Vraag 1

Heeft u kennisgenomen van het bericht «Medipark Uden gaat live met HiX»?1

Ja.

Vraag 2

Klopt het bericht dat patiënten van Medipark Uden via het geïntegreerde online Zorgportaal eenvoudig en veilig hun herhaalmedicatie kunnen aanvragen op basis van de actuele medicatie van de patiënt?

Het klopt dat patiënten van Medipark Uden via het online Zorgportaal hun herhaalmedicatie kunnen aanvragen.

Vraag 3

Klopt het dat de patiënten van Medipark Uden dit doen door in te loggen via I Reveal My Attributes (IRMA) op het online portaal?

Ja.

Vraag 4

Klopt het dat IRMA een applicatie is die patiënten in staat stelt om zelf online aan te geven welke gegevens zij wel en niet willen delen, een methode die de privacy beschermt door «privacy by design»?

Volgens de informatie van IRMA houdt het ontwerp van de IRMA app rekening met privacy met een focus op dataminimalisatie, een van de privacybeginselen zoals opgenomen in de Algemene Verordening Gegevensbescherming.

Vraag 5

Klopt het dat in de meest recente nationale en Europese wetgeving «privacy by design» wordt vereist voor nieuwe ICT-systemen?

Ja.

Vraag 6

Is het juist dat Medipark Uden te horen heeft gekregen dat gebruik van IRMA in strijd is met artikel 87 van de Algemene Verordening Gegevensbescherming (AVG), artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de wet Elektronisch Berichtenverkeer (wet EBV)?

Nee, er is navraag gedaan bij Medipark Uden en zij heeft aangegeven niet hierover geïnformeerd te zijn.

Vraag 7

Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?

Nee. In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau «hoog». Bij het gebruik van DigiD zijn nu de niveaus «substantieel» en «hoog» nog niet beschikbaar. De Autoriteit Persoonsgegevens heeft bij brief van 4 oktober 2018 (Kamerstuk 31 293, nr. 412) gereageerd op vragen hieromtrent van VWS. De AP heeft geantwoord dat authenticatie dient plaats te vinden met ten minste tweefactorauthenticatie, in afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau. Hieraan voldoet onder andere DigiD in combinatie met sms. Andere mogelijkheden worden echter niet uitgesloten.
Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.

Vraag 8

Klopt het dat wanneer Medipark Uden DigiD zou gebruiken voor elektronische identificatie, zij 14 eurocent zou moeten betalen voor elke succesvolle inlog?2

In 2017 heeft de ministerraad besloten dat vanaf 2018 alle kosten voor beheer en exploitatie van DigiD worden doorbelast aan dienstverleners die zijn aangesloten op DigiD. Deze kosten worden dus niet aan burgers doorbelast.
Voor 2019 is het bedrag door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vastgesteld op € 0,117 per succesvolle inlog, excl. BTW. Dit bedrag wordt ieder jaar opnieuw vastgesteld voor het daaropvolgende jaar. De prijs is afhankelijk van de kosten voor de doorontwikkeling van DigiD en de onderliggende infrastructuur.
Overigens is het zo dat de Minister van Volksgezondheid, Welzijn en Sport de kosten voor het gebruik van DigiD in de zorg vergoedt. Medipark Uden hoeft daarom niet per succesvolle inlogpoging te betalen.

Vraag 9

Klopt het dat deze 14 eurocent per inlog gaan naar het bedrijf Logius, dat dan de beheerder is van de gegevens van de burger?

Ja. Logius brengt het werkelijke gebruik in rekening bij de dienstverlener die gebruikmaakt van DigiD (in dit geval het Ministerie van VWS).
Ik benadruk dat Logius geen bedrijf is, maar een baten-lastendienst die onderdeel is van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en onder andere DigiD beheert. Logius verwerkt voor DigiD enkel gegevens van de burger die nodig zijn voor het gebruik van DigiD. Voor een volledig overzicht verwijs ik naar het Besluit verwerking persoonsgegevens digitale infrastructuur en de privacyverklaring van DigiD (zie https://www.digid.nl/wat-is-digid/privacy).

Vraag 10

Klopt het dat de AVG, de UAVG en de wet EBV alleen toestemming verlenen aan DigiD omdat de firma Logius, als beheerder van de gegevens van de burger, als enige toestemming heeft om Burger Service Nummers (BSN) van burgers te verwerken?

De verwerking van het BSN vereist een wettelijke basis. Het BSN mag verwerkt worden door overheidsinstanties voor het uitvoeren van hun publiekrechtelijke taak. Organisaties buiten de overheid mogen het BSN verwerken als dat wettelijk is bepaald. Denk in dit geval aan pensioenfondsen en zorgverleners.
In de wet EBV is geregeld dat de Minister van BZK persoonsgegevens, waaronder het BSN, verwerkt voor de werking van DigiD.
Op dit moment is het zo dat DigiD het enige publieke elektronische identificatiemiddel is en daarmee ook het enige middel waarbij werking van het BSN is toegestaan. Het wetsvoorstel digitale overheid dat nu in behandeling is, beoogt ook andere (private) inlogmiddelen toe te laten, waarbij – ten behoeve van het inloggen bij de overheid- het BSN wordt verwerkt.

Vraag 11

Overtreden lokale overheden of – zoals in het geval van Medipark – zorgaanbieders de wet wanneer een burger zich middels de IRMA-app identificeert?

Op dit moment heeft alleen DigiD een wettelijke basis om het BSN te verwerken. Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten. In het antwoord op vraag 7 gaf ik aan dat de Autoriteit Persoonsgegevens toeziet op het passend beveiligen van gegevens. De Autoriteit Persoonsgegevens heeft IRMA nog niet uitgesloten.
Daarnaast geldt dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden.

Vraag 12

Kunt u uitleggen op welke wijze de stichting achter IRMA het BSN verwerkt?

Zover mij bekend heeft de stichting dit als volgt ingericht. Het BSN wordt, via de inlog met DigiD, door de gemeente verwerkt bij het ophalen van de gegevens uit de BRP. Vervolgens worden het BSN en de overige gegevens uit de BRP in de IRMA app geplaatst. De gebruiker van de IRMA app kan deze gegevens, waaronder het BSN, onder zijn eigen verantwoordelijkheid verstrekken aan derden.

Vraag 13

Wat is uw opvatting over attribuut gebaseerde authenticatie als wijze van elektronische identificatie?

Ik sta in zijn algemeenheid positief tegenover het gebruik van attribuut gebaseerde authenticatie, mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS).
Vooropgesteld merk ik op dat bij (elektronische) identificatie het erom gaat om iemands identiteit vast te stellen. Dit kan via een WID maar langs elektronische weg ook bijvoorbeeld via gezichtsherkenning in combinatie met een ander attribuut. Bij authenticatie wordt gecontroleerd of iemand is wie hij zegt dat hij is. Als we het hebben over authenticatie als wijze van elektronische identificatie, gaat het om de stap nadat een gebruiker zich heeft geïdentificeerd middels een bewijs van identiteit.
Of de authenticatie kan plaats vinden met een attribuut zal afhangen van de vraag of de dienstverlener kan vertrouwen op de juistheid en actualiteit van de attributen en dat deze daadwerkelijk toebehoren aan de betrokken burger. Hoe hoger het vereiste betrouwbaarheidsniveau bij het inloggen, hoe meer eisen aan dit vertrouwen zullen worden gesteld. Ik kijk met interesse uit naar middelen die aan deze eisen voldoen.

Vraag 14

Kunt u voorbeelden geven van een app die een rechtspersoon of een natuurlijk persoon is?

Een app is geen van beide. Een app is software die gemaakt wordt en/of geëxploiteerd wordt door een natuurlijke of rechtspersoon en onder diens verantwoordelijkheid valt.

Vraag 15

Wanneer iemand een BSN intypt op een tekstverwerker en diegene gebruikmaakt van Microsoft, dient Microsoft als verwerker van het BSN dan ook een wettelijke grondslag te hebben?

Wanneer iemand een natuurlijke persoon is en bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit een BSN intypt in een clouddienst, dan is de AVG niet van toepassing. In de overige gevallen waar een BSN wordt ingetypt en opgeslagen in een clouddienst, is degene die de clouddienst aanbiedt verwerker. De clouddienst wordt conform AVG aangemerkt als een verwerker wanneer hij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. In de meeste gevallen bestaat er bij een clouddienst een dergelijke situatie. Voor de verwerking geldt dan de grondslag voor gegevensverwerking van de verwerkingsverantwoordelijke. In dat geval is een verwerkersovereenkomst verplicht. Deze verwerkersovereenkomst zal dan meestal onderdeel uitmaken van de algemene voorwaarden waaronder de clouddienst wordt aangeboden. Wanneer een BSN wordt ingetypt in een offline softwareapplicatie waarbij het BSN niet op een server wordt opgeslagen, tijdelijk vastgehouden of op een of andere manier via een clouddienst wordt verwerkt, is de aanbieder van de softwareapplicatie geen verwerker. Dit laat overigens de verantwoordelijkheid van de aanbieder van een applicatie om zorg te dragen voor een veilige applicatie onverlet.

Vraag 16

Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?

Veiligheid hangt af van inrichting en waarborgen die met betrekking tot gegevensverwerking worden getroffen. Daarbij maakt het niet uit of de gegevensverwerking plaatsvindt onder verantwoordelijkheid van de overheid of van een private organisatie. Hierbij moet rekening gehouden worden met alle privacybeginselen uit de AVG, waaronder het helpen van de persoon over wie gegevens worden verwerkt in geval van problemen, bijvoorbeeld als zijn identificatiemiddel is gestolen. Deze mogelijkheid wordt beperkt indien niet te achterhalen is op welk moment tijdens het inloggen wie wat heeft gedaan. Dit is het geval wanneer gegevens enkel in handen van de burger zelf blijven.
De verwerking van gegevens door de Minister van BZK/Logius is met specifieke wettelijke waarborgen omkleed (in de Wet EBV en Besluit verwerking persoonsgegevens digitale infrastructuur), die vooralsnog tot inwerkingtreding van de Wet digitale overheid voor private middelen ontbreken.
Een aandachtspunt bij attributendiensten is wel dat het mogelijk maakt dat burgers zo laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan de burger afhankelijk is. In dit kader verwijs ik naar het overheidsbrede programma Regie op Gegevens dat de Minister van BZK gestart is en dat beoogt om kaders te stellen voor het digitaal delen van persoonsgegevens die afkomstig zijn uit overheidsregistraties.

Vraag 17

Heeft u, mede in het licht van de Wet Digitale Overheid, bezwaar tegen het gebruik van IRMA in de zorg, zoals nu bijvoorbeeld gerealiseerd door Medipark Uden? Zo ja, hoe gaat u vormgeven aan uw bezwaar?

Het is belangrijk dat burgers een adequate beveiliging wordt geboden bij de digitale toegang tot hun medische gegevens. Betrouwbaar inloggen is daarvoor essentieel. Onder de Wet digitale overheid kies ik bewust voor het toelaten van private middelen (op minimaal betrouwbaarheidsniveau substantieel) vanuit het oogpunt van brede dekking en innovatie. De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.

Vraag 1

Bent u bekend met het bericht «Dutch Minister urges EU action to fight child pornography online»?1

Ja.

Vraag 2

Wat is de reden dat u, in strijd met het kabinetsstandpunt en antwoorden op eerdere schriftelijke vragen, internationaal een pleidooi houdt voor het verzwakken van encryptie, wat evident niet binnen de kaders van het kabinetsstandpunt past?

Zoals ik heb gemeld in antwoorden op Kamervragen van het lid Verhoeven op 15 november jl. zijn mijn zorgen niet in strijd met het kabinetsstandpunt over encryptie uit 2016.2 Ik streef naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarbij acht ik het onder meer van belang te bezien of een internationale oplossing mogelijk is.
Het breder gebruik van encryptie, onder meer door het instellen als standaard bij communicatie tussen personen, maakt het opsporen van strafbare feiten lastiger en soms onmogelijk. Zoals gemeld in mijn brief van 22 november jl. over de aanpak van online seksueel kindermisbruik ben ik bezorgd over de toekomstige effectiviteit van opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme.3
De integrale aanpak van online seksueel kindermisbruik is een belangrijk speerpunt voor mij, dit misbruik is mensonterend en één van de meest verwoestende vormen van criminaliteit. Vanaf het begin van deze kabinetsperiode wil ik deze spiraal doorbreken, slachtoffers verdienen dat.

Vraag 3

Bent u bereid te stoppen met pleiten voor het verzwakken van encryptiesoftware?

Ik heb niet gepleit voor het verzwakken van encryptiesoftware. Zie verder het antwoord op vraag 4.

Vraag 4

Deelt u de mening dat u niet enerzijds «het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland» kunt onderschrijven en anderzijds kunt pleiten voor het afzwakken dan wel terugdraaien van encryptie van communicatie?

Het kabinetsstandpunt uit 2016 benoemt diverse betrokken belangen, waaronder het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Daarnaast wijst het kabinetsstandpunt op het belang van het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten. In de antwoorden op Kamervragen van het lid Verhoeven van 15 november jl. heb ik erop gewezen dat de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener minder vaak beschikbaar is. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
De diverse betrokken belangen staan in bepaalde gevallen met elkaar op gespannen voet. Voor dergelijke gevallen is het nodig oplossingen te vinden die recht doen aan deze belangen en/of waarbij deze belangen zorgvuldig zijn gewogen. Daarvoor heb ik aandacht gevraagd. Zoals gemeld in het antwoord op vraag 2 streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt uit 2016.

Vraag 5

Bent u bereid deze vragen nog deze week te beantwoorden?

Verzending binnen twee werkdagen bleek helaas niet haalbaar. De vragen zijn wel met spoed beantwoord.

Vraag 1

Bent u bekend met het bericht «Hoe T-Mobile zichzelf in de voet schoot met omweg dataverkeer»1 en het bericht «Klachten bij toezichthouder over traag internet bij T-Mobile»?2

Ja.

Vraag 2

Wat is uw mening over het feit dat T-Mobile het Nederlandse dataverkeer niet meer via AMS-IX heeft geleid, maar in plaats daarvan via de eigen «backbone» in Duitsland, met een flinke afname van de reactiesnelheid tot gevolg?

Een private onderneming als T-Mobile heeft een grote mate van vrijheid om te bepalen hoe zij het verkeer van haar abonnees routeert.
Mijn ministerie heeft naar aanleiding van de berichtgeving navraag gedaan bij T-Mobile en de Autoriteit Consument en Markt (ACM). T-Mobile erkent dat er verkeer via het netwerk van Deutsche Telekom is geleid. Dat betrof een omleiding naar een onderdeel van het netwerk van Deutsche Telekom dat fysiek gevestigd is in de buurt van Amsterdam, waarna het verkeer langs diverse routes werd verwerkt. Dit kan onder meer via Duitsland zijn gebeurd.

Vraag 3

Hoe verhoudt het omleiden van Nederlands dataverkeer via het buitenland en de gevolgen daarvan voor de reactiesnelheid van gebruikers zich tot de Nederlandse ambities om met het 5G netwerk een digitale koploper op het gebied van het leveren van snel internet te zijn?

Ik begrijp dat de routering van het verkeer door T-Mobile enkel betrekking had op het verkeer afkomstig van het vaste netwerk. Dus van klanten die een abonnement hebben bij T-Mobile Thuis via koper (het oude telefoonnetwerk) of glasvezel. De 2G, 3G, en 4G dienstverlening van T-Mobile werd zodoende niet beïnvloed door de omleiding van het verkeer. Indien T-Mobile reeds een 5G-netwerk had, dan zou die dienstverlening ook niet zijn beïnvloed.

Vraag 4

Deelt u de mening dat het, met het oog op het waarborgen van het goede Nederlandse vestigingsklimaat voor aanbieders van digitale diensten, onwenselijk is als de reactiesnelheid voor gebruikers omlaag gaat wanneer Nederlands dataverkeer via het buitenland omgeleid wordt?

De reactiesnelheid die in de genoemde berichtgeving wordt beschreven noemt men ook wel latency, en wordt gemeten in milliseconden. Het is de tijd dat een signaal er over doet om van A naar B te reizen, en weer terug. Deze reactiesnelheid wordt een steeds belangrijker aspect van de kwalitatief hoogwaardige connectiviteit waar ik naar streef en daarmee belangrijk voor het Nederlandse vestigingsklimaat.
Overigens verschilt de behoefte aan reactiesnelheid per dienst. Op dit moment is de reactiesnelheid onder meer van belang voor diensten als gaming en bellen via internet («VoIP»). Voor andere diensten is de reactiesnelheid weliswaar van belang voor de gebruikservaring, maar niet essentieel voor een goede werking. Het is bijvoorbeeld fijn als een e-mail direct na verzending wordt afgeleverd, maar als het iets langer duurt gaat er niet meteen iets mis. De verwachting is echter dat er in de komende jaren steeds meer diensten komen waar een lage reactiesnelheid noodzakelijk is om goed te kunnen functioneren. Voorbeelden hiervan zijn zelfrijdende auto’s, augmented of virual reality, en spraakassistenten.
Ik ben blij om te zien dat het handelen van T-Mobile zo veel reacties heeft uitgelokt, en dat T-Mobile de omleiding vrijwel direct heeft teruggedraaid. In dit geval heeft de markt zijn werk gedaan.

Vraag 5

Wat zijn volgens u de risico’s voor de positie van AMS-IX en andere Nederlandse exchanges bij het op dergelijke wijze omleiden van dataverkeer? En wat zijn volgens u de risico’s voor Nederland als internationaal knooppunt van internetverkeer?

Voor de positie van de AMS-IX als een van de belangrijkste internetknooppunten in de wereld is van belang dat er zo veel mogelijk ondernemingen op haar locaties verkeer uitwisselen. Wanneer ondernemingen besluiten om verkeer uit te wisselen op een andere wijze dan vermindert dat de klandizie voor de AMS-IX. Omdat de AMS-IX een internetknooppunt is waar véél meer ondernemingen op zijn aangesloten dan enkel T-Mobile valt te betwijfelen of het anders routeren van verkeer door alleen T-Mobile van significante invloed is op de AMS-IX. Wel kan ik me voorstellen dat AMS-IX de trend waarbij grote internetaanbieders en dienstverleners steeds vaker rechtstreekse interconnecties met elkaar aangaan als bedreiging wordt ervaren.

Vraag 6

Kunt u aangeven hoe het selectief omleiden van Nederlands dataverkeer via het buitenland, het zogeheten «double dipping», met als gevolg een lagere reactiesnelheid voor gebruikers of voor sommige Nederlandse websites, zich verhoudt tot de wettelijke plicht voor internetaanbieders om de netneutraliteit te waarborgen?

Eerst wil ik opmerken dat het omleiden van Nederlands dataverkeer via het buitenland niet hetzelfde is als wat er in de berichtgeving wordt bedoeld met double dipping. Double dipping verwijst naar de volgens de berichtgeving vermeende intentie achter het handelen van T-Mobile, of eigenlijk moedermaatschappij Deutsche Telekom. De stelling in de berichtgeving is dat Deutsche Telekom ondernemingen wiens diensten veel bandbreedte en/of een lage reactiesnelheid nodig hebben, dwingt tot betalen voor een goede verbinding met haar netwerk. De omleiding van het verkeer zou het voor Deutsche Telekom mogelijk maken om de toegang tot de abonnees van T-Mobile Thuis in te zetten als fiche in het onderhandelingsspel met dit soort dienstverleners. Op die manier kan Deutsche Telekom twee keer dippen. Oftewel, geld verdienen aan haar netwerk. Aan de ene kant door internettoegang en andere diensten te verkopen aan consumenten en zakelijke gebruikers. Aan de andere kant door een hoogwaardige verbinding met haar netwerk – zgn. «interconnectie» – te verkopen aan de ondernemingen die diensten leveren aan consumenten en zakelijke gebruikers.
De relatie tussen netneutraliteit en interconnectiebeleid wordt geregeld door de Europese netneutraliteitsregels zoals vastgelegd in Verordening 2015/2120/EU. Voor de toepassing van de Verordening heeft BEREC (Europese organisatie van nationale telecomtoezichthouders) richtsnoeren opgesteld. In die richtsnoeren is uitgelegd dat interconnectiebeleid onder artikel 3, eerste lid, van de Verordening getoetst kan worden als de daarin genoemde eindgebruikersrechten er door beperkt worden. Dit kan bijvoorbeeld het geval zijn wanneer interconnectiebeleid wordt ingezet om de intenties van de Verordening te omzeilen. In dergelijke gevallen kunnen nationale toezichthouders volgens BEREC in het kader van de netneutraliteitsregels interconnectieovereenkomsten onderzoeken. Dit betekent dat het interconnectiebeleid van internetaanbieders door de ACM kan worden getoetst aan de netneutraliteitsregels.

Vraag 7

Deelt u de mening dat de Nederlandse digitale ondernemers, zoals aanbieders van websites, net zoals de consument recht hebben op gelijke behandeling wat betreft netneutraliteit en dat het selectief omleiden van Nederlands dataverkeer via het buitenland deze netneutraliteit schaadt?

Zie antwoord vraag 6.

Vraag 8

Bent u bekend met vergelijkbare voorbeelden van internetaanbieders, die het Nederlandse dataverkeer omleiden via het buitenland, met mogelijke gevolgen voor de reactiesnelheid of de netneutraliteit? Zo niet, kunt u nagaan of ook andere internetaanbieders het Nederlands dataverkeer ook omleiden via het buitenland?

Nee, ik ben daar niet mee bekend. Ik zie voorts geen aanleiding om nader onderzoek te verrichten naar de routering van dataverkeer door Nederlandse internetaanbieders.

Vraag 9

Deelt u de mening dat het verstandig zou zijn als de Autoriteit Consumet & Markt onderzoek doet naar de potentiële gevolgen voor de netneutraliteit van het omleiden van het dataverkeer door T-Mobile en eventuele andere gevallen die u bekend zijn?

De ACM is een onafhankelijk toezichthouder. Ten behoeve van die onafhankelijkheid acht ik het niet verstandig om mij uit te laten over de eventuele wenselijkheid van enig onderzoek. Overigens heeft de ACM mij wel laten weten dat zij contact heeft gehad met T-Mobile om vragen te stellen over diens handelen. De ACM verwacht nog nadere gesprekken met T-Mobile te gaan voeren over dit voorval.
Tot slot wil ik opmerken dat de ACM de ontwikkelingen in de interconnectiemarkt volgt. Zowel zelfstandig als in het verband van BEREC. Zo heeft BEREC reeds in 2012 onderzoek gedaan naar de relatie tussen netneutraliteit en interconnectie, benoemt ze op haar website interconnectie als aandachtspunt voor het waarborgen van netneutraliteit, en benoemt ze in haar recent geconsulteerde werkplan de optie van een workshop over het onderwerp. Het doel van zo’n workshop is om toezichthouders te informeren over de laatste ontwikkelingen in de interconnectiemarkt. Daarnaast heeft mijn ministerie reeds in 2015 aan de ACM gevraagd om onderzoek te verrichten naar de ontwikkelingen op de interconnectiemarkt. Dit onderzoek is gepubliceerd op de website van de ACM.3Uw Kamer is reeds eerder over ontwikkelingen in de interconnectiemarkt geïnformeerd bij brief van 23 december 2014.4 Er is dus aandacht voor ontwikkelingen als deze.

Vraag 1

Bent u bekend met het bericht «Minister bezorgd om versleuteling Facebook»?1

Ja.

Vraag 2

Bent u bekend met het kabinetsstandpunt over versleuteling?2

Ja.

Vraag 3

Wanneer gaat u naar Washington om met uw Amerikaanse collega over deze kwestie te praten?

Ik ben van 4 tot en met 7 december 2019 op werkbezoek in de Verenigde Staten.

Vraag 4

Gaat u tijdens uw gesprek dit kabinetsstandpunt overbrengen en niet uw zorgen die in strijd zijn met dit kabinetsstandpunt?

Mijn zorgen zijn niet in strijd met het kabinetsstandpunt uit 2016. In het kabinetsstandpunt wordt onder meer gemeld dat encryptie het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten bemoeilijkt, vertraagt of onmogelijk maakt. Dit geldt bijvoorbeeld voor de opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme. De mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener is minder vaak beschikbaar. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
Daarnaast vermeldt het kabinetsstandpunt het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland.
Ik zal de diverse betrokken belangen en de conclusie uit het kabinetsstandpunt dat het niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland onder de aandacht brengen.

Vraag 5

Bent u ook bezorgd over het afzwakken van versleutelingssoftware waardoor buitenlandse mogendheden en criminelen toegang kunnen krijgen tot de privécommunicatie van mensen?

Ik onderschrijf het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Goede encryptie helpt Nederlandse burgers en organisaties zich te beschermen tegen buitenlandse mogendheden en criminelen. Ik streef daarom naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarvoor is samenwerking en overleg met publieke en private belanghebbenden noodzakelijk.

Vraag 1

Wat is uw reactie op het bericht dat hackers erin zijn geslaagd binnen te dringen in de systemen van het Medisch Centrum Leeuwarden (MCL)? Welke schade is hierdoor aangericht? Zijn er patiëntgegevens of andere belangrijke data in handen van onbevoegden gekomen?1

Vraag 2

Zijn er berichten van andere organisaties in de zorg die hierdoor zijn getroffen? Welke schade hebben zij ondervonden?

Vraag 3

Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?

Vraag 4

Hoe kan het dat zelfs nadat het Nationaal Cyber Security Centrum (NCSC) op 9 januari jl. waarschuwde dat hackers actief op zoek zijn naar kwetsbaarheden, er niet is gehandeld door het ziekenhuis?

Vraag 5

Wat was de rol van Z-Cert, expertisecentrum op het gebied van cybersecurity in de zorg, in deze? Waarom is op de website van Z-Cert sinds december geen bericht te lezen over de risico’s voor organisaties die werken met Citrix?

Vraag 6

Kunt u aangeven welke contacten er zijn geweest tussen het NCSC en Z-Cert om zorgaanbieders te informeren en aan te sporen actie te ondernemen?

Vraag 7

Klopt de analyse van experts dat de samenwerking rondom databescherming tekortschiet?

Vraag 8

Welke maatregelen gaat u nemen om ervoor te zorgen dat zorginstellingen eerder, actiever en indringender worden bijgestaan bij het nemen van maatregelen om hun data te beschermen tegen hackers?

Vraag 1

Kent u het bericht «MCL legt dataverkeer stil na cyberaanval»?1

Vraag 2

Welke invloed heeft het feit dat het Medisch Centrum Leeuwarden (MCL) uit voorzorg al het dataverkeer met de buitenwereld (zoals communicatie met andere ziekenhuizen) heeft stilgelegd voor patiënten die met spoed geholpen moeten worden?

Vraag 3

Welke andere ziekenhuizen werken ook met Citrix-servers?

Vraag 4

Zijn er bij andere ziekenhuizen ook pogingen gedaan om de Citrix-servers te hacken? Zo ja, hebben hackers kans gezien om in de systemen te komen?

Vraag 5

Heeft het MCL de «workaround» uitgevoerd, waarmee Citrix medio december 2019 bedrijven adviseerde zich te beschermen omdat er tot op heden nog geen updates zijn die tegen het lek in de Citrix-servers beschermen?2

Vraag 6

Kunt u een update geven voor alle ziekenhuizen? Hebben zij voldoende maatregelen getroffen?

Vraag 7

Wordt met de «workaround» van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?

Vraag 8

Welke ziekenhuizen zijn nog niet aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg?

Vraag 9

Wat gaat u doen om te bevorderen dat zo spoedig mogelijk alle ziekenhuizen zijn aangesloten bij Z-Cert?

Vraag 1

Bent u bekend met het bericht «Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie»?1

Vraag 2

Wat is er precies op kerstavond gebeurd tijdens de cyberaanval op Universiteit Maastricht?

Vraag 3

Wat zijn de gevolgen van de cyberaanval op Universiteit Maastricht voor haar studenten? Welke systemen zijn niet meer bereikbaar? Welke back-upsystemen heeft de Universiteit Maastricht? Zouden goede back-upsystemen niet onderdeel moeten zijn van de reguliere beveiligingsprocessen? Hoe groot is de kans dat de data überhaupt niet meer beschikbaar wordt?

Vraag 4

Welke stappen worden er gezet om de documenten van en voor studenten veilig te stellen? In hoeverre heeft de Universiteit Maastricht haar studenten hierover geïnformeerd?

Vraag 5

In hoeverre kan Universiteit Maastricht garanderen dat wetenschappelijke data beschermd is? Hoe gaat u dit waarborgen?

Vraag 6

Hoe gaat Universiteit Maastricht er zo snel mogelijk voor zorgen dat de gijzeling van haar computersystemen wordt beëindigd? Heeft u aanwijzingen dat de universiteit hiervoor losgeld gaat betalen? Kunt u het betalen van losgeld uitsluiten?

Vraag 7

In hoeverre bent u het met het Expertisecentrum Cyberweerbaarheid Limburg eens, dat het moeilijk te verkopen is dat overheidsinstellingen criminelen gaan betalen om een einde te maken aan de cyberhack van Universiteit Maastricht? In hoeverre bent u betrokken bij het besluit om wel of niet losgeld te betalen aan deze criminelen? Deelt u de mening dat het betalen van deze criminelen ervoor zorgt dat hun verdienmodel in stand wordt gehouden?

Vraag 8

Kan Universiteit Maastricht er zeker van zijn dat het betalen van de criminelen er ook daadwerkelijk voor zorgt dat de cyberaanval stopt?2 Zo nee, hoe gaat u er dan voor zorgen dat dit niet gebeurt?

Vraag 9

Op welke manier biedt het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op dit moment hulp aan Universiteit Maastricht?

Vraag 10

Hoeveel andere universiteiten in Nederland hebben te maken met dergelijke cyberaanvallen of pogingen daartoe? Heeft u aanwijzingen dat naast Universiteit Maastricht ook andere Nederlandse universiteiten aan de beurt zijn?

Vraag 11

Deelt u de mening dat informatieveiligheid een belangrijk onderdeel is van de organisatie van onderwijsinstellingen? In hoeverre wordt hierop toegezien binnen de reguliere inspectie?

Vraag 12

Zijn er al aanwijzingen waar de cyberaanval op Universiteit Maastricht vandaan komt en met welk doel deze cyberaanval is uitgevoerd? Is de aanval vergelijkbaar met de aanval op Universiteit Antwerpen van afgelopen oktober?

Vraag 13

Welke stappen gaat u zetten om dergelijke cyberaanvallen in de toekomst te voorkomen?3

Vraag 1

Bent u bekend met het bericht «Dutch Minister urges EU action to fight child pornography online»?1

Ja.

Vraag 2

Wat is de reden dat u, in strijd met het kabinetsstandpunt en antwoorden op eerdere schriftelijke vragen, internationaal een pleidooi houdt voor het verzwakken van encryptie, wat evident niet binnen de kaders van het kabinetsstandpunt past?

Zoals ik heb gemeld in antwoorden op Kamervragen van het lid Verhoeven op 15 november jl. zijn mijn zorgen niet in strijd met het kabinetsstandpunt over encryptie uit 2016.2 Ik streef naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarbij acht ik het onder meer van belang te bezien of een internationale oplossing mogelijk is.
Het breder gebruik van encryptie, onder meer door het instellen als standaard bij communicatie tussen personen, maakt het opsporen van strafbare feiten lastiger en soms onmogelijk. Zoals gemeld in mijn brief van 22 november jl. over de aanpak van online seksueel kindermisbruik ben ik bezorgd over de toekomstige effectiviteit van opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme.3
De integrale aanpak van online seksueel kindermisbruik is een belangrijk speerpunt voor mij, dit misbruik is mensonterend en één van de meest verwoestende vormen van criminaliteit. Vanaf het begin van deze kabinetsperiode wil ik deze spiraal doorbreken, slachtoffers verdienen dat.

Vraag 3

Bent u bereid te stoppen met pleiten voor het verzwakken van encryptiesoftware?

Ik heb niet gepleit voor het verzwakken van encryptiesoftware. Zie verder het antwoord op vraag 4.

Vraag 4

Deelt u de mening dat u niet enerzijds «het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland» kunt onderschrijven en anderzijds kunt pleiten voor het afzwakken dan wel terugdraaien van encryptie van communicatie?

Het kabinetsstandpunt uit 2016 benoemt diverse betrokken belangen, waaronder het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Daarnaast wijst het kabinetsstandpunt op het belang van het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten. In de antwoorden op Kamervragen van het lid Verhoeven van 15 november jl. heb ik erop gewezen dat de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener minder vaak beschikbaar is. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
De diverse betrokken belangen staan in bepaalde gevallen met elkaar op gespannen voet. Voor dergelijke gevallen is het nodig oplossingen te vinden die recht doen aan deze belangen en/of waarbij deze belangen zorgvuldig zijn gewogen. Daarvoor heb ik aandacht gevraagd. Zoals gemeld in het antwoord op vraag 2 streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt uit 2016.

Vraag 5

Bent u bereid deze vragen nog deze week te beantwoorden?

Verzending binnen twee werkdagen bleek helaas niet haalbaar. De vragen zijn wel met spoed beantwoord.

Vraag 1

Bent u bekend met de berichten «Datacenters in Nederland raken in wurggreep van Amerikanen» en «Nederlandse bouwer van datacentres failliet»?1 2

Vraag 2

Klopt het beeld dat Nederland de controle dreigt te verliezen over consumenten- en bedrijfsgegevens opgeslagen in datacenters op Nederlands grondgebied als gevolg van investeringen van Amerikaanse bedrijven in kritieke digitale infrastructuur in Nederland? Welke gevolgen kan dit hebben voor de veiligheid en autonomie van Nederland in het digitale domein?

Vraag 3

Kunt u een overzicht geven van dergelijke datacenters in Nederland, hun locaties en eigenaars?

Vraag 4

Wie is de eigenaar van de datacenters waarvan het Binnenhof en de verschillende departementen gebruikmaken?

Vraag 5

Wat is de staat van de bekabeling van, naar en in deze datacenters? Wie is de eigenaar van deze kabels en bijgevolg (mede)verantwoordelijk voor o.a. onderhoud, vervanging, beheer en beveiliging? Zouden deze kabels in het kader van de nationale veiligheid niet voor tenminste 51 procent overheidseigendom moeten zijn? Worden deze kabels beschouwd en behandeld als een vitaal proces of een vitale dienst? Welke (veiligheids)wetgeving is hier van toepassing?

Vraag 6

Bent u van mening dat de Wet ongewenste zeggenschap telecommunicatie, de uitvoeringswet Europese Foreign Direct Investment Screening (FDI)-screeningsverordening en het stelsel van investeringstoetsing, die allen in voorbereiding zijn, gezamenlijk voldoende bescherming bieden tegen ongewenste overnames van kritieke digitale infrastructuur, zoals datacenters?

Vraag 7

Is deze berichtgeving voor u aanleiding om het (concept)wetsvoorstel voor de invoering van een investeringstoets op nationale veiligheidsrisico’s versneld naar de Tweede Kamer te sturen en niet, zoals aangekondigd in de Kamerbrief van 11 november 2019, pas aan het eind van 2020 (met inwerkingtreding nog veel later)? Waarom wel of waarom niet?3

Vraag 8

Hoe wordt toezicht gehouden, zolang deze investeringstoets er nog niet is? Bent u van plan in de tussentijd aanvullende maatregelen te nemen om onze kritieke digitale infrastructuur beter te beschermen? Waarom wel of waarom niet?

Vraag 9

Wat betekent het faillissement van de Nederlandse bouwer van datacenters voor de veiligheid van Nederland? Welke wetgeving geldt hier ten aanzien van de eisen aan eigenaarschap e.d., wanneer dit bedrijf een doorstart zou maken?

Vraag 1

Bent u bekend met het bericht «KPN loopt voor de troepen uit en bouwt ondanks politieke strijd alvast Huawei-zendmasten in de Randstad»?1

Vraag 2

Kunt u bevestigen dat KPN momenteel Huawei-antennes installeert voor zijn huidige 4G- en toekomstige 5G-netwerk? Indien ja, om hoeveel antennes gaat het en op welke locaties?

Vraag 3

Zijn KPN en T-Mobile op dit moment de enige telecomaanbieders in Nederland die Huawei-apparatuur in hun telecomnetwerk hebben?

Vraag 4

Is hier volgens u, indachtig de aangenomen motie-Weverling c.s. (Kamerstuk 24 095, nr. 471), sprake van een «onomkeerbare stap» in de uitrol van 5G? Indien niet, wanneer zou daar wel sprake van zijn?

Vraag 5

Behoren antennes naar uw mening tot de kritische onderdelen van een telecomnetwerk, met vertaald naar de EU risicoanalyse voor 5G (pag. 16/17) een «hoog» veiligheidsrisico?

Vraag 6

Wat vindt u van het moment dat KPN heeft gekozen om zijn antennes te vervangen, wetende dat de regering momenteel werkt aan een algemene maatregel van bestuur met daarin de juridische grondslag voor de noodzakelijke aanscherpingen van de eisen aan (de leveranciers van de diensten en producten in de kritische onderdelen van) telecomnetwerken?

Vraag 7

Past deze vervangingsoperatie in uw ogen binnen de «gecoördineerde aanpak» van de integriteit van 5G-netwerken waartoe de aangenomen motie-Van den Berg c.s. (Kamerstuk 21 501-33, nr. 747) oproept?

Vraag 1

Bent u bekend met het bericht «EU poised to send warning to China on 5G» van Bloomberg?1

Vraag 2

Bent u het eens met de stelling dat de beoordeling van de leveranciers van 5G infrastructuur ook moet kijken naar de nationale wetgeving in het land waar de leverancier vandaan komt, en dan met name of daar bepalingen in staan die de leverancier kunnen dwingen tot het delen van data met de lokale autoriteiten? Zo ja, kan de aanwezigheid van dergelijke bepalingen reden zijn om de leverancier niet goed te keuren? Zo nee, waarom niet?

Vraag 3

Bent u het eens met de risicobeoordeling van de Europese Unie (EU) dat ook delen van het netwerk buiten de kern, zoals het Radio Access Network (RAN), moeten worden bestempeld als «hoog risico» voor spionage en sabotage en worden de extra veiligheidseisen ook van toepassing op het RAN? Zo ja, hoe beoordeelt u het feit dat Nederlandse providers al investeren in Chinese technologie in dit deel van het netwerk, terwijl de extra veiligheidseisen nog niet zijn afgekondigd? Zo nee, waarom niet?

Vraag 4

Zullen alle delen van 5G die beoordeeld worden als «hoog risico» ook expliciet zo worden benoemd? Of klopt het, zoals de Minister van Justitie en Veiligheid suggereerde tijdens het algemeen overleg over nationale veiligheid en crisisbeheersing van 14 november jl. dat dit niet bekend kan worden gemaakt vanwege redenen die samenhangen met nationale veiligheid?

Vraag 5

Bent u het eens met de stelling dat het 5G netwerk in de Europese Unie moet zijn gegrond op de basiswaarden van de EU, zoals mensenrechten, de rechtsstaat en het beschermen van privacy? Zo ja, worden deze principes meegenomen in de beoordeling van leveranciers? Zo nee, waarom niet?

Vraag 6

Kunt u zich vinden in de laatste aanbeveling van de EU risicobeoordeling dat de EU en haar lidstaten bij de uitrol van het 5G-netwerk ook rekening moeten houden met de ontwikkeling van de eigen industriële capaciteit op het gebied van 5G? Zo ja, hoe bent u van plan om deze aanbeveling op te volgen? Zo nee, waarom niet?

Vraag 1

Heeft u kennisgenomen van het bericht «Medipark Uden gaat live met HiX»?1

Ja.

Vraag 2

Klopt het bericht dat patiënten van Medipark Uden via het geïntegreerde online Zorgportaal eenvoudig en veilig hun herhaalmedicatie kunnen aanvragen op basis van de actuele medicatie van de patiënt?

Het klopt dat patiënten van Medipark Uden via het online Zorgportaal hun herhaalmedicatie kunnen aanvragen.

Vraag 3

Klopt het dat de patiënten van Medipark Uden dit doen door in te loggen via I Reveal My Attributes (IRMA) op het online portaal?

Ja.

Vraag 4

Klopt het dat IRMA een applicatie is die patiënten in staat stelt om zelf online aan te geven welke gegevens zij wel en niet willen delen, een methode die de privacy beschermt door «privacy by design»?

Volgens de informatie van IRMA houdt het ontwerp van de IRMA app rekening met privacy met een focus op dataminimalisatie, een van de privacybeginselen zoals opgenomen in de Algemene Verordening Gegevensbescherming.

Vraag 5

Klopt het dat in de meest recente nationale en Europese wetgeving «privacy by design» wordt vereist voor nieuwe ICT-systemen?

Ja.

Vraag 6

Is het juist dat Medipark Uden te horen heeft gekregen dat gebruik van IRMA in strijd is met artikel 87 van de Algemene Verordening Gegevensbescherming (AVG), artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de wet Elektronisch Berichtenverkeer (wet EBV)?

Nee, er is navraag gedaan bij Medipark Uden en zij heeft aangegeven niet hierover geïnformeerd te zijn.

Vraag 7

Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?

Nee. In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau «hoog». Bij het gebruik van DigiD zijn nu de niveaus «substantieel» en «hoog» nog niet beschikbaar. De Autoriteit Persoonsgegevens heeft bij brief van 4 oktober 2018 (Kamerstuk 31 293, nr. 412) gereageerd op vragen hieromtrent van VWS. De AP heeft geantwoord dat authenticatie dient plaats te vinden met ten minste tweefactorauthenticatie, in afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau. Hieraan voldoet onder andere DigiD in combinatie met sms. Andere mogelijkheden worden echter niet uitgesloten.
Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.

Vraag 8

Klopt het dat wanneer Medipark Uden DigiD zou gebruiken voor elektronische identificatie, zij 14 eurocent zou moeten betalen voor elke succesvolle inlog?2

In 2017 heeft de ministerraad besloten dat vanaf 2018 alle kosten voor beheer en exploitatie van DigiD worden doorbelast aan dienstverleners die zijn aangesloten op DigiD. Deze kosten worden dus niet aan burgers doorbelast.
Voor 2019 is het bedrag door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vastgesteld op € 0,117 per succesvolle inlog, excl. BTW. Dit bedrag wordt ieder jaar opnieuw vastgesteld voor het daaropvolgende jaar. De prijs is afhankelijk van de kosten voor de doorontwikkeling van DigiD en de onderliggende infrastructuur.
Overigens is het zo dat de Minister van Volksgezondheid, Welzijn en Sport de kosten voor het gebruik van DigiD in de zorg vergoedt. Medipark Uden hoeft daarom niet per succesvolle inlogpoging te betalen.

Vraag 9

Klopt het dat deze 14 eurocent per inlog gaan naar het bedrijf Logius, dat dan de beheerder is van de gegevens van de burger?

Ja. Logius brengt het werkelijke gebruik in rekening bij de dienstverlener die gebruikmaakt van DigiD (in dit geval het Ministerie van VWS).
Ik benadruk dat Logius geen bedrijf is, maar een baten-lastendienst die onderdeel is van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en onder andere DigiD beheert. Logius verwerkt voor DigiD enkel gegevens van de burger die nodig zijn voor het gebruik van DigiD. Voor een volledig overzicht verwijs ik naar het Besluit verwerking persoonsgegevens digitale infrastructuur en de privacyverklaring van DigiD (zie https://www.digid.nl/wat-is-digid/privacy).

Vraag 10

Klopt het dat de AVG, de UAVG en de wet EBV alleen toestemming verlenen aan DigiD omdat de firma Logius, als beheerder van de gegevens van de burger, als enige toestemming heeft om Burger Service Nummers (BSN) van burgers te verwerken?

De verwerking van het BSN vereist een wettelijke basis. Het BSN mag verwerkt worden door overheidsinstanties voor het uitvoeren van hun publiekrechtelijke taak. Organisaties buiten de overheid mogen het BSN verwerken als dat wettelijk is bepaald. Denk in dit geval aan pensioenfondsen en zorgverleners.
In de wet EBV is geregeld dat de Minister van BZK persoonsgegevens, waaronder het BSN, verwerkt voor de werking van DigiD.
Op dit moment is het zo dat DigiD het enige publieke elektronische identificatiemiddel is en daarmee ook het enige middel waarbij werking van het BSN is toegestaan. Het wetsvoorstel digitale overheid dat nu in behandeling is, beoogt ook andere (private) inlogmiddelen toe te laten, waarbij – ten behoeve van het inloggen bij de overheid- het BSN wordt verwerkt.

Vraag 11

Overtreden lokale overheden of – zoals in het geval van Medipark – zorgaanbieders de wet wanneer een burger zich middels de IRMA-app identificeert?

Op dit moment heeft alleen DigiD een wettelijke basis om het BSN te verwerken. Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten. In het antwoord op vraag 7 gaf ik aan dat de Autoriteit Persoonsgegevens toeziet op het passend beveiligen van gegevens. De Autoriteit Persoonsgegevens heeft IRMA nog niet uitgesloten.
Daarnaast geldt dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden.

Vraag 12

Kunt u uitleggen op welke wijze de stichting achter IRMA het BSN verwerkt?

Zover mij bekend heeft de stichting dit als volgt ingericht. Het BSN wordt, via de inlog met DigiD, door de gemeente verwerkt bij het ophalen van de gegevens uit de BRP. Vervolgens worden het BSN en de overige gegevens uit de BRP in de IRMA app geplaatst. De gebruiker van de IRMA app kan deze gegevens, waaronder het BSN, onder zijn eigen verantwoordelijkheid verstrekken aan derden.

Vraag 13

Wat is uw opvatting over attribuut gebaseerde authenticatie als wijze van elektronische identificatie?

Ik sta in zijn algemeenheid positief tegenover het gebruik van attribuut gebaseerde authenticatie, mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS).
Vooropgesteld merk ik op dat bij (elektronische) identificatie het erom gaat om iemands identiteit vast te stellen. Dit kan via een WID maar langs elektronische weg ook bijvoorbeeld via gezichtsherkenning in combinatie met een ander attribuut. Bij authenticatie wordt gecontroleerd of iemand is wie hij zegt dat hij is. Als we het hebben over authenticatie als wijze van elektronische identificatie, gaat het om de stap nadat een gebruiker zich heeft geïdentificeerd middels een bewijs van identiteit.
Of de authenticatie kan plaats vinden met een attribuut zal afhangen van de vraag of de dienstverlener kan vertrouwen op de juistheid en actualiteit van de attributen en dat deze daadwerkelijk toebehoren aan de betrokken burger. Hoe hoger het vereiste betrouwbaarheidsniveau bij het inloggen, hoe meer eisen aan dit vertrouwen zullen worden gesteld. Ik kijk met interesse uit naar middelen die aan deze eisen voldoen.

Vraag 14

Kunt u voorbeelden geven van een app die een rechtspersoon of een natuurlijk persoon is?

Een app is geen van beide. Een app is software die gemaakt wordt en/of geëxploiteerd wordt door een natuurlijke of rechtspersoon en onder diens verantwoordelijkheid valt.

Vraag 15

Wanneer iemand een BSN intypt op een tekstverwerker en diegene gebruikmaakt van Microsoft, dient Microsoft als verwerker van het BSN dan ook een wettelijke grondslag te hebben?

Wanneer iemand een natuurlijke persoon is en bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit een BSN intypt in een clouddienst, dan is de AVG niet van toepassing. In de overige gevallen waar een BSN wordt ingetypt en opgeslagen in een clouddienst, is degene die de clouddienst aanbiedt verwerker. De clouddienst wordt conform AVG aangemerkt als een verwerker wanneer hij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. In de meeste gevallen bestaat er bij een clouddienst een dergelijke situatie. Voor de verwerking geldt dan de grondslag voor gegevensverwerking van de verwerkingsverantwoordelijke. In dat geval is een verwerkersovereenkomst verplicht. Deze verwerkersovereenkomst zal dan meestal onderdeel uitmaken van de algemene voorwaarden waaronder de clouddienst wordt aangeboden. Wanneer een BSN wordt ingetypt in een offline softwareapplicatie waarbij het BSN niet op een server wordt opgeslagen, tijdelijk vastgehouden of op een of andere manier via een clouddienst wordt verwerkt, is de aanbieder van de softwareapplicatie geen verwerker. Dit laat overigens de verantwoordelijkheid van de aanbieder van een applicatie om zorg te dragen voor een veilige applicatie onverlet.

Vraag 16

Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?

Veiligheid hangt af van inrichting en waarborgen die met betrekking tot gegevensverwerking worden getroffen. Daarbij maakt het niet uit of de gegevensverwerking plaatsvindt onder verantwoordelijkheid van de overheid of van een private organisatie. Hierbij moet rekening gehouden worden met alle privacybeginselen uit de AVG, waaronder het helpen van de persoon over wie gegevens worden verwerkt in geval van problemen, bijvoorbeeld als zijn identificatiemiddel is gestolen. Deze mogelijkheid wordt beperkt indien niet te achterhalen is op welk moment tijdens het inloggen wie wat heeft gedaan. Dit is het geval wanneer gegevens enkel in handen van de burger zelf blijven.
De verwerking van gegevens door de Minister van BZK/Logius is met specifieke wettelijke waarborgen omkleed (in de Wet EBV en Besluit verwerking persoonsgegevens digitale infrastructuur), die vooralsnog tot inwerkingtreding van de Wet digitale overheid voor private middelen ontbreken.
Een aandachtspunt bij attributendiensten is wel dat het mogelijk maakt dat burgers zo laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan de burger afhankelijk is. In dit kader verwijs ik naar het overheidsbrede programma Regie op Gegevens dat de Minister van BZK gestart is en dat beoogt om kaders te stellen voor het digitaal delen van persoonsgegevens die afkomstig zijn uit overheidsregistraties.

Vraag 17

Heeft u, mede in het licht van de Wet Digitale Overheid, bezwaar tegen het gebruik van IRMA in de zorg, zoals nu bijvoorbeeld gerealiseerd door Medipark Uden? Zo ja, hoe gaat u vormgeven aan uw bezwaar?

Het is belangrijk dat burgers een adequate beveiliging wordt geboden bij de digitale toegang tot hun medische gegevens. Betrouwbaar inloggen is daarvoor essentieel. Onder de Wet digitale overheid kies ik bewust voor het toelaten van private middelen (op minimaal betrouwbaarheidsniveau substantieel) vanuit het oogpunt van brede dekking en innovatie. De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.

Vraag 1

Bent u bekend met het bericht «Hoe T-Mobile zichzelf in de voet schoot met omweg dataverkeer»1 en het bericht «Klachten bij toezichthouder over traag internet bij T-Mobile»?2

Ja.

Vraag 2

Wat is uw mening over het feit dat T-Mobile het Nederlandse dataverkeer niet meer via AMS-IX heeft geleid, maar in plaats daarvan via de eigen «backbone» in Duitsland, met een flinke afname van de reactiesnelheid tot gevolg?

Een private onderneming als T-Mobile heeft een grote mate van vrijheid om te bepalen hoe zij het verkeer van haar abonnees routeert.
Mijn ministerie heeft naar aanleiding van de berichtgeving navraag gedaan bij T-Mobile en de Autoriteit Consument en Markt (ACM). T-Mobile erkent dat er verkeer via het netwerk van Deutsche Telekom is geleid. Dat betrof een omleiding naar een onderdeel van het netwerk van Deutsche Telekom dat fysiek gevestigd is in de buurt van Amsterdam, waarna het verkeer langs diverse routes werd verwerkt. Dit kan onder meer via Duitsland zijn gebeurd.

Vraag 3

Hoe verhoudt het omleiden van Nederlands dataverkeer via het buitenland en de gevolgen daarvan voor de reactiesnelheid van gebruikers zich tot de Nederlandse ambities om met het 5G netwerk een digitale koploper op het gebied van het leveren van snel internet te zijn?

Ik begrijp dat de routering van het verkeer door T-Mobile enkel betrekking had op het verkeer afkomstig van het vaste netwerk. Dus van klanten die een abonnement hebben bij T-Mobile Thuis via koper (het oude telefoonnetwerk) of glasvezel. De 2G, 3G, en 4G dienstverlening van T-Mobile werd zodoende niet beïnvloed door de omleiding van het verkeer. Indien T-Mobile reeds een 5G-netwerk had, dan zou die dienstverlening ook niet zijn beïnvloed.

Vraag 4

Deelt u de mening dat het, met het oog op het waarborgen van het goede Nederlandse vestigingsklimaat voor aanbieders van digitale diensten, onwenselijk is als de reactiesnelheid voor gebruikers omlaag gaat wanneer Nederlands dataverkeer via het buitenland omgeleid wordt?

De reactiesnelheid die in de genoemde berichtgeving wordt beschreven noemt men ook wel latency, en wordt gemeten in milliseconden. Het is de tijd dat een signaal er over doet om van A naar B te reizen, en weer terug. Deze reactiesnelheid wordt een steeds belangrijker aspect van de kwalitatief hoogwaardige connectiviteit waar ik naar streef en daarmee belangrijk voor het Nederlandse vestigingsklimaat.
Overigens verschilt de behoefte aan reactiesnelheid per dienst. Op dit moment is de reactiesnelheid onder meer van belang voor diensten als gaming en bellen via internet («VoIP»). Voor andere diensten is de reactiesnelheid weliswaar van belang voor de gebruikservaring, maar niet essentieel voor een goede werking. Het is bijvoorbeeld fijn als een e-mail direct na verzending wordt afgeleverd, maar als het iets langer duurt gaat er niet meteen iets mis. De verwachting is echter dat er in de komende jaren steeds meer diensten komen waar een lage reactiesnelheid noodzakelijk is om goed te kunnen functioneren. Voorbeelden hiervan zijn zelfrijdende auto’s, augmented of virual reality, en spraakassistenten.
Ik ben blij om te zien dat het handelen van T-Mobile zo veel reacties heeft uitgelokt, en dat T-Mobile de omleiding vrijwel direct heeft teruggedraaid. In dit geval heeft de markt zijn werk gedaan.

Vraag 5

Wat zijn volgens u de risico’s voor de positie van AMS-IX en andere Nederlandse exchanges bij het op dergelijke wijze omleiden van dataverkeer? En wat zijn volgens u de risico’s voor Nederland als internationaal knooppunt van internetverkeer?

Voor de positie van de AMS-IX als een van de belangrijkste internetknooppunten in de wereld is van belang dat er zo veel mogelijk ondernemingen op haar locaties verkeer uitwisselen. Wanneer ondernemingen besluiten om verkeer uit te wisselen op een andere wijze dan vermindert dat de klandizie voor de AMS-IX. Omdat de AMS-IX een internetknooppunt is waar véél meer ondernemingen op zijn aangesloten dan enkel T-Mobile valt te betwijfelen of het anders routeren van verkeer door alleen T-Mobile van significante invloed is op de AMS-IX. Wel kan ik me voorstellen dat AMS-IX de trend waarbij grote internetaanbieders en dienstverleners steeds vaker rechtstreekse interconnecties met elkaar aangaan als bedreiging wordt ervaren.

Vraag 6

Kunt u aangeven hoe het selectief omleiden van Nederlands dataverkeer via het buitenland, het zogeheten «double dipping», met als gevolg een lagere reactiesnelheid voor gebruikers of voor sommige Nederlandse websites, zich verhoudt tot de wettelijke plicht voor internetaanbieders om de netneutraliteit te waarborgen?

Eerst wil ik opmerken dat het omleiden van Nederlands dataverkeer via het buitenland niet hetzelfde is als wat er in de berichtgeving wordt bedoeld met double dipping. Double dipping verwijst naar de volgens de berichtgeving vermeende intentie achter het handelen van T-Mobile, of eigenlijk moedermaatschappij Deutsche Telekom. De stelling in de berichtgeving is dat Deutsche Telekom ondernemingen wiens diensten veel bandbreedte en/of een lage reactiesnelheid nodig hebben, dwingt tot betalen voor een goede verbinding met haar netwerk. De omleiding van het verkeer zou het voor Deutsche Telekom mogelijk maken om de toegang tot de abonnees van T-Mobile Thuis in te zetten als fiche in het onderhandelingsspel met dit soort dienstverleners. Op die manier kan Deutsche Telekom twee keer dippen. Oftewel, geld verdienen aan haar netwerk. Aan de ene kant door internettoegang en andere diensten te verkopen aan consumenten en zakelijke gebruikers. Aan de andere kant door een hoogwaardige verbinding met haar netwerk – zgn. «interconnectie» – te verkopen aan de ondernemingen die diensten leveren aan consumenten en zakelijke gebruikers.
De relatie tussen netneutraliteit en interconnectiebeleid wordt geregeld door de Europese netneutraliteitsregels zoals vastgelegd in Verordening 2015/2120/EU. Voor de toepassing van de Verordening heeft BEREC (Europese organisatie van nationale telecomtoezichthouders) richtsnoeren opgesteld. In die richtsnoeren is uitgelegd dat interconnectiebeleid onder artikel 3, eerste lid, van de Verordening getoetst kan worden als de daarin genoemde eindgebruikersrechten er door beperkt worden. Dit kan bijvoorbeeld het geval zijn wanneer interconnectiebeleid wordt ingezet om de intenties van de Verordening te omzeilen. In dergelijke gevallen kunnen nationale toezichthouders volgens BEREC in het kader van de netneutraliteitsregels interconnectieovereenkomsten onderzoeken. Dit betekent dat het interconnectiebeleid van internetaanbieders door de ACM kan worden getoetst aan de netneutraliteitsregels.

Vraag 7

Deelt u de mening dat de Nederlandse digitale ondernemers, zoals aanbieders van websites, net zoals de consument recht hebben op gelijke behandeling wat betreft netneutraliteit en dat het selectief omleiden van Nederlands dataverkeer via het buitenland deze netneutraliteit schaadt?

Zie antwoord vraag 6.

Vraag 8

Bent u bekend met vergelijkbare voorbeelden van internetaanbieders, die het Nederlandse dataverkeer omleiden via het buitenland, met mogelijke gevolgen voor de reactiesnelheid of de netneutraliteit? Zo niet, kunt u nagaan of ook andere internetaanbieders het Nederlands dataverkeer ook omleiden via het buitenland?

Nee, ik ben daar niet mee bekend. Ik zie voorts geen aanleiding om nader onderzoek te verrichten naar de routering van dataverkeer door Nederlandse internetaanbieders.

Vraag 9

Deelt u de mening dat het verstandig zou zijn als de Autoriteit Consumet & Markt onderzoek doet naar de potentiële gevolgen voor de netneutraliteit van het omleiden van het dataverkeer door T-Mobile en eventuele andere gevallen die u bekend zijn?

De ACM is een onafhankelijk toezichthouder. Ten behoeve van die onafhankelijkheid acht ik het niet verstandig om mij uit te laten over de eventuele wenselijkheid van enig onderzoek. Overigens heeft de ACM mij wel laten weten dat zij contact heeft gehad met T-Mobile om vragen te stellen over diens handelen. De ACM verwacht nog nadere gesprekken met T-Mobile te gaan voeren over dit voorval.
Tot slot wil ik opmerken dat de ACM de ontwikkelingen in de interconnectiemarkt volgt. Zowel zelfstandig als in het verband van BEREC. Zo heeft BEREC reeds in 2012 onderzoek gedaan naar de relatie tussen netneutraliteit en interconnectie, benoemt ze op haar website interconnectie als aandachtspunt voor het waarborgen van netneutraliteit, en benoemt ze in haar recent geconsulteerde werkplan de optie van een workshop over het onderwerp. Het doel van zo’n workshop is om toezichthouders te informeren over de laatste ontwikkelingen in de interconnectiemarkt. Daarnaast heeft mijn ministerie reeds in 2015 aan de ACM gevraagd om onderzoek te verrichten naar de ontwikkelingen op de interconnectiemarkt. Dit onderzoek is gepubliceerd op de website van de ACM.3Uw Kamer is reeds eerder over ontwikkelingen in de interconnectiemarkt geïnformeerd bij brief van 23 december 2014.4 Er is dus aandacht voor ontwikkelingen als deze.

Vraag 1

Bent u bekend met het bericht «Minister bezorgd om versleuteling Facebook»?1

Ja.

Vraag 2

Bent u bekend met het kabinetsstandpunt over versleuteling?2

Ja.

Vraag 3

Wanneer gaat u naar Washington om met uw Amerikaanse collega over deze kwestie te praten?

Ik ben van 4 tot en met 7 december 2019 op werkbezoek in de Verenigde Staten.

Vraag 4

Gaat u tijdens uw gesprek dit kabinetsstandpunt overbrengen en niet uw zorgen die in strijd zijn met dit kabinetsstandpunt?

Mijn zorgen zijn niet in strijd met het kabinetsstandpunt uit 2016. In het kabinetsstandpunt wordt onder meer gemeld dat encryptie het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten bemoeilijkt, vertraagt of onmogelijk maakt. Dit geldt bijvoorbeeld voor de opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme. De mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener is minder vaak beschikbaar. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
Daarnaast vermeldt het kabinetsstandpunt het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland.
Ik zal de diverse betrokken belangen en de conclusie uit het kabinetsstandpunt dat het niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland onder de aandacht brengen.

Vraag 5

Bent u ook bezorgd over het afzwakken van versleutelingssoftware waardoor buitenlandse mogendheden en criminelen toegang kunnen krijgen tot de privécommunicatie van mensen?

Ik onderschrijf het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Goede encryptie helpt Nederlandse burgers en organisaties zich te beschermen tegen buitenlandse mogendheden en criminelen. Ik streef daarom naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarvoor is samenwerking en overleg met publieke en private belanghebbenden noodzakelijk.

Vraag 1

Kent u het bericht over onderzoekers van de Universiteit Maastricht die een chatbot hebben ontwikkeld voor slachtoffers van aanranding, verkrachting of andere vormen van seksuele intimidatie?1

Ja.

Vraag 2

Acht u het mogelijk dat de overheid gebruik gaat maken van een dergelijke chatbot voor het helpen van slachtoffers van seksueel geweld?

In zijn algemeenheid wil ik opmerken dat digitale mogelijkheden de bestaande wijzen van hulpverlening kunnen aanvullen. Het kan er niet voor in de plaats komen, maar wel vanuit slachtofferperspectief ondersteunend werken.
Van de Universiteit van Maastricht heb ik begrepen dat de chatbot, waar uw vragen naar verwijzen, als doel heeft om geanonimiseerd meldingen te ontvangen, de melder te steunen en een advies te geven over het opnemen van contact met de bij de melder passende instantie. Dit kan bijvoorbeeld een psycholoog zijn. De ontwikkelingen op dit gebied zijn interessant en die volg ik. Het is echter te vroeg om voor dit concrete geval te zeggen of het door de overheid gebruikt kan worden.

Vraag 3

Klopt het dat deze chatbot draait op een algoritme dat emoties van burgers interpreteert? Zo ja, wat vindt u ervan als de overheid met algoritmes gaat werken die emoties analyseren?

Het systeem is gemaakt door de Universiteit Maastricht. Zij hebben mij laten weten dat er geen emotie-herkenningsmodule in het systeem zit.

Vraag 4

Welke data zijn gebruikt om het algoritme te ontwikkelen? Zijn dat data van Nederlandse meldingen? Waren de indieners van de gebruikte meldingen ervan op de hoogte dat deze gebruikt konden worden voor het ontwikkelen van een algoritme?

De Universiteit van Maastricht heeft mij laten weten dat de meldingen grotendeels afkomstig zijn uit India, maar ook uit enkele andere landen komen, zoals de Verenigde Staten van Amerika en Zuid-Afrika. Het betreft anonieme meldingen, die tevens ontdaan zijn van gegevens over eventuele daders.2

Vraag 5

Welk juridisch en ethisch kader is op een dergelijke bot van toepassing? Vindt u dat dit huidige kader voldoet? Zo nee, waarom niet en welke voorwaarden bent u voornemens aan dit soort bots te stellen?

Belangrijk element van het juridische kader dat op een dergelijke bot van toepassing zal zijn is het gegevensbeschermingsrecht. Hieraan moet in eerste instantie worden voldaan bij het verkrijgen en gebruiken van de reeds in de beantwoording bij vraag 4 genoemde trainingsdata. Zoals ik vernam waren deze in dit geval reeds geanonimiseerd toen zij door de Universiteit werden verkregen, waardoor er voor de training van het algoritme in beginsel geen persoonsgegevens zijn verwerkt. Indien de chatbot echter in gebruik zou worden genomen voor een concrete doelgroep dan ligt het voor de hand dat er persoonsgegevens verwerkt gaan worden, waaronder naar alle waarschijnlijkheid ook bijzondere persoonsgegevens. Bij de ontwikkeling en het gebruik van een dergelijke bot zal men zich moeten houden aan alle vereisten die de Algemene Verordening Gegevensbescherming stelt aan het verwerken van de desbetreffende persoonsgegevens. Daarbij zal speciale aandacht uit moeten gaan naar de vraag of die bijzondere persoonsgegevens verwerkt mogen worden.
In algemene zin geldt dat AI zich in hoog tempo ontwikkelt en dat er nationaal en internationaal wordt bezien of daar gevolgen aan moeten worden verbonden voor regelgeving. Zo is de verwachting dat de nieuwe Europese Commissie op korte termijn een voorstel gaat doen voor een verordening op het gebied van AI.
Het kabinetsstandpunt over de omgang met Artificial Intelligence is recent verwoord in een drietal publicaties, namelijk het Strategisch Actieplan AI,3 de Beleidsbrief AI,4 publieke waarden en mensenrechten, en de brief over Waarborgen tegen risico’s van data-analyses door de overheid.5

Vraag 6

Wie is er verantwoordelijk wanneer een dergelijke bot een fout zou maken in de beoordeling van een melding?

Als een chatbot in gebruik wordt genomen, dan is de partij die de bot beschikbaar stelt verantwoordelijk voor de deugdelijkheid van het systeem. Voor eventuele vragen van aansprakelijkheid gelden de algemene regels uit het Burgerlijk Wetboek. Aansprakelijkheid vraagt een beoordeling van de omstandigheden van het geval. De deugdelijkheid van het systeem, de informatie over de werking daarvan en de wijze waarop de gebruiker er gebruik van heeft gemaakt zijn aspecten die in dat licht van belang kunnen zijn.

Vraag 1

Bent u bekend met het bericht dat KPN de organisatie XS4ALL volledig laat verdwijnen, ondanks een negatief advies van de ondernemingsraad (OR) en mogelijk negatieve bedrijfseconomische gevolgen?1

Ja.

Vraag 2

Kunt u aangeven welke gevolgen het verdwijnen van het merk XS4ALL heeft voor de keuzevrijheid en of er internetaanbieders zijn die dezelfde kwaliteit dienstverlening aanbieden? Bent u bereid de Autoriteit Consument & Markt (ACM) te vragen hiernaar een marktanalyse uit te voeren?

Het staat marktpartijen in Nederland vrij om specifieke dienstverlening te ontwikkelen en in de markt te zetten. Zij kunnen zich voor de levering daarvan wenden tot de infrastructuur aanbieders om toegang tot hun netwerken te verkrijgen. Die toegang wordt gereguleerd en zoals u weet is mijn beleid erop gericht om die gereguleerde toegangsmogelijkheden te verruimen. Ik heb vanzelfsprekend geen oordeel over de onderscheidende kwalitatieve kenmerken van specifieke dienstverlening. Het oordeel daarover is aan de consument.

Vraag 3

Deelt u de mening dat het negatieve advies van de OR slechts een formaliteit is en geen invloed zal hebben op de beslissing van de besturen van XS4ALL en KPN? Zo nee, kunt u voorbeelden noemen waarin een negatief advies van werknemers heeft geleid tot een ander besluit in de bestuurskamers?

Ik heb geen mening over hoe de besturen van XS4ALL en KPN het advies van de Ondernemingsraad wegen; dat is besluitvorming die in de betreffende bestuurskamers ligt. Daarbij heb ik er het volste vertrouwen in dat de wijze waarop we in Nederland deze ondernemingsrechtelijke bevoegdheden hebben belegd, bij de uiteindelijke besluitvorming adequaat worden meegewogen. Overigens blijkt uit recent onderzoek dat in ruim vier op de tien gevallen (42,6%) de Ondernemingskamer in het voordeel van de personeelsvertegenwoordiging oordeelt.2

Vraag 4

Hoe vaak heeft een OR met succes beroep aangetekend bij de rechter en hiermee een strategische beslissing van deze aard tegengehouden?

Zie antwoord vraag 3.

Vraag 5

Welke mogelijkheden hebben huidige abonnees van XS4ALL om hetzelfde niveau van dienstverlening en privacybescherming te krijgen? Bestaan er wettelijke belemmeringen, bijvoorbeeld op het gebied van niet-concurrentiële bedingen, voor werknemers en abonnees van XS4ALL om een nieuwe provider op te richten die hetzelfde niveau biedt?

Als consumenten behoefte hebben aan specifieke dienstverlening, dan geeft dat kansen aan marktpartijen om bij het verdwijnen daarvan in het gat te springen. Er bestaan (gereguleerde) toegangsmogelijkheden voor nieuwe marktpartijen die diensten leveren via de telecomnetwerken. In hoeverre eventuele niet-concurrentiële bedingen van werknemers dat in de weg staan, kan ik in deze niet beoordelen. Deze arbeidscontractuele bepalingen zijn, binnen algemene wettelijke regels, een nadrukkelijke verantwoordelijkheid van werkgever en werknemer.

Vraag 1

Wat is uw reactie op de uitzending van De Monitor over ICT in de zorg? Hoe erg is het volgens u dat de twee partijen die systemen ontwikkelen om gegevens in de zorg uit te wisselen, Epic en Chipsoft, zoveel macht hebben?

Er zijn meerdere partijen die uitwisseling in de zorg mogelijk (kunnen) maken. Ik ben op de hoogte van de markt voor ziekenhuis EPD leveranciers (= Elektronisch Patiëntendossier; verwijzend naar een centraal informatiesysteem voor patiëntendossiers in een ziekenhuis). Deze markt wordt inderdaad gekenmerkt door een beperkt aantal aanbieders en alternatieven.
Op dit moment bekijk ik samen met het zorgveld hoe ik kan ondersteunen bij het bundelen van krachten in de onderhandelingen met de EPD leveranciers. Het doel hiervan is om gemeenschappelijke wensenlijsten op te stellen (voor doorontwikkeling en innovatie), beter passende en open systemen te krijgen, gewenste veranderingen sneller door te laten voeren en betere prijsonderhandelingen te kunnen doen. De Autoriteit Consument & Markt (ACM) is de onafhankelijke toezichthouder. De ACM ziet op grond van de Mededingingswet erop toe dat bedrijven eerlijk met elkaar concurreren en treedt onder meer op tegen bedrijven die hun machtspositie misbruiken. Bedrijven kunnen bij de ACM terecht met hun signalen over mogelijk oneerlijke concurrentie. Het is de rol van de ACM om te oordelen over of in te grijpen op eventueel verstoorde markten. De ACM heeft mij laten weten in gesprek te gaan met de zorgsector over de mogelijkheden en risico’s van voorgenomen samenwerkingen tussen zorgaanbieders bij de inkoop van ICT.

Vraag 2

Wat is uw oordeel over bedrijven in de zorg die extreem veel geld verdienen terwijl medici steen en been klagen over wat ze doen?

Het is aan zorgpartijen zelf om de juiste ICT-producten tegen de juiste prijzen in te kopen. Bedrijven mogen een eerlijke prijs vragen voor het leveren van hun producten of diensten, er mag geen sprake zijn van misbruik van een economische machtpositie. Ik neem signalen over hoge winsten van ICT leveranciers die actief zijn in de gezondheidszorg serieus. In mijn brief van 9 juli jl. (Kamerstuk 35 000-XVI, nr. 133) heb ik u reeds mijn standpunt over winstuitkering in de zorg medegedeeld. Hetzelfde standpunt heb ik in relatie tot winsten van ICT leveranciers actief in de zorg.
Bij deze maatschappelijke verantwoordelijkheid horen ook de juiste bekostigingsmodellen (met zoveel mogelijk vermijding van bijvoorbeeld perverse prikkels die uitwisseling in de weg staan; zoals kosten per uitwisseling) en transparantie van onder andere ontwikkelkosten en prijsopbouw. In dat kader vind ik het onwenselijk dat ICT-leveranciers bijvoorbeeld niet aan dezelfde transparantieverplichtingen dienen te voldoen als de sector waarvoor ze werken.

Vraag 3

Wat is uw reactie op het bericht in de uitzending dat een grote ICT-leverancier ziekenhuizen en hun personeel totaal onder controle heeft en alleen helpt voor geld terwijl ze de uitwisseling van patiëntengegevens ophouden? Vindt u dit acceptabel?

Ziekenhuizen en ander zorgverleners zijn vrij in de keuze voor systemen waarmee zij patiëntgegevens verwerken. Het is aan zorgpartijen zelf om met ICT leveranciers te onderhandelen over de juiste prijzen en eisen. Tegelijkertijd vind ik het ook van belang dat informatie goed uitgewisseld kan worden. In december 2018 heb ik daarom aangekondigd regie te nemen op het versnellen van de totstandkoming van gegevensuitwisseling, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166).
Digitalisering van gegevensuitwisseling is een behoorlijke uitdaging. Er zijn tekortkomingen in taal en techniek. Zo spreken alle betrokken beroepsgroepen hun eigen taal en die moet op elkaar worden afgestemd in alle mogelijke gegevensuitwisselingen. Daarnaast zijn er ook heel veel technische standaarden (die voor beelden bijvoorbeeld anders zijn dan voor documenten) en is er niet in elke regio al een infrastructuur voor elektronische uitwisseling. In mijn brief over elektronische gegevensuitwisseling van 12 juli jl. heb ik aangegeven gedetailleerde technische eisen aan ICT-producten te stellen op het gebied van eenheid van taal en techniek en aangekondigd leveranciers van ICT-systemen hieraan te gaan binden door dit via certificering af te dwingen. VWS voert zo actief beleid op het open maken van systemen. Deze wettelijk verplichte technische standaarden voor infrastructuren en gegevensuitwisseling maken dat de markt open wordt gemaakt voor andere aanbieders die voldoen aan deze eisen. Dit moet leiden tot meer innovatie, nieuwe toetreders en meer transparantie in de markt en draagt daardoor bij aan een beter functionerende markt.

Vraag 4

Hebben ICT-bedrijven volgens u een belang bij (het verlenen van) goede zorg en een goede informatie-uitwisseling of bent u van mening dat de belangen van deze bedrijven ergens anders liggen, bijvoorbeeld bij het verdienen van veel geld?

Zie antwoord vraag 3.

Vraag 5

Wat vindt u er eigenlijk van dat allerlei partijen in de zorg met verschillende systemen werken die onderling niet goed met elkaar samen kunnen werken waardoor zorgverleners in de uitwisseling van gegevens op allerlei barrières stuiten? Hoe kan het bijvoorbeeld dat zelfs ziekenhuizen die gebruik maken van dezelfde ICT-systemen van dezelfde leverancier onderling geen informatie uit kunnen wisselen? Vindt u dit ook onwenselijk en onbegrijpelijk? Hoe kan het dat de systemen helemaal niet zijn afgestemd op hoe artsen werken? Waarom zijn de systemen niet ontworpen vanuit de gebruikers, namelijk de patiënt en zorgverlener?

Een technische koppeling (eenheid van techniek) is slechts een van de onderdelen die nodig is voor goede gegevensuitwisseling. Zo ook afspraken over proces, dossiervoering en taal. Ziekenhuizen en andere zorgverleners hebben zelf systemen geselecteerd waarmee zij patiëntgegevens voor eigen gebruik opslaan. Lange tijd zijn deze systemen aangepast op de eisen en wensen van de individuele zorginstellingen, passend bij hun eigen proces. Ook EPD’s van dezelfde leverancier bij verschillende ziekenhuizen kunnen hierdoor fors verschillen qua inrichting. Ook hierom ondersteun ik (zoals in mijn antwoord op vraag 1 al gesteld) het zorgveld bij het bundelen van gemeenschappelijke inrichtingseisen en wensen.
Ziekenhuizen werken nou eenmaal met verschillende informatiesystemen, maar dat die niet of moeilijk met elkaar kunnen communiceren vind ik niet wenselijk. Daarom heb ik in december 2018 aangekondigd regie te nemen op het versnellen van de totstandkoming van gegevensuitwisseling en aangekondigd leveranciers van ICT-systemen hieraan te gaan binden, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166).

Vraag 6

Deelt u de mening dat de zorg soms suboptimaal is en daarmee ook beter zou kunnen als de ICT-systemen beter zouden werken en uitwisseling van informatie makkelijker wordt?

Een veilige en goed werkende elektronische uitwisseling van gegevens kan zorgen voor een efficiënter en effectiever zorgproces. Zorgverleners beschikken te vaak niet over de informatie die ze nodig hebben en zijn teveel tijd kwijt met faxen of het op DVD branden van gegevens. Mensen moeten te vaak opnieuw hun verhaal vertellen terwijl ze denken «dokter dat weet u toch wel». Ik vind daarom dat digitaal het nieuwe normaal moet worden en ik ga – zoals ik hierboven schreef – in concrete stappen elektronische gegevensuitwisseling wettelijk verplicht stellen.

Vraag 7

Hoeveel tijd kost het zorgverleners op dit moment om alle benodigde gegevens over een patiënt beschikbaar te krijgen? Kunt u hiervan een inschatting maken?

De wijze waarop zorgverleners op dit moment alle benodigde gegevens over een patiënt beschikbaar krijgen, maar ook de winst die te behalen valt met betere elektronische gegevensuitwisseling, is sterk afhankelijk van de individuele patiënt, het zorgproces, de zorgverlener en casuïstiek. Er zijn helaas voorbeelden uit de praktijk te noemen waarin het zorgverleners veel tijd kost om alle benodigde gegevens over een patiënt beschikbaar te krijgen. Er is dus voldoende aanleiding dat dat snel anders moet, ter verbetering van de veiligheid van patiënten en voor de verlaging van de administratieve werklast van zorgverleners.

Vraag 8

Erkent u dat het momenteel niet mogelijk is om over te stappen naar een ander ICT-systeem vanwege de kosten die daarmee samenhangen? Erkent u tevens dat ICT-leveranciers misbruik maken van die positie?

De implementatie van een groot en belangrijk ICT systeem in een zorginstelling (zoals een EPD), gaat gepaard met hoge kosten en een grote impact voor een organisatie. Het wisselen van EPD is voor een ziekenhuis een risicovol, complex en kostbaar traject. Bij het overstappen dienen ziekenhuizen te investeren in nieuwe apparatuur, voorzieningen, training van medewerkers, adviseurs en verlies aan productie. Toch stappen in de praktijk ziekenhuizen over naar een andere EPD-leverancier.
Ik wil elementen die nu het overstappen hinderen, zoveel mogelijk wegnemen. Dit doe ik bijvoorbeeld door (in de aanpak van het Programma elektronische gegevensuitwisseling) het in wet en normen gaan afdwingen van open systemen en door het doorvoeren van standaardisatie, zodat gegevens ook door andere systemen te gebruiken zijn. Zo kan er een markt ontstaan, doordat de informatie niet langer opgesloten zit in een enkel systeem en ook overstappen technisch eenvoudiger kan dan nu.
Ik omarm dan ook het initiatief vanuit het bedrijfsleven en de zorgsector, samen met VNO-NCW; het Manifest «Samen Vooruit». De ondertekenaars hiervan spreken steun uit voor de wettelijke verplichting van digitale gegevensuitwisseling, open systemen en open infrastructuren.

Vraag 9

Klopt het dat de bereikbaarheid van de ICT-leveranciers na implementatie vaak te wensen over laat?

De mate van ondersteuning na implementatie is onderwerp van gesprek tussen zorginstelling en aanbieder en wordt onderhandeld en contractueel vastgelegd, zo laten zorgpartijen mij weten.

Vraag 10

Deelt u de mening dat de winst van de ICT-leveranciers omgezet zou moeten worden in betere functionaliteit, ook aangezien het hier gaat om publiek geld? Vindt u de 45% netto winst van Chipsoft te verdedigen als een betere functionaliteit geen prioriteit is voor het bedrijf?

Een optimale inzet van ICT-systemen is een combinatie van openheid van dat systeem, functionaliteit maar zeker ook inpassing in het werkproces van de eindgebruiker. De zorg heeft dus goede ICT leveranciers nodig om haar zorgverlening te ondersteunen. Het is aan zorgpartijen zelf om de juiste ICT producten tegen de juiste prijzen in te kopen. Of de geleverde dienstverlening in verhouding staat tot de kosten, is aan de klant van de diensten om te beoordelen.
Zoals ik in mijn antwoord op vraag 2 al aangeef, komen mijn standpunt over winsten van ICT leveranciers actief in de zorg, overeen met de eerder in mijn brief van 9 juli jl. (Kamerstuk 35 000-XVI, nr. 133) genoemde standpunten.

Vraag 11

Bent u op de hoogte van de winst die Epic de afgelopen jaren heeft gemaakt? Zo ja, wat is deze winst? Zo nee, bent u bereid dit uit te zoeken? Bent u van mening dat aangezien de ICT-systemen voor informatie-uitwisseling een belangrijk onderdeel zijn van een goede zorgverlening een dergelijk gegeven, als de gemaakte winst, transparant moet zijn?

Zie antwoord vraag 10.

Vraag 12

Vindt u de gemaakte winst van vele miljoenen in verhouding staan met de geleverde prestaties? Bent u van mening dat slecht ontworpen informatie-uitwisselingssystemen ten koste gaan van de gezondheid (en soms zelfs het leven) van mensen en de kosten van de gezondheidszorg?

Zie antwoord vraag 10.

Vraag 13

Wat gaat u doen om de informatie-uitwisseling tussen zorgverleners te verbeteren en wanneer kunnen zorgverleners effect verwachten?

Ik vind het van groot belang dat informatie tussen zorgverleners op een goede en veilige manier wordt uitgewisseld. In december 2018 heb ik daarom al aangekondigd regie te nemen op het versnellen van de totstandkoming van elektronische gegevensuitwisseling in de zorg, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166). Ik heb in december 2018 ook mijn voornemen uitgesproken leveranciers van ICT-systemen hieraan te gaan binden. In mijn brief van 12 juli jl. (Kamerstuk 27 529, nr. 189) heb ik aangegeven dit te doen door gedetailleerde technische eisen aan ICT-producten te stellen op het gebied van eenheid van taal en techniek. Dit zal ik vervolgens via normering en certificering af dwingen. In 2020 dien ik daarom een wetsvoorstel in waarmee ik stapsgewijs elektronische gegevensuitwisseling verplicht zal stellen. De laatste jaren heb ik door versnellingsprogramma’s de informatie-uitwisseling tussen patiënt en professional bevordert (VIPP ziekenhuizen en VIPP voor overige medisch specialistische instellingen). In de nieuwe VIPP regeling voor instellingen voor medisch specialistische zorg wordt ook de uitwisseling tussen instellingen onderling gestimuleerd. Ik verwacht deze regeling eind dit jaar te publiceren.

Vraag 1

Bent u bekend met het bericht «Flaws in Cellphone Evidence Prompt Review of 10,000 Verdicts in Denmark»?1

Ja.

Vraag 2

Heeft u tevens kennisgenomen van het statement van de Deense Minister van Justitie, waarin deze aangeeft het gebruik van telecommunicatiegegevens als bewijs voor veroordeling of als grond voor het arresteren van verdachten tijdelijk te stoppen vanwege ernstige fouten die in deze gegevens zijn gevonden?2

Ja, dat heb ik.

Vraag 3

Op welke wijze wordt, globaal gezien, in Nederland gebruikgemaakt van telecommunicatiegegevens bij de veroordeling en aanhouding van verdachten? Om hoeveel zaken gaat het jaarlijks?

Net als in Denemarken wordt ook in Nederland gebruik gemaakt van telecommunicatiegegevens bij het opsporen en vervolgen van misdrijven. In 2017 werden er 35.130 en in 2018 34.221 historische verkeersgegevens gevorderd. Het belang van die gegevens is niet in cijfers of statistieken uit te drukken omdat historische telecomgegevens vaak pas resultaat opleveren in combinatie met andere opsporingsmiddelen, zoals bijvoorbeeld observeren, doorzoeken van plaatsen, en telefoontaps. Hierdoor kan het resultaat achteraf niet aan één specifiek opsporingsmiddel worden toegeschreven.

Vraag 4

Wordt in Nederland op een soortgelijke wijze en met soortgelijke technieken gebruikgemaakt van telecommunicatiegegevens bij de veroordeling en aanhouding van verdachten? Zo nee, waarin verschilt de Nederlandse werkwijze van de Deense?

Recent hebben de Deense autoriteiten geconstateerd dat er fouten zitten in de conversietool die de Deense politie gebruikt om de door de telecomproviders aangeleverde originele (bron)bestanden te converteren naar materiaal dat kan worden gebruikt in opsporingsonderzoeken en als bewijs.
De Nederlandse politie maakt ook gebruik van een conversietool, maar het materiaal uit deze tool mag niet als bewijs gebruikt worden. De conversietool van de Nederlandse politie wordt gebruikt om de door de telecomaanbieders aangeleverde originele bestanden te converteren en te analyseren. De tool is dus geen bronsysteem en het is ook geen forensische tool. Alleen de bronbestanden mogen als bewijsmateriaal worden aangedragen.
Voorts zijn er door de Deense autoriteiten ook «onzekerheden en bronnen van fouten» geconstateerd in de door de telecomaanbieders aangeleverde originele bestanden. De Deense overheid is een onderzoek gestart naar de omvang, de oorzaken en de consequenties van die onzekerheden en bronnen van fouten en hoopt dit eind september af te ronden. Tot die tijd mogen aldaar verkregen historische verkeersgegevens in Denemarken niet (meer) worden gebruikt in opsporingsonderzoeken.

Vraag 5

Kan worden uitgesloten dat in Nederland onnauwkeurige of onjuiste gegevens zijn of worden gebruikt, hetzij door fouten in eigen IT-systemen, hetzij door fouten in de IT-systemen van telecomaanbieders?

Zoals hierboven beschreven mag het materiaal uit de conversietool in Nederland niet als bewijsmateriaal gebruikt worden. Alleen de bronbestanden mogen als bewijsmateriaal worden aangedragen.
In een bericht van de Deense politie wordt een aantal «onzekerheden en bronnen van fouten» in de door de Deense Telecomproviders aangeleverde bestanden benoemd. De Nederlandse politie heeft aangegeven een deel van deze voorbeelden te herkennen, maar is ermee bekend hoe de aangeleverde informatie moet worden geïnterpreteerd.
Zo is bij de Nederlandse politie bijvoorbeeld bekend dat wanneer in de originele bestanden op een bepaald tijdstip geen communicatie zichtbaar is, dit niet betekent dat er geen communicatie heeft plaatsgevonden. Sinds het buiten werking stellen van de Wet bewaarplicht telecommunicatiegegevens door de kortgedingrechter in Den Haag op 11 maart 2015, bewaren telecomproviders alleen die gegevens die zij nodig hebben voor hun eigen bedrijfsvoering. Dat leidt ertoe dat niet alles bewaard wordt en derhalve niet alles kan worden geleverd aan de opsporingsdiensten.
Ik heb geen concrete aanleiding om aan te nemen dat er door de politie in Nederland onnauwkeurige of onjuiste gegevens worden gebruikt. Wel zal ik na de afronding van het Deense onderzoek de politie vragen om alle door de Denen aangegeven «onzekerheden en bronnen van fouten» op de Nederlandse situatie te projecteren en mij over de bevindingen te rapporteren. Mocht daartoe aanleiding zijn dan zal ik uw Kamer daarover berichten.

Vraag 6

Bent u bereid contact op te nemen met het Deense Ministerie van Justitie om te bezien of mogelijk sprake kan zijn van vergelijkbare onvolkomenheden in Nederland?

Er is reeds contact met de Deense autoriteiten. Ook is er contact met het Nederlandse Openbaar Ministerie over het gebruik van via rechtshulp verkregen Deense telecomgegevens.

Vraag 7

Ziet u aanleiding om de betrouwbaarheid van telecommunicatiegegevens die in de rechtspraak worden gebruikt beter te borgen, zodat deze data ook op de lange termijn in de rechtspraak aangewend kunnen worden?

Nee, op dit moment zie ik op basis van de Deense situatie geen aanleiding voor een aanpassing van de huidige werkwijze.

Vraag 1

Bent u bekend met het bericht «NXP verkoopt zijn audiodivisie aan het Chinese Goodix»?1

Ja.

Vraag 2

Wat is uw reactie op dit bericht?

Een onderneming is zelf verantwoordelijk voor de bedrijfsvoering en belangrijke beslissingen zoals de verkoop van een bedrijfsonderdeel. Slechts in bijzondere gevallen zal de rijksoverheid binnen de vigerende kaders interventies willen overwegen. Er moet in dat geval sprake zijn van een direct publiek belang zoals risico voor de nationale veiligheid. NXP geeft aan dat zijn audioactiviteiten voor mobiele telefoons, met minder dan 2% van NXP’s werknemers een relatief klein onderdeel van het bedrijf, buiten de strategische focus van het bedrijf valt. Het onderdeel past wel goed bij de productportefeuille van Goodix. Met de overname door Goodix blijft de werkgelegenheid, waarvan zo’n 40 personen in Nederland, behouden.

Vraag 3

Wat vindt u ervan dat NXP zijn audiodivisie verkoopt met als argument dat het er in de auto-industrie, NXP’s belangrijkste markt, weinig meerwaarde van verwacht, terwijl ontwikkelingen als verplicht handsfree bellen en zelfrijdende voertuigen op basis van stemcommando’s logischerwijs juist tot meer spraak- en audioactiviteiten zouden moeten leiden?

Het bedrijf is zelf verantwoordelijk voor de strategische keuzes die het maakt. De producten die het betreffende NXP-onderdeel maakt worden met name gebruikt in mobiele telefoons en koptelefoons. Van NXP begrijpen wij dat het zijn audioactiviteiten voor toepassing in de auto behoudt.

Vraag 4

Deelt u de mening dat NXP een bedrijf is dat niet alleen actief is in een vitale sector, namelijk de telecomsector, maar zelf ook vitale diensten en processen levert, zoals het maken van speciale halfgeleiders, waarvan het onwenselijk is dat deze, uit veiligheidsoogpunt, onder zeggenschap van een buitenlandse partij komen?

In de Nationale Veiligheidsstrategie (NVS 2019) heeft het kabinet de ontwikkeling van de versterkte aanpak beschermen vitale infrastructuur aangekondigd. De toepassing van de beschermende maatregelen op niet alleen vitale aanbieders en processen, maar ook hun ketenafhankelijke factoren, bedrijven, organisaties of netwerken worden meegenomen.
Dit is in lijn met de motie Van den Berg c.s., over een versterkte aanpak van de bescherming van de vitale processen en diensten. Hierbij wordt door het kabinet bekeken welke processen en diensten buiten hetgeen tot nu toe als vitale infrastructuur is aangemerkt, nog aanvullende bescherming behoeven.

Vraag 5

Hoe kijkt u aan tegen het feit dat een dienst of proces naar de aard niet vitaal hoeft te zijn, maar dat verkeerd gebruik die dienst of dat proces alsnog vitaal, en daarmee een land dus kwetsbaar kan maken? Vindt u dat daar in het geval van NXP sprake van is?

Zie antwoord vraag 4.

Vraag 6

Wat kunt u melden over de reputatie van Goodix, het Chinese bedrijf dat NXP wil overnemen, in het bijzonder over eventuele banden van dit bedrijf en diens medewerkers met de Chinese overheid? Vindt u het bedrijf in dat opzicht een goede overnamepartner?

In afwezigheid van een direct publiek belang is de beoordeling of Goodix een goede overnamepartner is, bij uitstek een vraag voor de markt. Wij hebben op dit moment geen reden om aan te nemen dat de overname door Goodix van het onderdeel van NXP is ingegeven door andere dan zakelijke, marktgedreven overwegingen.

Vraag 7

Welke criteria hanteert de toezichthouder op dit moment bij het goed- dan wel afkeuren van een bedrijfsovername als deze?

De enige toezichthouder die mogelijk toestemming moet geven bij deze overname is de Autoriteit Consument en Markt (ACM) of de Europese Commissie. Er gelden thans geen sectorspecifieke regels die toezien op overnames van Nederlandse technologiebedrijven, met uitzondering van bedrijven die thans leverancier zijn van het Ministerie van Defensie en waarvoor de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO) van toepassing zijn. De ACM en de Europese Commissie hebben als generieke taak het toezicht houden op naleving van de mededingingsregels. De mededingingsautoriteiten beoordelen als gevolg van deze wet alle meldingsplichtige concentraties, ongeacht de sector. Of een voorgenomen concentratie moet worden gemeld, en of dat bij de ACM of de Europese Commissie is, is afhankelijk van de omzet van de betrokken bedrijven. Bij de beoordeling onderzoekt de ACM de mogelijke effecten van de concentratie op de mededinging. De ACM kijkt daarbij, conform haar wettelijke taak, niet naar andere belangen.

Vraag 8

In hoeverre betrekt de toezichthouder daarbij de kabinetsbrief over maatregelen bescherming telecomnetwerken en 5G van 1 juli 2019 en de beide moties-Van den Berg c.s., over een versterkte aanpak van de bescherming van de vitale processen en diensten en over eisen aan bij 5G betrokken bedrijven (Kamerstukken 24 095, nrs. 487 en 488), die de Kamer recent heeft aangenomen?

Zoals aangegeven in het antwoord op vraag 7 toetst de toezichthouder op basis van haar wettelijke taak, in het geval van de ACM op basis van de Mededingingswet. Daarbij wordt niet naar andere belangen dan de wet voorschrijft gekeken.

Vraag 9

Hoe groot acht u de kans dat de overname van NXP door het Chinese Goodix daadwerkelijk doorgaat?

Het is niet aan mij om over deze kans te speculeren. NXP geeft aan dat het bedrijfsonderdeel alleen technologie uit Nederland en China bevat, waardoor instemming van de Amerikaanse toezichthouder niet nodig is. Als de overname op basis van het mededingingsrecht gemeld moet worden is de overname daarvan afhankelijk, zoals ook aangegeven in het antwoord op vraag 7.

Vraag 10

Zou de Wet ongewenste zeggenschap telecommunicatie, die overnames in de telecomsector kan verbieden of terugdraaien als de nationale veiligheid of openbare orde in gevaar kunnen komen, indien deze wet al in werking zou zijn getreden, tot een andere afweging en/of een ander overnamebesluit kunnen leiden?

Het wetsvoorstel voor de Wet ongewenste zeggenschap telecommunicatie heeft betrekking op de verkrijging van overwegende zeggenschap in telecommunicatiepartijen. De audioactiviteiten voor mobiele telefoons van NXP valt niet onder de definitie van een telecommunicatiepartij. Deze overname zou daarom niet binnen de reikwijdte van dit wetsvoorstel vallen.

Vraag 11

Ziet u in het voornemen van Goodix om NXP over te nemen, en in de (veiligheids)risico’s die dit voor Nederland met zich kan meebrengen, aanleiding om zo spoedig mogelijk met aanvullende maatregelen te komen die naast de telecomsector ook andere vitale sectoren, bedrijven en regio’s met vitale diensten en processen beschermen?

Wij zien op dit moment geen aanleiding om met maatregelen te komen op het voornemen van NXP om de audioactiviteiten voor mobiele telefoons te verkopen aan Goodix.
In de Kamerbrief Tegengaan Statelijke Dreigingen (Kamerstuk 30 821, nr. 72) worden verschillende maatregelen aangekondigd. Een van de maatregelen is de uitwerking van een investeringstoets op nationale veiligheidsrisico’s bij overnames en investeringen als laatste redmiddel. Uw Kamer wordt dit najaar geïnformeerd over de voortgang met betrekking tot de Wet Ongewenste Zeggenschap Telecom en de implementatie van de EU-verordening tot vaststelling van een kader voor de screening van buitenlandse directe investeringen in de Unie (2017/0224 (COD)).

Vraag 12

Wat kan de Kamer op dat vlak nog van u verwachten en wanneer?

Zie antwoord vraag 11.

Vraag 1

Kent u het bericht «Nieuwbouwhuis? Grote kans dat 5G je geen sneller internet oplevert»?1

Ja, het bericht is bekend.

Vraag 2

Deelt u de mening dat zoveel mogelijk mensen in Nederland de beschikking moeten hebben over snel internet, zowel vast als mobiel? Zo nee, waarom niet?

Ja. Daarom voer ik bijvoorbeeld beleid om de uitrol van snel internet in buitengebieden te faciliteren en ben ik van plan voor mobiele netwerken een dekkingseis te stellen die een minimale snelheid garandeert.
De mate waarin dekking voor mobiel internet kan worden gegarandeerd is echter onderhevig aan natuurkundige principes. Absolute garanties voor mobiele netwerkdekking zijn niet te geven. Mobiele dekking wordt beïnvloed door een veelheid van factoren, zoals het weer, bladerdek, bebouwing, maar ook de verbeterde isolatie van woningen.

Vraag 3

Wat is uw mening over de reportage van RTL Z, zeker met het oog op uw eerdere uitspraken over het belang van mobiele connectiviteit en het feit dat de scheidslijn tussen vaste en mobiele infrastructuur aan het vervagen is?2

In telecommunicatie is connectiviteit in toenemende mate van belang, of dat nu wordt geleverd via een vaste verbinding, via een draadloze verbinding als wifi, 4G, 5G, dan wel via andere technologieën. Deze ontwikkeling is een belangrijke reden om zowel voor vaste als mobiele infrastructuur beleid te voeren. Genoemde trends zoals convergentie en vervagende scheidslijn betekenen overigens niet dat ik verwacht dat vaste en mobiele infrastructuren volledig elkaars substituut gaan worden. Mobiele netwerken kunnen leveren waar vaste dat niet kunnen, en soms dus ook andersom. Daarbij hebben vaste netwerken, zoals bijvoorbeeld een glasvezelaansluiting, voorsprong in breedbandige capaciteit.

Vraag 4

Deelt u de mening dat de mate van connectiviteit niet alleen buitenshuis, maar ook binnenshuis van goede kwaliteit moet zijn? Zo ja, welke beleidsinstrumenten (zoals ook genoemd in het Actieplan Digitale Connectiviteit) bent u van plan in te zetten om ook binnenshuis een goede digitale connectiviteit te garanderen?3

Het garanderen en regelen van goede mobiele ontvangst binnenshuis via bijvoorbeeld verhoging van mobiele zendvermogens buitenshuis is uiterst moeilijk. Omdat huizen zo sterk verschillen als het gaat om doordringbaarheid voor radiofrequenties zou het stellen van een bepaalde minimale ontvangstnorm binnenshuis onredelijk en onwerkbaar zijn. Om deze reden is bij de komende multibandveiling gekozen voor een dekkingseis die buitenshuis geldt.4 Er bestaan overigens goede remedies voor gevallen van onvoldoende mobiele dekking binnenshuis. De meeste huishoudens beschikken over een binnenshuis wifi-netwerk, gekoppeld aan een vaste internetverbinding. Voor mobiele internettoegang ligt het iets anders dan bij mobiel bellen. Voor wat betreft mobiele internettoegang kunnen apparaten zoals laptops, tablets, smartphones en dergelijke al sinds jaren eenvoudig overschakelen op wifi. Daarmee wordt een eventuele zwakke binnenshuisdekking gemakkelijk, automatisch en doorgaans ongemerkt omzeild. Sinds recentere datum is ook mobiel bellen over wifi technisch mogelijk gemaakt en door de Nederlandse mobiele operators aangeboden (Voice over Wifi). Om mobiel te bellen kunnen moderne smartphones tegenwoordig via een wifi-netwerk schakelen. Soms moet een gebruiker op zijn smartphone daarvoor even een instelling aanpassen. In combinatie met mijn beleid voor snel vast internet kan de bewoner van een goed geïsoleerd nieuwbouwhuis dus zelf maatregelen nemen voor behoorlijk binnenshuis werkende mobiele diensten.

Vraag 5

Bent u bekend met het feit dat in gevallen waar binnenshuis geen goede verbinding met 4G mogelijk is, de nieuwe 5G-techniek waarschijnlijk ook geen soelaas zal bieden vanwege een verschil in frequentiegolven? Zo ja, is hiermee ook rekening gehouden in de doelstellingen, zoals geformuleerd in het Actieplan Digitale Connectiviteit, en hoe?

De mate waarin een radiosignaal door muren en ramen dringt heeft inderdaad onder meer te maken met de golflengte. Hoe lager een frequentie in het radiospectrum, hoe makkelijker deze door ramen en muren komt, en omgekeerd. Vooralsnog zijn de 700 MHz band, de 3,5 GHz band en de 26 GHz band aangewezen als 5G banden. De 3,5 GHz-band en 26 GHz-band zijn hogere frequenties dan de tot zover gebruikelijke mobiele frequenties waarmee 2G, 3G, en 4G wordt aangeboden. De 700 MHz-band is lager, een golflengte die juist weer iets beter doordringt dan de tot nu toe gebruikte mobiele frequentiebanden waarvan op dit moment de laagst uitgegeven frequentieband de 800 MHz-band is.
Daarbij dient ook vermeld te worden dat 5G op zich niet nodig is voor mobiele telefonie, omdat bellen geen hoge bandbreedte vraagt en bestaande mobiele technologieën daarvoor nog heel wat jaren goed daarvoor blijven voldoen.
Ik vermeld daarbij ook dat 5G niet simpelweg het breedbandiger verlengde gaat zijn van wat de bestaande mobiele technologieën tot zover bieden. Waar 5G in de praktijk straks zijn belangrijkste toepassingen gaat vinden, moeten we afwachten, maar de verwachting is dat 5G belangrijk gaat worden in bedrijfsmatige situaties (verticals). Gezien het korte bereik van golven in de 26 GHz band – dit geldt ook wel voor de 3,5 GHz band – is het niet erg aannemelijk, en het zou ook kostbaar worden, dat met deze frequentiebanden landelijk aanvullende dekkende netwerken gaan worden gerealiseerd. De genoemde banden gaan waarschijnlijk vooral meer plaatselijk voor extra capaciteit worden ingezet, daar waar veel mensen bij elkaar komen, en voor verticals zoals vermeld. Verbetering van de landelijke dekking kan wel worden verwacht wanneer de 700 MHz band in gebruik wordt genomen, in combinatie met de bijbehorende (outdoor)dekkingsplicht.5

Vraag 6

Kunt u aangeven wat mogelijke oplossingen zijn om frequenties ter ondersteuning van zowel 4G als 5G op een adequate manier binnenshuis te ontvangen, zeker met het oog op nieuwbouwhuizen die vaak dikkere muren hebben? Zo nee, waarom niet?

Ik verwijs naar mijn antwoord op vraag 4.

Vraag 7

Bent u in overleg met telecombedrijven om te bekijken hoe Nederlanders gebruik kunnen maken van een zo hoog mogelijke snelheid mobiel internet en oplossingen te bieden indien mensen niet op een adequate manier binnenshuis gebruik kunnen maken van 4G en 5G? Zo nee, waarom niet?

In het antwoord op vraag 4 is aangegeven dat bewoners zelf oplossingen kunnen toepassen om te voorzien in binnenshuis snelle internettoegang en om binnenshuis adequaat mobiel te kunnen bellen. Telecombedrijven hebben in Nederland voice over wifi op hun netwerken mogelijk gemaakt. Overleg met hen hierover vind ik niet nodig.

Vraag 8

Hoe beziet u de berichtgeving van RTL Z in het licht van uw eerder aangekondigde dekkingseis met betrekking tot mobiele netwerken?4

Ik verwijs naar mijn antwoord op vraag 4.

Vraag 9

Geld de eerder genoemde dekkingseis voor mobiele internetsnelheden buitenshuis, of ook binnenshuis?

Zoals in de Nota Mobiele Communicatie is toegelicht geldt de eis alleen voor dekking buitenshuis. Zie in dit kader ook mijn antwoord op vraag 4.

Vraag 10

Herinnert u zich dat u eerder heeft aangegeven dat samenwerking tussen telecomaanbieders en andere betrokkenen, zoals projectontwikkelaars, bouwbedrijven en grondeigenaars, nodig is om inpandige dekking te verbeteren?5 Herinnert u zich dat u daarnaast heeft aangegeven dat de overheid hierbij een faciliterende rol kan spelen? Kunt u aangeven of de overheid deze faciliterende rol reeds speelt? Zo ja, op welke manier? Zo nee, waarom niet en betekent dit tegelijkertijd dat er nog geen overleg is tussen eerder genoemde partijen om inpandige dekking te verbeteren?

Wat betreft de genoemde faciliterende rol van het Ministerie van Economische Zaken en Klimaat heeft dat betrekking op zakelijke situaties, namelijk ten behoeve van een standaard voor multi-operator indoordekking. De Branchevereniging ICT en Telecomgrootgebruikers (BTG) is actief om met de mobiele operators en zakelijke grootgebruikers een standaard voor technische specificaties af te spreken voor indoor-antenne installaties, zodat in meer zakelijke omgevingen zoals kantoren de indoordekking verbetert. Ik ben bereid dit te ondersteunen, maar een verzoek om een faciliterende rol te spelen heb ik nog niet ontvangen. Ik zie geen praktische mogelijkheden voor zoiets in woonomgevingen. Zoals aangegeven onder vraag 4 kunnen mensen zo nodig zelf maatregelen treffen.

Vraag 1

Wat is uw reactie op het artikel «Novartis gebruikte gemanipuleerde data»?1

Ik heb kennisgenomen van het artikel. Als een leverancier tijdens een centrale beoordelingsprocedure niet transparant handelt en bewust informatie manipuleert of achterhoudt, dan vind ik dat een zeer kwalijke zaak. Het is de verantwoordelijkheid van de leverancier om bij de instanties een volledig dossier aan te leveren op basis waarvan de werkzaamheid en veiligheid van een geneesmiddel kan worden beoordeeld.

Vraag 2

Wat zegt dit volgens u over de integriteit van Novartis, niet in de laatste plaats aangezien het hier over het duurste medicijn ooit gaat?

De FDA verklaart dat AveXis (onderdeel van Novartis) op de hoogte was van de gemanipuleerde gegevens voordat Zolgensma werd goedgekeurd. De leverancier informeerde de FDA hier echter pas over nadat het product was goedgekeurd. Naar mijn mening dient transparantie in de goedkeuringsprocedure bij ieder farmaceutisch bedrijf voorop te staan. Het is een slechte zaak dat dit bij AveXis niet het geval lijkt te zijn geweest.

Vraag 3

Om welke data gaat het precies? Vormt deze onthulling aanleiding om uit werkbaarheids- of veiligheidsoverwegingen deze therapie niet toe te laten? Kunt u uw antwoord toelichten?

De FDA heeft 6 augustus jl. naar buiten gebracht dat gemanipuleerde gegevens zijn ingediend in het kader van de goedkeuringsprocedure voor Zolgensma bij de FDA in de Verenigde Staten. Volgens de verklaring2 van de FDA gaat het om gegevens die AveXis indiende ter ondersteuning van de ontwikkeling van het productieproces van Zolgensma. De FDA geeft verder aan dat de geconstateerde manipulatie van deze gegevens niets veranderen aan de positieve beoordeling van de informatie uit de klinische studies. Volgens de FDA ondersteunt de totale bewijslast voor de werkzaamheid en veiligheid van Zolgensma nog steeds een gunstige verhouding tussen de risico’s en de baten van het geneesmiddel. Wel geeft de FDA aan de data over het productieproces van de leverancier te evalueren.
In Europa gelden voor Zolgensma dezelfde regels als voor andere nieuwe geneesmiddelen waarvoor toelating wordt gevraagd op de Europese markt. De werkzaamheid en veiligheid van Zolgensma worden op dit moment centraal beoordeeld door de European Medicines Agency (EMA).
Op dit moment beoordelen de specialisten bij de EMA -waaronder vertegenwoordigers van het Nederlandse College ter Beoordeling van Geneesmiddelen- de ingediende gegevens voor Zolgensma. Daarbij moet ook worden bepaald of signalen uit de Verenigde Staten van invloed zijn op de lopende beoordelingsprocedure in Europa.

Vraag 4

Zal er een extra nauwkeurig proces te pas komen aan de goedkeuring van Zolgensma en andere van Novartis afkomstige middelen door het European Medicines Agency (EMA)? Kunt u de specifieke consequenties voor het goedkeuringsproces toelichten?

Zie antwoord vraag 3.

Vraag 5

Bent u van mening dat Europa hier punitieve consequenties aan zou moeten verbinden voor Novartis, net zoals de Food and Drug Administration (FDA) overweegt strafrechtelijke maatregelen te nemen? Zo ja, welke? Zo nee, waarom niet?

Ik kan niet vooruitlopen op eventuele gevolgen en/of maatregelen vanuit de Europese Unie richting AveXis. Ik merk wel op dat de situatie in Europa anders is dan in de Verenigde Staten. In de Verenigde Staten stelde AveXis de FDA van de manipulatie van data op de hoogte nadat Zolgensma was goedgekeurd, ondanks dat men al kennis van de manipulatie had voordat de goedkeuring was verleend.
De goedkeuring van de vergunningsaanvraag voor Zolgensma bij de EMA is echter nog niet afgerond. Dat biedt de aanvrager de gelegenheid om het dossier waar nodig aan te vullen met nieuwe gegevens die nodig zijn om te komen tot een juiste afweging door de EMA.
Ik kan me goed voorstellen dat de EMA de signalen uit de Verenigde Staten meeneemt in de lopende beoordelingsprocedure van Zolgensma

Vraag 6

Welke gevolgen zal dit voorval hebben voor de extreem hoge prijs van Zolgensma?

De leverancier heeft vooralsnog niet openbaar gemaakt wat de prijs in Nederland gaat worden. Wanneer Zolgensma – naar verwachting – tegen een zodanig hoge prijs wordt aangeboden dat het valt onder de wettelijke criteria voor de pakketsluis, wordt het eerst in de sluis geplaatst en volgt een beoordeling door Zorginstituut Nederland. Als het Zorginstituut mij daarop adviseert om te onderhandelen over de prijs van Zolgensma, zal ik kritisch kijken naar de gevraagde prijs. Dit alles staat echter los van de huidige signalen uit de Verenigde Staten.

Vraag 1

Bent u bekend met de berichten «Iedereen wil internet, niemand wil datacenters» en «Hoe Nederland zichzelf economisch in de voet schiet»?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe verhoudt de tijdelijke bouwstop van nieuwe datacenters in de gemeenten Amsterdam en Haarlemmermeer zich tot de Nederlandse Digitaliseringsstrategie 2.0, waarin gesteld wordt: «Datacenters spelen een essentiële rol in de ontwikkeling van de digitale economie en samenleving. Zonder datacenters staat alles op de digitale snelweg stil», en tot de Ruimtelijke strategie datacenters?2 Kunt u daarbij uw appreciatie delen van de eerder genoemde tijdelijke bouwstop van nieuwe datacenters in de gemeenten Amsterdam en Haarlemmermeer?

De tijdelijke bouwstop van datacenters in de gemeenten Amsterdam en Haarlemmermeer staat de ontwikkeling van de digitale economie vooralsnog niet in de weg. Datacenters die bijdragen aan het verduurzamen van de warmtevoorziening door hun restwarmte ter beschikking te stellen zijn nog steeds welkom. Op de korte termijn zijn er echter wel knelpunten, de energievraag van de sector en gebrek aan geschikte ruimte, die voor de gemeente Amsterdam de tijdelijke stop noodzakelijk maken. De gemeenten verwachten eind 2019 nieuw regionaal vestigingsbeleid te hebben geformuleerd waarin ze meer grip op de vestiging van nieuwe datacenters krijgen en deze kunnen plaatsen binnen hun bredere duurzaamheidsambitie. Om het nieuwe vestigingsbeleid vorm te geven voeren de gemeenten gesprekken met de sector en belanghebbenden. Keuzes omtrent gemeentelijk vestigingsbeleid worden decentraal gemaakt. Voor het belang van datacenters voor de digitalisering van heel Nederland en de knelpunten die de sector ondervindt worden er gesprekken gevoerd in een Nationale Datacentertafel die begin september van start is gegaan. De rijksoverheid zit ook aan deze gesprekstafel.

Vraag 3

Deelt u de mening dat het tijdelijk stopzetten van nieuwe datacenters, het bouwen van nieuwe energiezuinige datacenters tegengaat? Vindt u dit een wenselijke ontwikkeling? Zo nee, welke stappen bent u bereid te nemen om deze ontwikkeling te keren?

Zie antwoord vraag 2.

Vraag 4

Hoe verhoudt het tijdelijk stopzetten van de bouw van nieuwe datacenters in Nederland zich tot het streven van veel bedrijven en overheden om Nederlandse data binnen de Nederlandse landsgrenzen op te slaan? In hoeverre is het voor Nederlandse bedrijven en overheden nog mogelijk om hun data binnen Nederland op te slaan zonder de bouw van nieuwe datacenters?

Ik heb geen signalen dat er op korte termijn acute capaciteitsproblemen ontstaan om data van Nederlandse bedrijven en overheden in Nederland op te slaan. Overigens is de bouw van datacenters elders in Nederland ook mogelijk. De Zuid-Hollandse regionale ontwikkelingsmaatschappij InnovationQuarter heeft recentelijk haar masterplan Datacenters aangekondigd. Met Rotterdam-Den Haag als tweede datacenter hub kan Amsterdam op termijn ontlast worden.

Vraag 5

Deelt u daarbij de mening dat de Nederlandse vraag naar datacenters in de toekomst alleen maar zal toenemen, waarbij nieuwe datacenters noodzakelijk zijn om de Nederlandse concurrentie- en innovatiepositie te handhaven en te verbeteren?

Datacenters spelen een essentiële rol in de ontwikkeling van de digitale economie en samenleving en de groei naar (lokale) dataopslag zal de komende jaren door de groei van het dataverkeer en de ontwikkeling IoT-toepassingen stijgen. De ICT-sector, waaronder datacenters, is een van de prioriteiten van het Kabinet bij de acquisitie van buitenlandse bedrijven.3

Vraag 6

Deelt u de mening van Job Witteman, voormalig CEO van het Amsterdamse Internetknooppunt AMS-IX en voormalig lid van het Amsterdam Economic Board, dat geplande significante investeringen in datacenters in de omgeving van Amsterdam door het eerder genoemde besluit van de gemeenten Amsterdam en Haarlemmermeer opeens als hoog risico door investeerders worden beschouwd?3 Zo ja, in hoeverre is het volgens u wenselijk dat investeringen in de Nederlandse digitale economie hierdoor achterblijven?

Ik heb begrip voor de zorgen die de heer Witteman heeft geuit. In hoeverre geplande significante investeringen in datacenters in de omgeving van Amsterdam door het eerder genoemde besluit van de gemeenten Amsterdam en Haarlemmermeer als hoog risico door investeerders worden beschouwd kan ik niet beoordelen.

Vraag 7

Welke stappen zult u nemen om te voorkomen dat het besluit van de gemeenten Amsterdam en Haarlemmermeer de clustervorming rond de internationale internetknooppunten bemoeilijkt?

Zie antwoord vraag 8 en 11.

Vraag 8

Bent u bekend met het recent gepubliceerde onderzoek «Digitale randvoorwaarden voor de toplocaties in de REOS-regio’s»? Kunt u uw appreciatie delen van de knelpunten rondom de bouw van datacenters die in dit onderzoek worden aangedragen in relatie met deze tijdelijke bouwstop door beide gemeenten?4

Ja, ik ben bekend met het onderzoek over de digitale randvoorwaarden voor de toplocaties in de REOS-regio’s. De knelpunten die het rapport aankaart omtrent datacenters – hoog energieverbruik in relatie tot duurzaamheid, de beschikbaarheid van elektriciteit en grond die niet overal gegarandeerd is en de inpassing in de nationale en regionale energie-infrastructuur – zijn allen aanleiding geweest voor de tijdelijke bouwstop door beide gemeenten. Leveringszekerheid van elektriciteit en een betrouwbaar energiesysteem zijn de uitgangspunten voor ons energiesysteem in Nederland, dit geldt dus ook voor de gemeenten Amsterdam en Haarlemmermeer. Datacenters hebben veel elektriciteit nodig en leggen daarmee een groot beslag op de op de productie en transport van elektriciteit, dit nadert in sommige regio's (rond Amsterdam) zijn grenzen. Het elektriciteitsverbruik van datacenters groeit ook nog eens sterk. Aangezien de groei van datacenters in deze gemeenten het hardst is, is de tijdelijke bouwstop verklaarbaar.

Vraag 9

Erkent u dat de in het onderzoek «Digitale randvoorwaarden voor de toplocaties in de REOS-regio’s» genoemde knelpunten op het gebied van datacenters en core-netwerken een stevige impact kunnen hebben op de verdere ontwikkeling van de nationale digitale connectiviteit? Zo ja, waarom zijn deze knelpunten niet meegenomen in het Actieplan Digitale Connectiviteit en de recente update van de Digitaliseringsstrategie?

De datacentersector is een relatief jonge sector met een eigen dynamiek en unieke kenmerken waarvoor recentelijk beleid in ontwikkeling is. In de recent door de Minister van Binnenlandse Zaken en Koninkrijksrelaties naar uw kamer gestuurde Ruimtelijke Strategie Datacenters6 wordt uiteengezet welke stappen er voor de middellange termijn (2022–2030) en lange termijn (2030 en later) genomen worden om de ontwikkeling van de datacentersector in goede banen te leiden. Een goede ontwikkeling van de sector kan alleen behaald worden door een samenwerking van de rijksoverheid met de sector, netbeheerders en de decentrale overheden. Voor de middellange termijn wordt de vestiging van datacenters in zowel de zuidelijke Randstad als Noord-Holland (Middenmeer) verder onderzocht, waaronder gekeken wordt naar de vestigingseisen ten aanzien van latency, arbeidsmarkt, restwarmte en het ICT-ecosysteem. Voor de lange termijn (2030 en later) worden de mogelijkheden voor een nieuw datacluster aan de west- en zuidflank van Amsterdam bij de aanlandingslocatie van wind op zee verkend en uitgewerkt. Het belang van datacenters is erkend in zowel het de Actieplan Digitale Connectiviteit en de Nederlandse Digitaliseringsstrategie 2.0. De genoemde knelpunten zijn recent naar voren gekomen en dit wordt dan ook meegenomen in de voortgangsrapportage van het Actieplan Digitale Connectiviteit.

Vraag 10

Bent u bereid deze knelpunten alsnog mee te nemen in de voortgangsrapportage Digitale Connectiviteit die gepland staat voor het vierde kwartaal van 2019? Kunt u daarbij uw aanpak delen van deze knelpunten en de wijze waarop de veelvoud aan actoren uit het bedrijfsleven, landelijke en regionale overheden worden betrokken? Bent u daarbij bereid om een coördinerende rol te pakken, zodat de hoge kwaliteit van de Nederlandse digitale infrastructuur blijft gewaarborgd?

Zie antwoord vraag 9.

Vraag 11

Bent u bereid op korte termijn – in samenwerking met eerder genoemde gemeenten – een faciliterende rol te spelen in het oplossen van de problematiek rondom de bouw van datacenters in de metropoolregio Amsterdam, zodat de komst van nieuwe datacenters niet onnodig wordt tegengehouden en het gunstige Nederlandse vestigingsklimaat voor datacenters behouden blijft?

Ja ik ben bereid een faciliterende rol hierin te spelen. Sinds de aankondiging van de gemeenten Amsterdam en Haarlemmermeer zijn er al gesprekken gevoerd aan de Nationale Datacentertafel waar mijn ministerie ook aanwezig is. Deze gesprekken hebben de weg vrijgemaakt voor een gezonde samenwerking tussen de sector, gemeenten en overige betrokkenen en ze zullen in november voortgezet worden.

Vraag 1

Bent u bekend met het bericht «Ministerie onduidelijk over omstreden software»?1

Ja.

Vraag 2

Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van de rijksoverheid?

Op dit moment kan niet bevestigd worden dat de Kaspersky-antivirussoftware binnen de IT-systemen van de rijksoverheid volledig is uitgefaseerd. Momenteel heeft het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties voor een volledig beeld hiervan een uitvraag lopen voor de rijksoverheid waarvan de resultaten eind 2019 verwacht worden. Daarna zal de Minister van Binnenlandse Zaken en Koninkrijksrelaties uw Kamer hier over informeren.

Vraag 3

Wordt de antivirussoftware van Kaspersky op dit moment gebruikt binnen IT-systemen van onze vitale infrastructuur?

Zoals vermeld in de brief van 14 mei 2018 aan uw Kamer (Kamerstuk 30 821, nr. 46) betrof de voorzorgsmaatregel ten aanzien van het gebruik van antivirussoftware van Kaspersky Lab, naast het uitfaseren hiervan bij de rijksoverheid, het advies aan organisaties met vitale diensten en processen en bedrijven die vallen onder de Algemene Beveiligingseisen Defensie Opdrachten (ABDO) om datzelfde te doen. De beslissing om het gebruik van genoemde antivirussoftware al dan niet uit te faseren, is aan deze organisaties en bedrijven zelf.

Vraag 1

Bent u bekend met het bericht «Berucht Chinees veiligheidsministerie gebruikt Nederlandse software die emoties leest»?1

Ja.

Vraag 2

Klopt het dat twee Nederlandse technologiebedrijven emotieherkenningssoftware hebben geleverd aan de Chinese staat? Klopt het dat deze bedrijven deze software hebben geleverd aan het Chinese Ministerie van Openbare Veiligheid en aan de Chinese politieacademie? Kunt u toelichten vanaf wanneer deze bedrijven aan de Chinese staat emotieherkenningssoftware leveren?

Het bedrijf stelt in het bericht dat er een levering heeft plaatsgevonden van het product aan het Chinese Ministerie van Openbare Veiligheid. Het product is, aldus Noldus, een samenwerking van de bedrijven Noldus en Vicar Vision – het gaat om één gezamenlijke levering van de twee bedrijven. Het bedrijf geeft aan dat de software geschikt is voor het herkennen van emoties op individuele gezichten – en niet identiteit – en daarmee is deze volgens Noldus niet geschikt voor surveillance.

Vraag 3

Klopt het dat het Chinese Ministerie van Openbare Veiligheid verantwoordelijk is voor hightech surveillance die leidt tot privacyschendingen van Chinese burgers? En klopt het ook dat ditzelfde ministerie ook verantwoordelijk is voor de ernstige onderdrukking van de Oeigoeren in Xinjiang?

Er zijn verschillende Chinese overheidspartijen betrokken bij de (digitale) surveillancesystemen die in het land zijn opgetuigd. Vast staat dat het Ministerie van Openbare Veiligheid één van die partijen is. Ook bij de surveillance, de veiligheidsmaatregelen en de internering van moslimminderheden in heropvoedingscentra in Xinjiang speelt het ministerie – en de provinciale afdeling voor openbare veiligheid – waarschijnlijk een rol.

Vraag 4

Bent u bekend met de plannen van de Chinese staat om in 2020 alle naar schatting 200 miljoen openbare beveiligingscamera’s te integreren tot één groot videosurveillancesysteem, dat gekoppeld wordt aan gezichtsherkenningssoftware en een database met persoonlijke gegevens over alle 1,4 miljard Chinezen? Wat is uw mening over deze plannen?

Berichten over dergelijke plannen zijn mij bekend. Zoals eerder aangegeven in antwoorden op vragen van het lid Ploumen (1 juli jl., kenmerk 2019Z12806) in het kader van Chinese plannen voor een nationaal sociaal kredietsysteem ziet het kabinet risico’s voor de fundamentele vrijheden, privacy en mensenrechten van Chinese burgers en buitenlandse personen die zich in China bevinden. In Xinjiang is reeds sprake van diepgaande schendingen van privacy en andere mensenrechten door middel van geavanceerde surveillancetechnieken. Er zijn ook indicaties dat gezichtsherkenningssoftware buiten Xinjiang wordt ingezet om burgers te monitoren en categoriseren. Dit vormt een risico voor bepaalde etnische en/of religieuze groepen, mensenrechtenverdedigers en activisten van wie bekend is dat zij om hun (volgens internationale mensenrechtenverdragen legale) opvattingen, religie en/of gedragingen in China kunnen worden vervolgd of onderdrukt.

Vraag 5

Bent u op de hoogte van de berichtgeving van mensenrechtenorganisaties2 die waarschuwen dat China surveillance-technologie inzet tegen iedereen die uit de pas loopt, zoals activisten, dissidenten en minderheden (één miljoen Oeigoeren)?3

Zie antwoord vraag 4.

Vraag 6

Bent u het eens dat het onwenselijk is wanneer door Nederlandse bedrijven ontwikkelde en verkochte software wordt ingezet om bevolkingsgroepen te onderdrukken en mensenrechten te schenden?

Inzet van Nederlandse technologie voor het onderdrukken van bevolkingsgroepen of het schenden van mensenrechten acht het kabinet in alle gevallen onwenselijk. Nederlandse bedrijven die inspelen op de Chinese vraag naar geavanceerde technologie dienen zich te allen tijde rekenschap te geven van mogelijke ongewenste toepassingen van geleverde producten door Chinese afnemers. Bedrijven zijn zelf verantwoordelijk voor toepassen van due diligence. Zij dienen rekening te houden met de mogelijkheid dat Chinese partners een aandeel hebben in de totstandkoming van surveillancesystemen die beperking van fundamentele vrijheden van Chinese burgers tot gevolg hebben. In het geval van vergunningplichtige dual-usegoederen wijst de Nederlandse regering een vergunning af, indien er zorgen bestaan ten aanzien van het eindgebruik in relatie tot mensenrechtenschendingen.

Vraag 7

Hebben Nederlandse technologiebedrijven een vergunningsplicht voor export van software die gebruikt kan worden voor gezichtsherkenning en emotieherkenning die ook ingezet kan worden voor predictive policing?

Nee.

Vraag 8

Op welke wijze voert Nederland op dit moment exportcontrole uit op cybersurveillance technologie? Wordt deze export aan een mensenrechtentoetsing onderworpen? Zo ja, op welke wijze? Voldoet deze controle naar uw oordeel om te voorkomen dat deze technologie ingezet kan worden om de mensenrechten te schenden?

Bepaalde cybersurveillancegoederen en -technologieën staan ingevolge het potentiële gebruik in civiele of militaire toepassingen onder exportcontrole. Dit geldt bijvoorbeeld voor de verkoop van technologie voor de ontwikkeling van intrusion software, software die gebruik maakt van kwetsbaarheden in systemen. Deze goederen zijn opgenomen in de controlelijst van de Europese dual-useverordening. Een bedrijf dat binnen de EU gevestigd is, is verplicht voor het exporteren van deze goederen en technologie buiten de EU een vergunning aan te vragen. Nederland keurt vergunningaanvragen af indien er zorgen bestaan ten aanzien van het eindgebruik in relatie tot mensenrechtenschendingen. Nederland spant zich internationaal in om aanvullend cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. Een voorbeeld hiervan zijn interceptie- en monitoringsystemen die veelal gebruikt worden door inlichtingendiensten. In het Wassenaar Arrangement vergt dit consensus van alle deelnemende landen.

Vraag 9

Kunt u uiteenzetten wat de laatste stand van zaken is bij de herziening van de Europese dual-use verordening inzake de uitbreiding van exportcontrole op cybersurveillance goederen? Kunt u dit nader toelichten met uw appreciatie en de Nederlandse inzet?

Nederland steunt de uitbreiding van exportcontrole op cybersurveillance goederen in relatie tot mensenrechtenschendingen in de herziening van de dual- useverordening. De in 2016 begonnen onderhandelingen in de Raad over de herziening van de dual-useverordening zijn moeizaam verlopen. Grootste discussiepunt in de onderhandelingen was voornoemde controle van cybersurveillancetechnologie. In december 2018 is gebleken dat geen gekwalificeerde meerderheid voor het onder controle brengen van cyber surveillance kon worden behaald om tot een Raadspositie te komen. Gelet op deze langdurige patstelling in de Raad en de gedeelde verantwoordelijkheid van de lidstaten om tot een eensgezind standpunt te komen, is de Raad in juni 2019 een mandaat overeengekomen tot onderhandeling met het Europese parlement. In dit mandaat is niet voorzien in aanvullende exportcontroleregelgeving op cybersurveillance technologie via de dual-useverordening.
Het is teleurstellend dat er geen overeenstemming in de Raad was om te komen tot een positie, waarbij de toevoeging van cybersurveillance technologie in relatie tot mensenrechtenschendingen is opgenomen. Nederland heeft zich hier zowel in de Raad als bilateraal actief voor ingezet en betreurt dat er op dit moment onvoldoende draagvlak voor is in de Raad. Nederland zal zich ervoor inzetten dat het onderwerp in de toekomst op de agenda blijft.
Het is onwenselijk nu vooruit te lopen op de nog onbekende uitkomst van het onderhandelingstraject tussen de Europese Raad, Europees parlement en de Europese Commissie op het gebied van exportcontrole op bepaalde typen cybersurveillancegoederen.

Vraag 10

Bent u het eens dat Nederlandse cybersurveillance technologie aan exportcontrole zou moeten worden onderworpen, en dat een mensenrechtentoets hier onderdeel van uit zou moeten maken? Bent u het eens dat dergelijke exportcontrole op Europees niveau zou moeten gelden?

Zie antwoord vraag 9.