? Zo nee, waarom niet, en hoe verzekert u dan dat ook gegadigden naast Microsoft en Oracle aan de aanbesteding kunnen voldoen?

Ja, de standaarden van het Forum Standaardisatie zijn uitgevraagd.

Vraag 14

Zijn de IT-aanbestedingen gericht op het inkopen van software of het vinden van softwareverkopers? Gaan deze aanbestedingen niet feitelijk over het aangaan van een licentieovereenkomst, waarbij het softwarebedrijf als rechthebbende eenzijdig de voorwaarden bepaalt?

De EAP-aanbestedingen zijn gericht op het contracteren van meerdere resellers (softwareverkopers) die binnen de raamovereenkomst in principe alle gangbare standaardprogrammatuur (>4.000 softwareproducten) kunnen leveren.
De deelnemers doen binnen de (rijksinkoopvoorwaarden van de) raamovereenkomst bij de gecontracteerde resellers nadere offerteaanvragen die leiden tot het aangaan van licentieovereenkomsten. De licentieovereenkomsten worden echter gesloten onder de voorwaarden van de Rijksoverheid en niet eenzijdig onder voorwaarden van de softwareleverancier.

Vraag 15

Zijn Microsoft en Oracle de énige techbedrijven die kunnen voldoen aan de technische en operationele eisen die u stelt in de aanbesteding? Zo ja, bent u het dan met de indieners eens dat de aanbesteding toeschrijft naar Microsoft en Oracle?

Nee, niet alleen Microsoft of Oracle kunnen aan de aanbestedingseisen voldoen.
De EAP-aanbestedingen leiden tot raamovereenkomsten met meerdere resellers die in principe een zeer breed scala aan standaardprogrammatuur (meer dan 4.000 producten) kunnen leveren. De EAP2025-aanbestedingen schrijven daarom niet toe naar Microsoft of Oracle.

Vraag 16

Wat bedoelt de Staat met de stelling dat «80 tot 85% van de offerteaanvragen een productgerichte offerteaanvraag [betreft]»? Kan er sprake zijn van een open aanbesteding als het merendeel van offertes om één specifiek product vraagt?

Met «80–85%» wordt gedoeld op het aandeel nadere offerteaanvragen dat productgericht is en middels minicompetities binnen de raamovereenkomsten wordt uitgevraagd. Het doen van productgerichte uitvragen binnen een raamovereenkomst is wettelijk toegestaan in die gevallen waar de Aanbestedingswet 2012 een lichter regime of een uitzondering toestaat. Zie ook de beantwoording op vraag 12.
De aanbesteding is open want deze heeft tot doel meerdere opdrachtnemers te contracteren die in staat zijn om de gevraagde standaard programmatuur te kunnen leveren.

Vraag 17

Hoeveel van deze 80 tot 85% van deze productgerichte offerteaanvragen worden uiteindelijk bij Microsoft en Oracle afgenomen? Kunt u dit inzichtelijk maken?

Nee, die informatie kan niet inzichtelijk worden gemaakt, omdat deze informatie niet centraal wordt geregistreerd.

Vraag 18

Zorgen deze productgerichte offerteaanvragen ervoor dat het op voorhand vrijwel zeker is dat software van Microsoft en Oracle zal worden gekozen? Zo nee, waarom is er dan gekozen voor productgerichte offerteaanvragen? Zo ja, is het dan terecht om te stellen dat er sprake is van een vendor lock-in?

Nee, een productgerichte offerteaanvraag zorgt ervoor dat door één van de gecontracteerde resellers een specifiek product (standaardprogrammatuur) wordt uitgevraagd en geleverd. Dit kan Microsoft of Oracle betreffen, maar ook andere standaardprogrammatuur.
Voor een productgerichte uitvraag wordt gekozen, omdat er bijvoorbeeld sprake is van uitbreiding van de licenties van een oplossing die reeds in gebruik is. Zie ook de beantwoording van vraag 12.
Een productgerichte uitvraag betekent op zichzelf niet dat sprake is van een vendor lock-in.

Vraag 19

Deelt u de analyse van de indiener dat deze mate van productgerichte offerteaanvragen een vendor lock-in van enkele grote techbedrijven in de hand speelt? Zo nee, kunt u onderbouwen dat dit niet het geval is?

Nee, de analyse wordt niet gedeeld.
In de vraag worden oorzaak en gevolg omgedraaid. Immers, het uitgangspunt is dat een deelnemer standaardprogrammatuur functioneel uitvraagt, tenzij op grond van de Aanbestedingswet 2012 voor de concrete opdracht een lichter regime of een uitzondering geldt. In dat geval kan de deelnemer een productgerichte uitvraag doen bij de gecontracteerde reseller.
Een vendor lock-in kan ontstaan ná ingebruikneming van de oplossing met de beste prijs-kwaliteitverhouding. In die situatie kan die afhankelijkheid een grond zijn om bij uitbreidingen of vernieuwing productgericht uit te (moeten) vragen.

Vraag 20

Is software van Microsoft en Oracle de enige manier om uw dienstverlening te kunnen handhaven? Zo nee, waarom is dan gekozen voor de productgerichte offerteaanvragen?

Nee, software van Microsoft en Oracle is niet de enige manier om dienstverlening te kunnen handhaven. De vraag of een deelnemer zonder software van bijvoorbeeld Microsoft, Oracle of een andere fabrikant kan, wordt op deelnemer niveau vastgesteld.
Centraal inzicht in overwegingen die ten aanzien van besluitvorming over offerteaanvragen van individuele deelnemers ten grondslag ligt, ontbreekt; die gegevens zijn niet centraal bijgehouden en geregistreerd.

Vraag 21

Is dezelfde constructie met productgerichte offerteaanvragen, met sublicentiëring via tussenhandelaren, eerder toegepast bij IT-aanbestedingen van de Rijksoverheid, zoals gesteld wordt in de berichtgeving? Zijn er lopende contracten waarbij dezelfde constructie van toepassing is?

Ja, dezelfde constructie met productgerichte offerteaanvragen, met sublicentiëring via tussenhandelaren is eerder toegepast bij uitgevoerde aanbestedingen voor raamovereenkomsten van de Rijksoverheid inzake de levering van standaardprogrammatuur.
Ja, er zijn lopende contracten waarbij dezelfde constructie van toepassing is.

Vraag 22

Hoe verhouden deze productgerichte offerteaanvragen bij Microsoft en Oracle zich tot de Aanbestedingswet 2012, artikel 1.10a, in het bijzonder lid 2, namelijk het verbod om opdrachten te ontwerpen «met het doel bepaalde ondernemers ten onrechte te bevoordelen»?7

In dit kader kan worden verwezen naar het antwoord op vraag 18. Overigens zien productgerichte uitvragen niet alleen toe op Microsoft en Oracle. De gronden om productgericht uit te vragen, gelden in gelijke mate voor de softwareproducten (> 4.000) van alle vendors.

Vraag 23

Bent u bekend met (in omvang) vergelijkbare aanbestedingen van ICT die op een soortgelijke manier, door het noemen van de merknaam, een of meer Europese leveranciers bevoordelen? Zo ja, welke zijn dat? Zo nee, waarom is dit bij Amerikaanse bedrijven dan wel het geval?

Nee. In dit kader kan verder worden verwezen naar de beantwoording op vraag 10.
De aanbestedingen richten zich niet specifiek op de levering van producten van Amerikaansen vendors, maar op producten (> 4.000) die de deelnemers via de gecontracteerde resellers afnemen.

Vraag 24

Kunt u alle relevante stukken die betrokken zijn bij de (voorbereiding van) deze twee IT-aanbestedingen aan de Kamer doen toekomen, inclusief risico-analyses en voorbereidende notities?

Ja, in de bijlagen treft u de relevante aanbestedingsstukken en nota’s van inlichtingen aan.

Vraag 25

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, en toezeggen dat u de IT-aanbestedingen niet doorzet totdat deze juridisch houdbaar zijn en de Kamer volledig is geïnformeerd?

De vragen zijn afzonderlijk van elkaar beantwoord.
Toegezegd wordt dat de aanbestedingen worden voortgezet nadat op basis van de resultaten van de in- en externe consultaties een besluit is genomen over de (mate van) aanpassing van de aanbestedingsvoorwaarden en de vervolgaanpak. De Kamer zal tegelijkertijd met de markt worden geïnformeerd op de wijze waarop de aanbesteding zal worden hervat.

Vraag 1

Bent u bekend met het bericht dat telecomprovider Odido zonder medeweten van klanten MAC-adressen en apparaatnamen uit consumentenrouters heeft doorgestuurd naar een Amerikaans AI-bedrijf?1

Ja.

Vraag 2

Kunt u toelichten in hoeverre MAC-adressen en apparaatnamen volgens de Algemene verordening gegevensbescherming (AVG) als persoonsgegevens kunnen worden beschouwd?

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon kan een persoonsgegeven zijn (artikel 4, eerste lid, van de Algemene Verordening Gegevensbescherming, AVG). Ook een MAC-adres of een apparaatnaam kan als persoonsgegeven worden beschouwd.

Vraag 3

Hoe beoordeelt u de privacyrisico’s van het verzamelen en delen van deze gegevens, omdat daarmee mogelijk ook huishoudens kunnen worden herkend of gevolgd?

Het is van belang dat persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is. Een verwerking is bijvoorbeeld rechtmatig, als er toestemming voor is gegeven, een gerechtvaardigd belang is of als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Het is niet aan het kabinet binnen het stelsel van de AVG om in te gaan op individuele gevallen, maar in eerste instantie aan de Autoriteit Persoonsgegevens (AP). De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhavend optreden, advies verstrekken en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 4

Hoe beoordeelt u het feit dat deze gegevens naar een Amerikaans AI-bedrijf zijn doorgestuurd?

Doorgifte van persoonsgegevens naar een bedrijf dat buiten de Europese Economische Ruimte (EER) is gevestigd is op grond van de AVG alleen toegestaan onder voorwaarden. Persoonsgegevens mogen alleen buiten de EER worden verwerkt in overeenstemming met de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de AVG. Bijvoorbeeld als de Europese Commissie een adequaatheidsbesluit heeft genomen of dat er door het bedrijf passende waarborgen zijn genomen. Of in deze casus wel of geen grondslag was voor het al dan niet delen van deze gegevens buiten de EER, evenals de vraag of de waarborgen van hoofdstuk V van de AVG in acht zijn genomen, is niet aan het kabinet om te beoordelen, maar aan de toezichthouder. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 5

Deelt u de opvatting van de Autoriteit Persoonsgegevens dat MAC-adressen kunnen worden beschouwd als persoonsgegevens? Zo ja, welke eisen gelden voor het verzamelen en delen van deze gegevens door telecomproviders?

Ja. Zie het antwoord op vraag 2. De AVG geeft algemene regels voor de verwerking van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders.

Vraag 6

Welke risico’s ziet u voor de privacy en veiligheid van burgers wanneer grote hoeveelheden metadata over wifi-netwerken en apparaten worden verzameld en mogelijk gecombineerd met andere datasets?

Dat hangt af van de omstandigheden van het geval. Een risico dat volgt uit het niet naleven van de AVG is in ieder geval dat de betrokkenen hun rechten niet (volledig) kunnen uitoefenen. Denk hierbij aan het inzien, corrigeren, of verwijderen van hun eigen persoonsgegevens.

Vraag 7

Is de Autoriteit Persoonsgegevens betrokken bij deze kwestie en wordt onderzocht of Odido de privacyregels heeft nageleefd?

De AP is op de hoogte van de genoemde berichtgeving over Odido. Het is aan de AP om opheldering te vragen aan Odido.

Vraag 8

Welke stappen verwacht u van Odido richting klanten, bijvoorbeeld om hen te informeren over welke gegevens zijn gedeeld en welke maatregelen worden genomen om dit in de toekomst te voorkomen?

Dit is niet aan het kabinet, maar in eerste instantie aan de AP. De AP toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. In zijn algemeenheid hangt het van meerdere factoren af. Onder andere de vraag of er een grondslag is voor het verwerken van deze gegevens en, indien er sprake is van doorgifte buiten de EER, of de waarborgen van de AVG in acht zijn genomen.

Vraag 9

Ziet u aanleiding om strengere eisen te stellen aan telecomproviders die AI-diensten gebruiken, zodat gegevens van gebruikers beter worden beschermd en transparanter wordt omgegaan met dataverzameling?

Nee. De AVG geeft duidelijke regels voor de bescherming van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders. Ook de AI-verordening kent een duidelijke set van regels. Er is wel aanleiding om het gesprek te voeren met het veld, waaronder telecomaanbieders, over de bescherming van persoonsgegevens in de praktijk. Vervolgens zal dit betrokken worden bij het voornemen om de toepassing van de AVG in Nederland tegen het licht te houden.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden en dit doen voor 23 maart 2026 vanwege het wetgevingsoverleg over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het Volkskrant-bericht «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (d.d. 5 maart 2026)?1

Ja.

Vraag 2

Hoe beoordeelt u de conclusie van experts dat de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van Amazon worden onderschat?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn. Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:

Vraag 3

Bent u voornemens gebruik te maken van de nieuwe clouddienst van Amazon? Waarom wel of niet?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak. Vanuit deze inzet zullen ook nieuwe ontwikkelingen op de cloudmarkt overwogen worden.

Vraag 4

Bent u bekend met de aangenomen motie van het lid Dassen (Kamerstuk 36 800, nr. 61) over het volledig overstappen op Europese, op open standaarden gebaseerde digitale alternatieven voor de digitale infrastructuur?2

Ja.

Vraag 5

Hoe verhoudt het publiceren, en naar aanleiding van deskundige kritiek weer verwijderen, van dit rapport zich tot de aangenomen motie van het lid Dassen en de brede wens van de Kamer om grootschalig over te stappen naar Europese alternatieven?

Er is geen verband tussen de lopende uitvoering van de motie Dassen en het tijdelijk terugnemen van de publicatie van het rapport. De motie richt zich op het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven, terwijl het tijdelijk terugnemen van de publicatie van het rapport te maken heeft met onduidelijkheden in de interpretatie. Het begeleidende bericht is verduidelijkt en daarna opnieuw geplaatst. De inhoud van het rapport is geheel ongewijzigd.

Vraag 6

Welke alternatieven zijn er al reeds om invulling te geven aan deze motie en hoe snel kunnen deze worden geïmplementeerd?

De motie roept op tot het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven. Deze is in ontwikkeling en zal uiterlijk in het laatste kwartaal van dit jaar aan de Kamer voorgelegd worden.

Vraag 7

Hoe zou het eventueel aanschaffen van diensten van de nieuwe clouddienst van Amazon staan in relatie tot het coalitieakkoord, waarin staat dat het inkoopbeleid van de overheid gebruikt zal worden voor het aanjagen van Nederlandse en Europese ICT-industrie?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Erkent u het risico voor onze digitale soevereiniteit als wij niet versneld overstappen op Europese alternatieven voor onze digitale infrastructuur? Waarom wel of niet?

Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal buitenlandse spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. In algemene zin is de inzet van het kabinet erop gericht om het Europese aanbod van clouddiensten te vergroten en eenzijdige afhankelijkheden van partijen met een marktmacht en partijen uit derde landen af te bouwen.
Hier ziet het kabinet op in met verschillende beleidsinstrumenten zoals wetgeving (Dataverordening en de Digitalemarktenverordening) en innovatiebevordering (o.a. middels het IPCEI CIS). Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen in het digitale domein te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 9

Kunt u deze vragen binnen een week en afzonderlijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.