Vraag 1

Heeft u kennisgenomen van de stroomstoring in Spanje en Portugal van maandag 28 april?

Ja.

Vraag 2

Hoe reëel is het dat een stroomstoring van deze magnitude ook in Nederland zal plaats vinden?

De grote stroomstoring in Spanje en Portugal op maandag 28 april betrof een zogenaamde black-out. Deze storing trof naast deze twee landen ook een gedeelte van Frankrijk. Een dergelijke grootschalige black-out komt in Europa slechts eens in de 10 à 20 jaar voor. In 2003 is Italië getroffen en in 2015 Turkije. In 2024 hebben drie landen in de Balkan hiermee te maken gehad. Een stroomuitval van deze omvang kan ook in Nederland plaatsvinden. De kans op een dergelijke stroomuitval van dit type acht het kabinet gering.

Vraag 3

Hoe goed is ons stroomnet beschermd?

De Minister van Klimaat en Groene Groei is beleidsverantwoordelijkheid voor de leveringszekerheid van energie. De netbeheerders zijn wettelijk verplicht om de leveringszekerheid van elektriciteit te bewaken en te bevorderen. Het Ministerie van KGG werkt samen met TenneT en de regionale netbeheerders doorlopend aan de continuïteit van het elektriciteitsnetwerk.
Ons energiesysteem wordt beschermd door een robuust ontwerp, redundantie, de aanwezigheid van voldoende herstelcapaciteit en interconnectie met de ons omringende landen. Het brede scala aan maatregelen heeft ertoe geleid dat het Nederlandse elektriciteitssysteem de afgelopen jaren één van de betrouwbaarste energiesystemen ter wereld is geweest, met een gemiddelde betrouwbaarheid van 99.99%. Voor de herstart van het elektriciteitssysteem na een grootschalige black-out beschikt Nederland over speciale voorzieningen.

Vraag 4

Wat zijn de grootste systeemrisico’s die Nederland kent als het gaat om grootschalige uitval van stroom, water, internet en het betaalverkeer? Waar zal de samenleving naar verwachting het zwaarst geraakt worden?

Stroom en internet zijn dusdanig essentieel en verbonden met andere onderdelen in de samenleving dat een stroomstoring grote impact kan hebben op de samenleving. De impact van grootschalige stroomuitval of uitval van data- en communicatienetwerken is groot en raakt meerdere vitale processen. Grootschalige uitval van drinkwater heeft directe impact op huishoudens, de industrie en ziekenhuizen, en kan de operatie van veel andere processen zoals levensmiddelen beïnvloeden. Ook het betaalverkeer is afhankelijk van internet en elektriciteit. Langdurige uitval van het betaalverkeer kan leiden tot grote maatschappelijke onrust en economische ontwrichting. Bijvoorbeeld omdat men geen betalingen kan doen in winkels, doordat er geen geld meer uit de geldautomaat komt en omdat dergelijke uitval kan leiden tot verstoring van andere vitale processen zoals het effectenverkeer. Contant geld vervult tevens een belangrijke rol als terugvaloptie voor elektronisch betaalverkeer.
Verantwoordelijke vakdepartementen en vitale aanbieders voeren risicobeoordelingen uit als onderdeel van de Versterkte Aanpak Vitaal.1 Hierbij is er specifiek aandacht voor de intersectorale afhankelijkheden, waarmee risico’s inzichtelijk gemaakt worden zodat er passende maatregelen kunnen worden genomen.

Vraag 5

Wat zullen de invoering van de Cyberbeveiligingswet (NIS2 (Network and Information Security directive)) en de Wet weerbaarheid kritieke entiteiten (CER (Critical Entities Resilience Directive)-richtlijn) in de praktijk betekenen voor het risico op en de impact van storingen van deze magnitude?

De implementatie van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) zijn onderdeel van de Versterkte Aanpak Vitaal. Onderdeel van deze Versterkte Aanpak Vitaal is een cyclus van risicoanalyses en actieprogramma’s uitgevoerd door de verantwoordelijke vakdepartementen voor hun sectoren, waaronder ook de energiesector, ten behoeve van het nemen van weerbaarheidsverhogende maatregelen voor vitale aanbieders en processen. Daarbij is er ook aandacht voor risico’s die samenhangen met intersectorale afhankelijkheden.
Met de invoering van de Cbw en de Wwke worden de risicobeoordelingen en de te nemen maatregelen dwingender van karakter en worden alle kritieke entiteiten (vitale aanbieders) verplicht om hun kwetsbaarheden te minimaliseren en de continuïteit van hun essentiële diensten (vitale processen) te waarborgen. In de praktijk betekent dit onder andere dat deze entiteiten hun gebouwen, kritieke infrastructuur en netwerk- en informatiesystemen (fysiek) beschermen, ze een plan voor crisisbeheer en een bedrijfscontinuïteitsplan hebben, en ze beleid hebben over de taken, bevoegdheden en verantwoordelijkheden van personeelsleden.

Vraag 6

Zijn er noodscenarios klaar voor een situatie als deze? Zo ja, hoe zien die er uit? Zijn er draaiboeken en is er een back-up om de belangrijkste functies zoals onze watervoorziening, waterverdediging, ziekenhuizen, telefoonverbindingen, wifi en het betalingsverkeer weer zo snel als mogelijk van stroom te voorzien?

De primaire verantwoordelijkheid voor de continuïteit van hun processen ligt bij de organisaties zelf, ook bij verstoringen van het stroomnet. Eventuele (wettelijke) verplichtingen ten aanzien van de leveringszekerheid van diensten zijn opgenomen in sectorale wetgeving. Er is geen centraal overzicht van noodmaatregelen die bedrijven en organisaties nemen bij uitval van grootschalige stroomuitval.
Het Ministerie van Klimaat en Groene Groei is verantwoordelijkheid voor het Nationaal Crisisplan Elektriciteit (NCP-E). Dit NCP-E beschrijft wat de overheid en betrokken crisisorganisaties doen om de maatschappelijke impact bij een ernstige verstoring in de Nederlandse elektriciteitsvoorziening zoveel mogelijk te beperken. Komend anderhalf jaar wordt er gewerkt aan de actualisatie voor het crisisplan elektriciteit.
Tennet heeft een systeembeschermings- en herstelplan om na omvangrijke storingen een gecoördineerd en adequaat systeembeschermings- en herstelproces van het Nederlandse transmissiesysteem en/of de systeembalans mogelijk te maken. Daarnaast hebben de netbeheerders calamiteitenplannen. Deze plannen beschrijven de crisisorganisaties op zowel bestuurlijk als technisch operationeel niveau ten behoeve van de bestrijding en beheersing van een crisis in de elektriciteitsvoorziening. De Autoriteit Consument en Markt toetst deze plannen.

Vraag 7

Voor welke sectoren liggen draaiboeken klaar en zijn noodstroomvoorzieningen beschikbaar? Hoe lang duurt het om deze op te starten?

Zie antwoord vraag 6.

Vraag 8

Is de Nederlandse bevolking voldoende voorbereid op langdurig uitval van stroom? En zo nee, wat wordt er in gang gezet om ervoor te zorgen dat dat wel zo is?

De Nederlandse bevolking is in zekere mate voorbereid op stroomuitval. Deze voorbereiding is vooral gericht op kortdurende storingen. In Nederland is de afgelopen jaren minder aandacht besteed aan de gevolgen van langdurige stroomuitval. Op dit punt is de samenleving kwetsbaar.
Vanaf eind 2022 heeft de rijksoverheid via Denk Vooruit de risicocommunicatie over situaties van langdurige uitval, zoals stroom, drinkwater en internet geïntensiveerd. Hierbij is de hoofdboodschap dat de Nederlandse samenleving voorbereid moet zijn op 72 uur zelfredzaamheid. De dreigingen nemen toe en hulp kan langer op zich laten wachten. Deze boodschap wordt ondersteund door veiligheidsregio’s, gemeenten, bedrijven en maatschappelijke organisaties.
Specifiek voor stroomuitval staan op denkvooruit.nl ook uitgebreide handelingsperspectieven. In november 2024 is er in de tv-uitzending BlackOut op realistische wijze invulling gegeven aan het scenario van langdurige stroomuitval, de gevolgen ervan en hoe de Nederlandse samenleving hierop kan worden voorbereid. Onder andere het Ministerie van KGG, de NCTV en TenneT hebben inhoudelijk aan deze uitzending bijgedragen. Medio 2025 start een meerjarige publiekscampagne (rijksoverheid, andere overheden, bedrijven en maatschappelijke organisaties) om de maatschappelijke weerbaarheid bij langdurige uitval van dagelijkse voorzieningen (ongeacht de aard van de dreiging) verder te verhogen.

Vraag 9

Kunt u deze vragen beantwoorden vóór het commissiedebat Nationale veiligheid en weerbaarheid van de vaste commissie voor Justitie en Veiligheid op 15 mei 2025?

Ja.

Vraag 1

Bent u bekend met de berichtgeving «Ministeries getroffen door groot datalek» van BNR?1

Ja.

Vraag 2

Welke gegevens zijn er allemaal «weggelekt»?

Het gaat om persoonsgegevens die zijn opgenomen in de zogenoemde embedded metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 3

Hoe heeft het datalek kunnen ontstaan?

Het probleem ontstaat als een document bij de omzetting naar een publicatieformat niet goed is ontdaan van de betreffende metadata. Het opschonen van metadata is niet centraal ingeregeld, maar een intern proces van de departementen.

Vraag 4

Wanneer was u op de hoogte van het datalek bij uw ministerie?

We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media.

Vraag 5

Waarom heeft u de Kamer niet geïnformeerd over het datalek?

Het gaat hier helaas om een actief datalek. We bevinden ons nog in de eerste fase van de aanpak van het datalek. De werkwijze voor deze fase is gericht op het analyseren van de situatie (wat is er gebeurd, wat is de exacte omvang, hoe kan het worden opgelost) en het beperken van de schade. In de eerste fase wordt ook een inschatting gemaakt van de risico’s.
In dit geval was publicatie in het openbaar in deze fase – waaronder het informeren van uw Kamer – onwenselijk, omdat brede bekendheid van een actief lek kan leiden tot een vergroot risico op misbruik van persoonsgegevens. Ik betreur dan ook zeer dat deze informatie voortijdig naar buiten is gekomen. Ik zou uw Kamer uiteraard geïnformeerd hebben zodra er meer helderheid was over de omvang van het probleem en het lek was gedicht.

Vraag 6

Waarom moest de Kamer dit nieuws vernemen via de media?

Ik betreur het zeer dat deze informatie via de media naar buiten is gekomen. De aanpak van het lek was nog niet in het stadium om hiermee al naar buiten te treden. Zie ook het antwoord op vraag 5.

Vraag 7

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd?1

Ja. We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media. Het lek is geconstateerd bij alle ministeries.

Vraag 2

Klopt de berichtgeving dat deze datalekken een «privacyprobleem» betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Ja, het lek raakt de privacy van ambtenaren. Ambtenaren moeten zich veilig voelen om hun werk te kunnen doen, zonder daar in persoon op aangesproken te worden. Dit lek maakt het in sommige gevallen mogelijk om individuele ambtenaren te relateren aan bepaalde documenten. Dat is onwenselijk. Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Het gaat om persoonsgegevens die zijn opgenomen in de metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 4

Welke maatregelen zijn getroffen om deze datalekken tegen te gaan en is daarmee erger voorkomen?

De volgende maatregelen zijn getroffen:
In de meeste gevallen zijn dit soort maatregelen voldoende om de gevolgen van een datalek te beperken. Echter, in dit geval gaat het om een actief lek dat al breed bekend is vanwege de berichten hierover in de media. De gevolgen hiervan kunnen we op dit moment niet goed overzien. Ik wil daarom nogmaals benadrukken dat ik het zeer betreur dat deze informatie voortijdig naar buiten is gekomen.

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Nee, dit datalek is niet veroorzaakt door statelijke actoren. Het datalek is ontstaan doordat de metadata voor publicatie niet goed is ontdaan van de gegevens die zijn beschreven in het antwoord op vraag 3.

Vraag 1

Bent u bekend met het rapport «GenAI: naar een productievere en toekomstbestendige publieke sector», waarin wordt geconcludeerd dat tot wel 20 miljard euro belastinggeld bespaard kan worden door de inzet van generatieve AI?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Bent u ermee bekend dat in de publieke sector sprake is van een productiviteitsdaling, terwijl er tegelijkertijd 425.0000 vacatures openstaan? Deelt u de mening dat een uitdijende overheid met steeds meer ambtenaren geen houdbare oplossing is voor het verbeteren van dienstverlening?

De publieke sector kent vele sub-sectoren, met elk hun specifieke kenmerken. Voor een deel van die sectoren heeft mijn ministerie vorig jaar gerapporteerd over productiviteitstrends, die niet onverdeeld positief zijn, zo bleek bijvoorbeeld uit onderzoek bij veertien uitvoeringsorganisaties.2 Uit die studie kwam naar voren dat tussen de organisaties grote verschillen in productiviteitsgroei zijn. Wel blijkt dat de productiviteitsstijging bij de betrokken uitvoeringsorganisaties tot 2021 nauwelijks onderdeed voor de marktsector.
Ik acht het desondanks zinvol om te inventariseren waar winst te behalen valt in efficiency en effectiviteit door inzet van (generatieve) AI in de dienstverlenende werkprocessen. Dit zal in het kader van de uitwerking van de Nederlandse Digitaliseringstrategie (NDS) verder worden verkend.
Dat sprake zou zijn van een «uitdijende overheid» heeft onder andere te maken met het feit dat voor steeds meer en steeds complexere vraagstukken een beroep wordt gedaan op de overheid. Uiteraard wordt altijd gekeken welke taken daadwerkelijk opgepakt dienen te worden en hoe die zo efficiënt mogelijk kunnen worden vervuld. Het digitaliseringsbeleid dat momenteel wordt vormgegeven, is dan ook mede gericht op de vraag hoe de overheid doeltreffend en zo efficiënt mogelijk een antwoord kan bieden op de complexe vraagstukken die de komende jaren op ons afkomen. Hierbij is – onder meer in het kader van de NDS – ook aandacht voor de rol die (generatieve) AI daarin kan spelen.
Dat momenteel sprake zou zijn van 425.0000 vacatures is niet geheel correct. Dit aantal betreft een prognose van BGC voor het jaar 2033. Dat er sprake is van toenemende krapte op de arbeidsmarkt wordt breed erkend. Dit is, los van de precieze aantallen, een goede reden om serieus te kijken naar de mogelijkheden van generatieve AI in de optimalisatie van onze bedrijfsprocessen.

Vraag 3

Ziet u dat het gebruik van generatieve AI kansen biedt voor betere dienstverlening, meer werkplezier en een oplossing kan zijn van het personeelstekort? Hoe beoordeelt u de conclusie van de onderzoekers dat inzet van Generatieve AI 255.000 tot 465.000 voltijdbanen kan opleveren? Hoeveel belastinggeld kan bespaard worden door de inzet van AI?

Ja, ik zie dat hier kansen liggen.
Betere dienstverlening kent ten minste twee aspecten: snelheid van dienstverlening c.q. efficiëntie, én inhoudelijke kwaliteit van de dienstverlening. Het rapport wijst hier ook op. Het is van belang dat bij ontwikkeling van AI-systemen niet alleen gekeken wordt naar snelheid en kostenreductie, maar ook naar inhoudelijke kwaliteit. De ontwikkelingen binnen generatieve AI lijken op beide punten veelbelovend. Er is wel sprake van een gemengd beeld. Lang niet elke vorm van AI leidt daadwerkelijk tot betere prestaties. Dit is mede afhankelijk van de aard van de werkzaamheden. Recent onderzoek wijst erop dat «human-AI collaboration», waarbij mensen en artificieel intelligente systemen samenwerken, een wisselend beeld laat zien, met zelfs productiviteitsverlies bij taken waarin «besluitvorming» de kern van de werkzaamheden vormt.3
Bij de vraag of AI bijdraagt aan hogere productiviteit is dus van belang dat gericht wordt geïnvesteerd, en vanuit het besef dat innovaties rondom productiviteit zich soms pas op de langere termijn terugbetalen.
Het is zinvol te verkennen waar nog winst te halen valt in termen van efficiëntie en effectiviteit door inzet van (generatieve) AI in de dienstverlenende werkprocessen én bij beleidsontwikkeling. Die mogelijkheden verken ik ook al in het kader van de NDS. Deze vormt het fundament onder het digitaliseringsbeleid van de overheid.
Meer werkplezier is een belangrijke factor in het aantrekken en binden van goede medewerkers. Ik stond hier al bij stil in mijn verkenning van de motie Van Der Werf (mei 2024).4 Deze motie roept het kabinet op om tot een handreiking te komen voor gemeenten en andere overheden om werkplezier met behulp van AI te bevorderen en werkdruk te verminderen. De uitwerking van deze motie is opgenomen in de verzamelbrief digitalisering van het eerste kwartaal van dit jaar.5
Daarbij is het vooruitzicht van een steeds krapper aanbod aan (talentvolle) werkenden in de toekomst, waarbij ook de overheid wedijvert om het schaarser wordend arbeidspotentieel, één van de belangrijke reden om na te denken over de inzet van nieuwe technologieën. Dit thema is ook onderwerp van de adviesaanvraag aan de Sociaal-Economische Raad (SER), die het vorige kabinet heeft ingediend.6 Daarin is expliciet de vraag gesteld welke mogelijkheden de SER ziet om productiviteitsgroei door toepassing van AI te bevorderen. Dit SER-advies wordt later dit voorjaar verwacht.
De vraag hoeveel belastinggeld bespaard kan worden door de inzet van Generatieve AI is een kwestie die, in het licht van mijn opmerkingen over de werkgelegenheidseffecten, niet eenduidig te beantwoorden is – al is evident dat toegenomen efficiency in processen inderdaad bij kan dragen aan doelmatiger inzet van belastinggeld en eventueel kan leiden tot aanzienlijke besparingen.

Vraag 4

Op welke manieren experimenteert de overheid met het gebruik van generatieve AI? Op welke manier wordt al op schaal productiviteitsgroei gerealiseerd door generatieve AI?

Binnen (decentrale) overheden wordt al enige tijd geëxperimenteerd met de inzet van generatieve AI. Voorbeelden zijn (interne) AI-chatbots die interne overheidsinformatie gemakkelijker vindbaar maken, AI-toepassingen die worden ingezet voor metadata-extractie, of AI-toepassingen die als ondersteuning worden ingezet bij bezwaarschrift- of WOO-procedures.7 Zie in dat kader ook de verzamelbrief van 18 december 2024 waarin wordt ingegaan op al lopende generatieve AI pilots.8
Het streven is deze verspreide initiatieven te bundelen. Daarbij is van belang dat innovatie gezamenlijk door overheidsorganisaties en meerdere bestuurslagen wordt opgepakt. Hierbij zie ik nog veel kansen om op te treden als één digitale overheid. Door zo, waar kansrijk, op te schalen zorgen wij voor minder versnippering en serieuze efficiencywinst. Voor dit opschalingsvraagstuk zal ik in de NDS aandacht hebben.
In hoeverre nu al productiviteitsgroei wordt bereikt, is momenteel nog lastig te kwantificeren. De meeste, veelal recente experimenten zijn nog niet geëvalueerd op hun effect. De Algemene Rekenkamer geeft in het eerder genoemde rapport Productiviteit in perspectief overigens aan dat productiviteitsgroei soms op gespannen voet kan staan met de kwaliteit van de dienstverlening. Sneller is niet altijd beter, en soms in tegendeel.9 Dit zal onderdeel moeten zijn van de evaluatie van de diverse experimenten.

Vraag 5

Welke lessen trekt u uit het gebruik van generatieve AI door overheden in andere landen? Kunt u aangeven welke lessen Nederland trekt uit de in het rapport genoemde voorbeelden zoals «Albert», het Franse AI-systeem waarmee taken geautomatiseerd worden en ambtenaren minder tijd kwijt met het vinden van informatie?

Uiteraard volgen wij de ontwikkelingen, ook in het buitenland. Albert is een mooi voorbeeld van AI-innovatie binnen de Franse overheid. Ook in de Nederlandse context wordt gewerkt aan AI-assistenten, die ambtenaren in hun werk kunnen inzetten. Een recent bijvoorbeeld komt van de Vereniging voor Nederlandse Gemeenten (VNG), die aankondigde – mede via een financiering van BZK – een AI-assistent te ontwikkelen.10

Vraag 6

Welke lessen trekt u uit het gebruik van generatieve AI in de private sector? Deelt u de mening dat het reëel is dat de productiviteitsgroei in de private sector in komende jaren veel hoger ligt door adaptatie van generatieve AI? Hoe zorgt u ervoor dat de publieke sector niet achterblijft?

In mijn beantwoording van vraag 2 stond ik al stil bij de wisselende snelheden in de ontwikkeling van de productiviteit. De private en publieke sector zijn daarbij niet altijd gemakkelijk met elkaar te vergelijken.11 Wat ik meeneem uit het onderzoek, is dat de markt laat zien dat adaptatie van generatieve AI grote kansen biedt. Die kansen ben ik ook al volop aan het verkennen (zie ook beantwoording vraag 4), om waar mogelijk ook in de sector overheid productiviteitswinst te boeken. Daarin nemen we ook relevante inzichten uit de private sector mee, bijvoorbeeld via betrokkenheid bij de publiek-private samenwerking van de Nederlandse AI Coalitie, AI4NL.

Vraag 7

Deelt u de conclusie dat de risico’s van het gebruik van generatieve AI beperkt kunnen worden door te zorgen dat er altijd mensen meekijken?

Ja, menselijk toezicht is inderdaad één van de mogelijkheden om de risico’s van generatieve AI te mitigeren. De Europese AI-verordening – die in augustus 2024 in werking is getreden – vereist dan ook dat er een vorm van menselijk toezicht wordt gehouden op hoog risico AI-systemen. Het is aannemelijk dat meerdere toepassingen vanuit de overheid kwalificeren als hoog risico als bedoeld in bijlage III bij de Verordening. Bij de ontwikkeling van nieuwe technologieën zal uiteraard rekening worden gehouden met de eisen die vanuit de Verordening en andere relevante regelgeving worden gesteld. Via de binnenkort te verschijnen overheidsbrede handreiking generatieve AI en het daarbij behorende standpunt krijgen organisaties ondersteuning bij het op verantwoorde wijze inrichten van de inzet van generatieve AI binnen hun organisaties. Menselijk toezicht is hierbij een belangrijk aspect. Deze overheidsbrede handreiking komt later in april uit.

Vraag 8

Bent u bereid aan de slag te gaan met vijf mogelijke pioniergebieden die als kansrijk worden aangewezen voor de inzet van AI? Kunt u per pionier aangeven waarom wel of niet?

In het algemeen is het verstandig om verschillende activiteiten te bundelen om synergie en zo mogelijk schaalvoordelen te bereiken. Prioriteren naar sectoren of processen is daarom zinvol, waarbij gekeken zal worden welke het meeste potentieel hebben. Of dit noodzakelijkerwijs de in het rapport genoemde pioniersgebieden moeten zijn, valt te bezien. In sommige van die pioniersgebieden ligt de verantwoordelijkheid primair bij de sectoren zelf. Wel wil ik als coördinerend bewindspersoon regie voeren op de keuze van de prioritaire sectoren.

Vraag 9

Op welke manier werkt zowel Europese als Nederlandse regelgeving nu de inzet van generatieve AI tegen? Bent u bereid onnodige drempels weg te halen?

Om de kansen te verzilveren die generatieve AI biedt, is het nodig om aandacht te hebben voor zowel normregulering als het aanjagen van innovatiekracht. Via onder meer de Europese AI-verordening – die geldt in alle EU-lidstaten – is er een eenduidig juridisch kader dat de ontwikkeling en het gebruik van betrouwbare en veilige (generatieve) AI-systemen bevordert. Specifiek voor de inzet van generatieve AI kom ik nog in april met een herijkt, overheidsbreed standpunt, waarin ik meer ruimte bied voor de mogelijkheden die deze technologie overheden biedt. Via de NDS zet ik daarnaast in op het versterken van de innovatiekracht bij de overheid met behulp van (generatieve) AI – zeker ook om drempels rondom bijvoorbeeld opschaling weg te nemen.
Het kabinet streeft daarbij naar een evenwichtige benadering: enerzijds willen we onnodige belemmeringen wegnemen om innovatie te stimuleren, en anderzijds zorgen dat er een solide en flexibel (Europees) regelgevend kader bestaat dat de veiligheid en betrouwbaarheid van AI waarborgt. De regelgeving is mede bedoeld om nieuwe technologieën op een verantwoorde wijze te introduceren en een aantal belangrijke maatschappelijke waarden te beschermen. Evenwichtige regelgeving is essentieel, en biedt duidelijkheid aan ontwikkelaars binnen welke kaders zij nieuwe technologieën kunnen ontwikkelen.

Vraag 10

Vindt u dat de geschetste randvoorwaarden voor de inzet van AI in Nederland nu in orde zijn? Zo nee, welke stappen zet u om hiervoor te zorgen?

Ik vind dat de randvoorwaarden voor effectief, efficiënt en verantwoord gebruik van (generatieve) AI vooralsnog goed zijn ingevuld. Het BGC-rapport noemt een aantal randvoorwaarden voor succes: duidelijkheid op het gebied van wetgeving, technologie, training en beeldvorming om generatieve AI veilig en effectief in te zetten. De overheid investeert op al deze punten.
Zo wordt actief meegedacht over (de implementatie van) evenwichtige en consistente wetgeving, die ontwikkelaars duidelijkheid biedt in de juridische en ethische kaders waarbinnen zij artificieel intelligente systemen kunnen ontwikkelen. Denk hierbij bijvoorbeeld aan de implementatie van de AI-verordening, waarin BZK een actieve rol speelt en via onder meer kennisproducten (mede)overheden ondersteunt bij de implementatie.12 Die kaders gelden uiteraard ook voor de overheid als (mede-)ontwikkelaar van nieuwe technologieën. Overheden kunnen voor een overzicht van de bestaande wet- en regelgeving rondom de verantwoorde inzet van AI terecht bij het algoritmekader.13
Voor wat betreft de investeringen in nieuwe technologieën verwijs ik naar mijn antwoord op vraag 4. Daarnaast wordt er fors geïnvesteerd in een moderne digitale werkomgeving waarbij de ambtenaar is toegerust met de juiste middelen om haar werk effectief uit te voeren.
Effectief gebruik van (generatieve) AI vergt digitale vaardigheden van ambtenaren. We zullen de komende jaren fors investeren in digitaal vakmanschap. Dit niet alleen met het oog op de vereisten in artikel 4 van de AI Verordening met betrekking tot «AI geletterdheid», maar ook met het oog op het vakmanschap van de ambtenaar. Hiertoe wordt een personeelsstrategie voor digitalisering ontwikkeld, waarmee we bepalen welke kennis we in huis moeten hebben en uit de markt halen. Hiermee kunnen we gerichter werven, omscholen en onderwijs ontwikkelen op basis van technologische innovaties. Voorts nemen we meer regie op de ontwikkeling van digitaliseringskennis van ambtenaren en zorgen we voor opschaling en samenhang van de centrale pools voor digitaliseringsprofessionals. ICT-kennis wordt actief gedeeld en efficiënter ingezet. Meer specifiek kan worden gewezen op de Rijksacademie voor Digitalisering en Informatisering Overheid.14

Vraag 11

Welke langetermijndoelen stelt de overheid voor het gebruik van AI?

Laat ik vooropstellen dat ik het van groot belang vind dat de overheid – evenals burgers en bedrijven – de vruchten kan plukken van deze veelbelovende technologie. Ik wil er de komende jaren voor zorgen dat we als één overheid stappen zetten bij de adoptie van AI, zonder daarbij naïef te zijn. We moeten deze technologie omarmen, omdat zij veel kansen biedt voor allerlei (grote) maatschappelijke opgaven waarvoor we als overheid staan.
Op de precieze uitwerking van de lange-termijndoelen met betrekking tot de inzet van AI bij de overheid kom ik later dit voorjaar terug in de NDS.

Vraag 12

Op welke manier worden ambtenaren nu gestimuleerd om effectiever te werken door inzet van AI? Hoe wordt dit gestimuleerd op de dagelijkse werkvloer? Vindt u dat extra stappen hier nodig zijn?

Ik verwijs u voor de beantwoording van deze vraag graag naar vraag 10. Hierin sta ik al stil op de manieren waarop ambtenaren worden ondersteund bij het gebruik van AI.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1 Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat het UWV en de SVB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Vraag 8

Hoe geven uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon»5 van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1

Vraag 2

Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 3

Kunt u bevestigen dat Dienst Uitvoering Onderwijs (DUO), die Business News Radio (BNR) met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Vraag 4

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen, die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 5

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DUO en andere overheidsorganisaties onder uw gezag betreft?

Vraag 6

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties?

Vraag 7

Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving?

Vraag 8

Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 9

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DUO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners?

Vraag 10

Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 11

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie van het lid Kathmann c.s. die hiertoe oproept?3

Vraag 12

Hoe geven uw departement, DUO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie van het lid Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Vraag 13

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 14

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni 2025?5

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat Rijkswaterstaat, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Vraag 8

Hoe geven uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst (IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Vraag 8

Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643-1315] die hiertoe oproept?

Vraag 8

Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?

Vraag 10

Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat Logius, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt?2 Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Logius en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Logius en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. die hiertoe oproept?3

Vraag 8

Hoe geven uw departement, Logius en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni a.s.?5

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat de KvK, het CBS en de RVO, die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Vraag 8

Hoe geven uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 26 643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u de ACM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?1

Vraag 2

Kunt u bevestigen dat het RIVM, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het RIVM en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het RIVM en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het RIVM en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643-1315) die hiertoe oproept?

Vraag 8

Hoe geven uw departement, het RIVM en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643–1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het RIVM en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u de Nederlandse Zorgautoriteit (NZa), als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Vraag 1

Heeft u kennisgenomen van de stroomstoring in Spanje en Portugal van maandag 28 april?

Ja.

Vraag 2

Hoe reëel is het dat een stroomstoring van deze magnitude ook in Nederland zal plaats vinden?

De grote stroomstoring in Spanje en Portugal op maandag 28 april betrof een zogenaamde black-out. Deze storing trof naast deze twee landen ook een gedeelte van Frankrijk. Een dergelijke grootschalige black-out komt in Europa slechts eens in de 10 à 20 jaar voor. In 2003 is Italië getroffen en in 2015 Turkije. In 2024 hebben drie landen in de Balkan hiermee te maken gehad. Een stroomuitval van deze omvang kan ook in Nederland plaatsvinden. De kans op een dergelijke stroomuitval van dit type acht het kabinet gering.

Vraag 3

Hoe goed is ons stroomnet beschermd?

De Minister van Klimaat en Groene Groei is beleidsverantwoordelijkheid voor de leveringszekerheid van energie. De netbeheerders zijn wettelijk verplicht om de leveringszekerheid van elektriciteit te bewaken en te bevorderen. Het Ministerie van KGG werkt samen met TenneT en de regionale netbeheerders doorlopend aan de continuïteit van het elektriciteitsnetwerk.
Ons energiesysteem wordt beschermd door een robuust ontwerp, redundantie, de aanwezigheid van voldoende herstelcapaciteit en interconnectie met de ons omringende landen. Het brede scala aan maatregelen heeft ertoe geleid dat het Nederlandse elektriciteitssysteem de afgelopen jaren één van de betrouwbaarste energiesystemen ter wereld is geweest, met een gemiddelde betrouwbaarheid van 99.99%. Voor de herstart van het elektriciteitssysteem na een grootschalige black-out beschikt Nederland over speciale voorzieningen.

Vraag 4

Wat zijn de grootste systeemrisico’s die Nederland kent als het gaat om grootschalige uitval van stroom, water, internet en het betaalverkeer? Waar zal de samenleving naar verwachting het zwaarst geraakt worden?

Stroom en internet zijn dusdanig essentieel en verbonden met andere onderdelen in de samenleving dat een stroomstoring grote impact kan hebben op de samenleving. De impact van grootschalige stroomuitval of uitval van data- en communicatienetwerken is groot en raakt meerdere vitale processen. Grootschalige uitval van drinkwater heeft directe impact op huishoudens, de industrie en ziekenhuizen, en kan de operatie van veel andere processen zoals levensmiddelen beïnvloeden. Ook het betaalverkeer is afhankelijk van internet en elektriciteit. Langdurige uitval van het betaalverkeer kan leiden tot grote maatschappelijke onrust en economische ontwrichting. Bijvoorbeeld omdat men geen betalingen kan doen in winkels, doordat er geen geld meer uit de geldautomaat komt en omdat dergelijke uitval kan leiden tot verstoring van andere vitale processen zoals het effectenverkeer. Contant geld vervult tevens een belangrijke rol als terugvaloptie voor elektronisch betaalverkeer.
Verantwoordelijke vakdepartementen en vitale aanbieders voeren risicobeoordelingen uit als onderdeel van de Versterkte Aanpak Vitaal.1 Hierbij is er specifiek aandacht voor de intersectorale afhankelijkheden, waarmee risico’s inzichtelijk gemaakt worden zodat er passende maatregelen kunnen worden genomen.

Vraag 5

Wat zullen de invoering van de Cyberbeveiligingswet (NIS2 (Network and Information Security directive)) en de Wet weerbaarheid kritieke entiteiten (CER (Critical Entities Resilience Directive)-richtlijn) in de praktijk betekenen voor het risico op en de impact van storingen van deze magnitude?

De implementatie van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) zijn onderdeel van de Versterkte Aanpak Vitaal. Onderdeel van deze Versterkte Aanpak Vitaal is een cyclus van risicoanalyses en actieprogramma’s uitgevoerd door de verantwoordelijke vakdepartementen voor hun sectoren, waaronder ook de energiesector, ten behoeve van het nemen van weerbaarheidsverhogende maatregelen voor vitale aanbieders en processen. Daarbij is er ook aandacht voor risico’s die samenhangen met intersectorale afhankelijkheden.
Met de invoering van de Cbw en de Wwke worden de risicobeoordelingen en de te nemen maatregelen dwingender van karakter en worden alle kritieke entiteiten (vitale aanbieders) verplicht om hun kwetsbaarheden te minimaliseren en de continuïteit van hun essentiële diensten (vitale processen) te waarborgen. In de praktijk betekent dit onder andere dat deze entiteiten hun gebouwen, kritieke infrastructuur en netwerk- en informatiesystemen (fysiek) beschermen, ze een plan voor crisisbeheer en een bedrijfscontinuïteitsplan hebben, en ze beleid hebben over de taken, bevoegdheden en verantwoordelijkheden van personeelsleden.

Vraag 6

Zijn er noodscenarios klaar voor een situatie als deze? Zo ja, hoe zien die er uit? Zijn er draaiboeken en is er een back-up om de belangrijkste functies zoals onze watervoorziening, waterverdediging, ziekenhuizen, telefoonverbindingen, wifi en het betalingsverkeer weer zo snel als mogelijk van stroom te voorzien?

De primaire verantwoordelijkheid voor de continuïteit van hun processen ligt bij de organisaties zelf, ook bij verstoringen van het stroomnet. Eventuele (wettelijke) verplichtingen ten aanzien van de leveringszekerheid van diensten zijn opgenomen in sectorale wetgeving. Er is geen centraal overzicht van noodmaatregelen die bedrijven en organisaties nemen bij uitval van grootschalige stroomuitval.
Het Ministerie van Klimaat en Groene Groei is verantwoordelijkheid voor het Nationaal Crisisplan Elektriciteit (NCP-E). Dit NCP-E beschrijft wat de overheid en betrokken crisisorganisaties doen om de maatschappelijke impact bij een ernstige verstoring in de Nederlandse elektriciteitsvoorziening zoveel mogelijk te beperken. Komend anderhalf jaar wordt er gewerkt aan de actualisatie voor het crisisplan elektriciteit.
Tennet heeft een systeembeschermings- en herstelplan om na omvangrijke storingen een gecoördineerd en adequaat systeembeschermings- en herstelproces van het Nederlandse transmissiesysteem en/of de systeembalans mogelijk te maken. Daarnaast hebben de netbeheerders calamiteitenplannen. Deze plannen beschrijven de crisisorganisaties op zowel bestuurlijk als technisch operationeel niveau ten behoeve van de bestrijding en beheersing van een crisis in de elektriciteitsvoorziening. De Autoriteit Consument en Markt toetst deze plannen.

Vraag 7

Voor welke sectoren liggen draaiboeken klaar en zijn noodstroomvoorzieningen beschikbaar? Hoe lang duurt het om deze op te starten?

Zie antwoord vraag 6.

Vraag 8

Is de Nederlandse bevolking voldoende voorbereid op langdurig uitval van stroom? En zo nee, wat wordt er in gang gezet om ervoor te zorgen dat dat wel zo is?

De Nederlandse bevolking is in zekere mate voorbereid op stroomuitval. Deze voorbereiding is vooral gericht op kortdurende storingen. In Nederland is de afgelopen jaren minder aandacht besteed aan de gevolgen van langdurige stroomuitval. Op dit punt is de samenleving kwetsbaar.
Vanaf eind 2022 heeft de rijksoverheid via Denk Vooruit de risicocommunicatie over situaties van langdurige uitval, zoals stroom, drinkwater en internet geïntensiveerd. Hierbij is de hoofdboodschap dat de Nederlandse samenleving voorbereid moet zijn op 72 uur zelfredzaamheid. De dreigingen nemen toe en hulp kan langer op zich laten wachten. Deze boodschap wordt ondersteund door veiligheidsregio’s, gemeenten, bedrijven en maatschappelijke organisaties.
Specifiek voor stroomuitval staan op denkvooruit.nl ook uitgebreide handelingsperspectieven. In november 2024 is er in de tv-uitzending BlackOut op realistische wijze invulling gegeven aan het scenario van langdurige stroomuitval, de gevolgen ervan en hoe de Nederlandse samenleving hierop kan worden voorbereid. Onder andere het Ministerie van KGG, de NCTV en TenneT hebben inhoudelijk aan deze uitzending bijgedragen. Medio 2025 start een meerjarige publiekscampagne (rijksoverheid, andere overheden, bedrijven en maatschappelijke organisaties) om de maatschappelijke weerbaarheid bij langdurige uitval van dagelijkse voorzieningen (ongeacht de aard van de dreiging) verder te verhogen.

Vraag 9

Kunt u deze vragen beantwoorden vóór het commissiedebat Nationale veiligheid en weerbaarheid van de vaste commissie voor Justitie en Veiligheid op 15 mei 2025?

Ja.

Vraag 1

Welke concrete kansen en risico’s ziet u vanuit emancipatieperspectief met betrekking tot het ontwikkelen en gebruiken van AI en algoritmen in zowel individuele als publieke- en private toepassingen?

Vraag 2

Deelt u de verwachting dat AI-systemen in Nederland genderbias en discriminatie kunnen versterken?

Vraag 3

Hoe ziet u er op toe dat het toenemende gebruik van AI-toepassingen en algoritmes bij publieke- en private organisaties genderbias en discriminatie niet versterken en kunt u dwingend optreden als dit wel het geval is?

Vraag 4

Welke lessen omtrent genderbias en discriminatie neemt u concreet mee uit eerdere toepassingen van AI-systemen?

Vraag 5

Hoe worden deze lessen betrokken bij de beleidsontwikkeling op het gebied van AI-gebruik binnen de overheid?

Vraag 6

Hoe zorgt u ervoor dat de kennis over de impliciete discriminatoire werking van AI-toepassingen en algoritmen binnen de overheid blijft groeien?

Vraag 7

Op welke wijze worden de adviezen van de expertgroep Kunstmatige Intelligentie (2019) meegenomen in de huidige en toekomstige werkwijze en beleidsontwikkeling van het kabinet? Kunt u dit per advies toelichten?

Vraag 8

Welke concrete maatregelen kunt u nemen om de kwaliteit en representativiteit van trainingsdata voor AI te doen toenemen en bent u van plan dit te normeren en reguleren?

Vraag 9

Op welke manier gaat u zich inzetten om ongelijkheden bij het gebruik van AI-systemen te voorkomen en wat vraagt dit van de samenwerking van Nederland met de andere EU-lidstaten?

Vraag 10

Wat is de rol van Nederland in het ontwikkelen van ethische en niet-discriminatoire AI-systemen en hoe gaat u hier richting aan geven bij de ontwikkelingen rondom de nationale AI-fabriek?

Vraag 11

Welke expertise betrekt u bij de ontwikkeling van de nationale AI-fabriek om te waarborgen dat Nederlandse AI-modellen voldoen aan wettelijke en ethische kaders en welke wettelijke en ethische kaders stelt u daaraan?

Vraag 12

Stelt de overheid zelf proactief betrouwbare en representatieve data beschikbaar voor het ontwikkelen van ethische AI-toepassingen door Nederlandse en Europese leveranciers? Zo ja, kunt u toelichten om welke data het gaat?

Vraag 13

Op welke manier bent u van plan om de Routekaart voor Vrouwenrechten toe te passen in het nationaal beleid?

Vraag 14

Hoe rijmen de voorgenomen bezuinigingen op het gebied van emancipatie met de groeiende uitdagingen met betrekking tot vrouwenrechten en rechten van lhtbiqia+ personen?

Vraag 15

Op welke manier verwacht u dat de Routekaart voor Vrouwenrechten gaat bijdragen aan gendergelijkheid in de Europese lidstaten die achterlopen op het Europees gemiddelde?

Vraag 16

Deelt u de zorgen dat gendergelijkheid in enkele EU-lidstaten, waaronder Hongarije en Polen, steeds verder achterop raakt?

Vraag 17

Bent u het ermee eens dat de situatie van Roma in de EU zorgwekkend is?

Vraag 18

Zou u nader kunnen toelichten in hoeverre de huidige beleidsmaatregelen ter bevordering van de gelijkheid, inclusie en participatie van de Roma en Sinti effectief is gebleken?

Vraag 19

Zou u tevens nader kunnen toelichten in hoeverre verdere inspanningen vereist zijn ter bevordering van de gelijkheid, inclusie en participatie van de Roma en Sinti?

Vraag 20

Zou u nader kunnen toelichten welke concrete maatregelen u neemt om de weerbaarheid van jonge mannen te vergroten met betrekking tot desinformatie en schadelijke wereldbeelden, zoals die gedeeld worden in de «manosphere»?

Vraag 21

Welke bewezen effectieve methoden zijn er om online radicalisering te voorkomen?

Vraag 22

Met welke publieke- en private partners werkt u samen om deze methoden toe te passen en jonge mannen handvatten te bieden in de online wereld?

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met het artikel getiteld «Online oplichting in Nederland stijgt schrikbarend: 2,4 miljoen slachtoffers»?1

Vraag 2

Deelt u de mening dat het feit dat het aantal slachtoffers van online oplichting in Nederland is gestegen tot maar liefst 2,4 miljoen schrikbarend is? Zo ja, waarom? Zo nee, waarom niet?

Vraag 3

Kunt u verklaren hoe het komt dat vooral jongeren hierbij vaker getroffen worden dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers?

Vraag 4

Kunt concreet aangeven welke concrete maatregelen er de afgelopen twee jaar genomen zijn om online oplichting tegen te gaan? Kunt u per maatregel aangeven wat het effect daarvan had moeten zijn op het tegengaan van die oplichting en wat het effect in de praktijk was?

Vraag 5

Is het waar dat slachtoffers van online oplichting zich vaak onvoldoende geholpen voelen door politie en justitie? Zo ja, hoe komt dat en wat wordt er gedaan om dit vertrouwen te herstellen? Zo nee, wat is er dan niet waar?

Vraag 6

Wordt er vanuit de justitiële autoriteiten effectief samengewerkt met banken, online platforms en telecomaanbieders om oplichting te voorkomen en snel op te treden bij signalen van fraude? Waar bestaat die samenwerking concreet uit en waaruit blijkt dat die samenwerking effectief is? Acht u het nodig die samenwerking te intensiveren en op welke wijze gaat u dat doen?

Vraag 7

Hoe vaak hebben slachtoffers van online oplichting in 2024 een verzoek gedaan bij de banken om via de PNBF-regeling terugbetaling te vorderen van hun oplichters? En hoe vaak hebben zij bij weigering hiervan de NAW-gegevens van hun oplichters opgevraagd en gekregen?

Vraag 8

Kunt u aangeven hoe gevolg is gegeven aan motie-Mutluer2 waarbij is gevraagd om in samenspraak met Betaalvereniging Nederland en de Nederlandse Vereniging van Banken de PNBF-regeling bekender te maken en uit te bereiden naar paymentserviceproviders?

Vraag 9

Deelt u de mening dat de bestrijding van online oplichting meer prioriteit zou moeten krijgen binnen het justitie- en veiligheidsdomein? Zo ja, worden er in dat licht meer capaciteit en middelen vrij gemaakt voor de opsporing en vervolging van digitale fraude en online oplichting? Zo nee, waarom niet?

Vraag 10

Welke rol ziet u voor het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC) en andere instanties in de aanpak van deze problematiek?

Vraag 1

Bent u bekend met de berichtgeving «Ministeries getroffen door groot datalek» van BNR?1

Ja.

Vraag 2

Welke gegevens zijn er allemaal «weggelekt»?

Het gaat om persoonsgegevens die zijn opgenomen in de zogenoemde embedded metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 3

Hoe heeft het datalek kunnen ontstaan?

Het probleem ontstaat als een document bij de omzetting naar een publicatieformat niet goed is ontdaan van de betreffende metadata. Het opschonen van metadata is niet centraal ingeregeld, maar een intern proces van de departementen.

Vraag 4

Wanneer was u op de hoogte van het datalek bij uw ministerie?

We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media.

Vraag 5

Waarom heeft u de Kamer niet geïnformeerd over het datalek?

Het gaat hier helaas om een actief datalek. We bevinden ons nog in de eerste fase van de aanpak van het datalek. De werkwijze voor deze fase is gericht op het analyseren van de situatie (wat is er gebeurd, wat is de exacte omvang, hoe kan het worden opgelost) en het beperken van de schade. In de eerste fase wordt ook een inschatting gemaakt van de risico’s.
In dit geval was publicatie in het openbaar in deze fase – waaronder het informeren van uw Kamer – onwenselijk, omdat brede bekendheid van een actief lek kan leiden tot een vergroot risico op misbruik van persoonsgegevens. Ik betreur dan ook zeer dat deze informatie voortijdig naar buiten is gekomen. Ik zou uw Kamer uiteraard geïnformeerd hebben zodra er meer helderheid was over de omvang van het probleem en het lek was gedicht.

Vraag 6

Waarom moest de Kamer dit nieuws vernemen via de media?

Ik betreur het zeer dat deze informatie via de media naar buiten is gekomen. De aanpak van het lek was nog niet in het stadium om hiermee al naar buiten te treden. Zie ook het antwoord op vraag 5.

Vraag 7

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd?1

Ja. We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media. Het lek is geconstateerd bij alle ministeries.

Vraag 2

Klopt de berichtgeving dat deze datalekken een «privacyprobleem» betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Ja, het lek raakt de privacy van ambtenaren. Ambtenaren moeten zich veilig voelen om hun werk te kunnen doen, zonder daar in persoon op aangesproken te worden. Dit lek maakt het in sommige gevallen mogelijk om individuele ambtenaren te relateren aan bepaalde documenten. Dat is onwenselijk. Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Het gaat om persoonsgegevens die zijn opgenomen in de metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 4

Welke maatregelen zijn getroffen om deze datalekken tegen te gaan en is daarmee erger voorkomen?

De volgende maatregelen zijn getroffen:
In de meeste gevallen zijn dit soort maatregelen voldoende om de gevolgen van een datalek te beperken. Echter, in dit geval gaat het om een actief lek dat al breed bekend is vanwege de berichten hierover in de media. De gevolgen hiervan kunnen we op dit moment niet goed overzien. Ik wil daarom nogmaals benadrukken dat ik het zeer betreur dat deze informatie voortijdig naar buiten is gekomen.

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Nee, dit datalek is niet veroorzaakt door statelijke actoren. Het datalek is ontstaan doordat de metadata voor publicatie niet goed is ontdaan van de gegevens die zijn beschreven in het antwoord op vraag 3.

Vraag 1

Bent u bekend met het bericht van de Consumentenbond «Tieneraccounts maken Instagram niet direct «veilig»»1?

Vraag 2

Deelt u de conclusies van het onderzoek? Kunt u afzonderlijk in gaan op de conclusies van de Consumentenbond?

Vraag 3

Wat is uw reactie op de problemen die de Consumentenbond schetst rondom schermverslaving, een negatief zelfbeeld, en continue privacyschending door Instagram?

Vraag 4

Zijn de conclusies van het Consumentenbond-onderzoek voor u aanleiding om Meta aan te spreken op haar verantwoordelijkheid om jongeren daadwerkelijk te beschermen? Indien Meta «tieneraccounts» niet daadwerkelijk veilig maakt, welke gevolgen moet dat wat u betreft hebben?

Vraag 5

Deelt u de mening van de indiener dat de online gezondheid van jongeren niet aan techgiganten moet worden overgelaten, maar een verantwoordelijkheid is van deskundigen en de overheid?

Vraag 6

Welke verslavende ontwerpkeuzes kent Instagram? Kunt u deze op basis van onderzoek benoemen?

Vraag 7

Vindt u dat een Digitale Kijkwijzer voor sociale media, die de vertrouwde methodiek volgt van het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM), een effectieve methode zou zijn om verslavende ontwerpkeuzes te onderzoeken en gebruikers te behoeden voor de gezondheidsrisico’s daarvan?

Vraag 8

Deelt u de mening dat het adverteren van een «tieneraccount» dat niet daadwerkelijk doet wat het belooft een vorm van schijnveiligheid biedt, en daarmee jongeren en ouders verkeerd informeert?

Vraag 9

Erkent u dat het commerciële belang van techbedrijven om zo lang mogelijk de aandacht van een gebruiker te trekken, fundamenteel in strijd is met de belangen van (mentale) gezondheid en online veiligheid?

Vraag 10

Vindt u het uitlegbaar dat techbedrijven überhaupt zelf de voorwaarden voor een tieneraccount mogen stellen, nu blijkt dat het niet doet wat het belooft en de belangen in de kern tegenstrijdig zijn?

Vraag 11

Is de voorwaarde dat ouders zelf ook een Instagram-account moeten hebben om een tieneraccount in te stellen redelijk volgens u? Wat betekent dit voor ouders zonder Instagram-account?

Vraag 12

Hoe bent u van plan om nationaal de schermtijd te verlagen? Welke maatregelen nemen andere EU-landen om hier op te sturen? Zijn deze maatregelen effectief?

Vraag 13

Hoe gaat u de motie-Kathmann [Kamerstuk 26 643-1302], die vraagt om een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes, uitvoeren?

Vraag 14

Welke EU-lidstaten delen de opvatting van de Tweede Kamer dat er een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes moet komen? Hoe trekt u samen met hen op?

Vraag 15

Steunt u de komst van een ambitieuze en sterke Digital Fairness Act (DFA) zoals voorgesteld door de Europese Commissie?2 Zou deze volgens u een verbod op verslavende ontwerpkeuzes moeten bevatten?

Vraag 16

Hoe reageert u op de uitspraken van de regering-Trump dat de Digital Services Act (DSA) niet verenigbaar is met Amerikaanse waarden?3

Vraag 17

Zal u in Europees verband blijvend en ondubbelzinnig aandringen op maximale naleving, handhaving en waar nodig versteviging van digitale wetgeving, ongeacht politieke druk vanuit de Verenigde Staten?

Vraag 18

Indien de regering-Trump wél aandringt op het afzwakken van Europese regelgeving, welke conclusie verbindt u daar in het uiterste geval aan? Bent u bereid om sociale media apps die willens en wetens EU-wetten niet naleven in het uiterste geval geheel te verbieden?

Vraag 19

Bent u van mening dat het verhogen van de minimumleeftijd voor sociale media, nationaal of Europees, ook een vorm van schijnveiligheid biedt? Deelt u de mening van de indiener dat de oplossing ligt in een combinatie van niet-bindend wetenschappelijk advies en keiharde Europese regulering van sociale media apps?

Vraag 20

Hoe gaat u komen tot nationale adviesleeftijden voor verschillende sociale media apps? Welke expertise betrekt u bij het maken van deze adviezen?

Vraag 21

Wat is de rol van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in het maken van gezaghebbend gezondheidsadvies over schermtijd bij verschillende leeftijden en verschillende soorten schermtijd? Bent u bereid om het RIVM nauw te betrekken bij het maken van de nationale adviezen?

Vraag 22

Hoe gaat u de gezaghebbende adviezen van Nederlandse experts inzetten om tot een uniforme Europese informatievoorziening over de gezondheidseffecten van sociale media apps te komen?

Vraag 23

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het rapport «GenAI: naar een productievere en toekomstbestendige publieke sector», waarin wordt geconcludeerd dat tot wel 20 miljard euro belastinggeld bespaard kan worden door de inzet van generatieve AI?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Bent u ermee bekend dat in de publieke sector sprake is van een productiviteitsdaling, terwijl er tegelijkertijd 425.0000 vacatures openstaan? Deelt u de mening dat een uitdijende overheid met steeds meer ambtenaren geen houdbare oplossing is voor het verbeteren van dienstverlening?

De publieke sector kent vele sub-sectoren, met elk hun specifieke kenmerken. Voor een deel van die sectoren heeft mijn ministerie vorig jaar gerapporteerd over productiviteitstrends, die niet onverdeeld positief zijn, zo bleek bijvoorbeeld uit onderzoek bij veertien uitvoeringsorganisaties.2 Uit die studie kwam naar voren dat tussen de organisaties grote verschillen in productiviteitsgroei zijn. Wel blijkt dat de productiviteitsstijging bij de betrokken uitvoeringsorganisaties tot 2021 nauwelijks onderdeed voor de marktsector.
Ik acht het desondanks zinvol om te inventariseren waar winst te behalen valt in efficiency en effectiviteit door inzet van (generatieve) AI in de dienstverlenende werkprocessen. Dit zal in het kader van de uitwerking van de Nederlandse Digitaliseringstrategie (NDS) verder worden verkend.
Dat sprake zou zijn van een «uitdijende overheid» heeft onder andere te maken met het feit dat voor steeds meer en steeds complexere vraagstukken een beroep wordt gedaan op de overheid. Uiteraard wordt altijd gekeken welke taken daadwerkelijk opgepakt dienen te worden en hoe die zo efficiënt mogelijk kunnen worden vervuld. Het digitaliseringsbeleid dat momenteel wordt vormgegeven, is dan ook mede gericht op de vraag hoe de overheid doeltreffend en zo efficiënt mogelijk een antwoord kan bieden op de complexe vraagstukken die de komende jaren op ons afkomen. Hierbij is – onder meer in het kader van de NDS – ook aandacht voor de rol die (generatieve) AI daarin kan spelen.
Dat momenteel sprake zou zijn van 425.0000 vacatures is niet geheel correct. Dit aantal betreft een prognose van BGC voor het jaar 2033. Dat er sprake is van toenemende krapte op de arbeidsmarkt wordt breed erkend. Dit is, los van de precieze aantallen, een goede reden om serieus te kijken naar de mogelijkheden van generatieve AI in de optimalisatie van onze bedrijfsprocessen.

Vraag 3

Ziet u dat het gebruik van generatieve AI kansen biedt voor betere dienstverlening, meer werkplezier en een oplossing kan zijn van het personeelstekort? Hoe beoordeelt u de conclusie van de onderzoekers dat inzet van Generatieve AI 255.000 tot 465.000 voltijdbanen kan opleveren? Hoeveel belastinggeld kan bespaard worden door de inzet van AI?

Ja, ik zie dat hier kansen liggen.
Betere dienstverlening kent ten minste twee aspecten: snelheid van dienstverlening c.q. efficiëntie, én inhoudelijke kwaliteit van de dienstverlening. Het rapport wijst hier ook op. Het is van belang dat bij ontwikkeling van AI-systemen niet alleen gekeken wordt naar snelheid en kostenreductie, maar ook naar inhoudelijke kwaliteit. De ontwikkelingen binnen generatieve AI lijken op beide punten veelbelovend. Er is wel sprake van een gemengd beeld. Lang niet elke vorm van AI leidt daadwerkelijk tot betere prestaties. Dit is mede afhankelijk van de aard van de werkzaamheden. Recent onderzoek wijst erop dat «human-AI collaboration», waarbij mensen en artificieel intelligente systemen samenwerken, een wisselend beeld laat zien, met zelfs productiviteitsverlies bij taken waarin «besluitvorming» de kern van de werkzaamheden vormt.3
Bij de vraag of AI bijdraagt aan hogere productiviteit is dus van belang dat gericht wordt geïnvesteerd, en vanuit het besef dat innovaties rondom productiviteit zich soms pas op de langere termijn terugbetalen.
Het is zinvol te verkennen waar nog winst te halen valt in termen van efficiëntie en effectiviteit door inzet van (generatieve) AI in de dienstverlenende werkprocessen én bij beleidsontwikkeling. Die mogelijkheden verken ik ook al in het kader van de NDS. Deze vormt het fundament onder het digitaliseringsbeleid van de overheid.
Meer werkplezier is een belangrijke factor in het aantrekken en binden van goede medewerkers. Ik stond hier al bij stil in mijn verkenning van de motie Van Der Werf (mei 2024).4 Deze motie roept het kabinet op om tot een handreiking te komen voor gemeenten en andere overheden om werkplezier met behulp van AI te bevorderen en werkdruk te verminderen. De uitwerking van deze motie is opgenomen in de verzamelbrief digitalisering van het eerste kwartaal van dit jaar.5
Daarbij is het vooruitzicht van een steeds krapper aanbod aan (talentvolle) werkenden in de toekomst, waarbij ook de overheid wedijvert om het schaarser wordend arbeidspotentieel, één van de belangrijke reden om na te denken over de inzet van nieuwe technologieën. Dit thema is ook onderwerp van de adviesaanvraag aan de Sociaal-Economische Raad (SER), die het vorige kabinet heeft ingediend.6 Daarin is expliciet de vraag gesteld welke mogelijkheden de SER ziet om productiviteitsgroei door toepassing van AI te bevorderen. Dit SER-advies wordt later dit voorjaar verwacht.
De vraag hoeveel belastinggeld bespaard kan worden door de inzet van Generatieve AI is een kwestie die, in het licht van mijn opmerkingen over de werkgelegenheidseffecten, niet eenduidig te beantwoorden is – al is evident dat toegenomen efficiency in processen inderdaad bij kan dragen aan doelmatiger inzet van belastinggeld en eventueel kan leiden tot aanzienlijke besparingen.

Vraag 4

Op welke manieren experimenteert de overheid met het gebruik van generatieve AI? Op welke manier wordt al op schaal productiviteitsgroei gerealiseerd door generatieve AI?

Binnen (decentrale) overheden wordt al enige tijd geëxperimenteerd met de inzet van generatieve AI. Voorbeelden zijn (interne) AI-chatbots die interne overheidsinformatie gemakkelijker vindbaar maken, AI-toepassingen die worden ingezet voor metadata-extractie, of AI-toepassingen die als ondersteuning worden ingezet bij bezwaarschrift- of WOO-procedures.7 Zie in dat kader ook de verzamelbrief van 18 december 2024 waarin wordt ingegaan op al lopende generatieve AI pilots.8
Het streven is deze verspreide initiatieven te bundelen. Daarbij is van belang dat innovatie gezamenlijk door overheidsorganisaties en meerdere bestuurslagen wordt opgepakt. Hierbij zie ik nog veel kansen om op te treden als één digitale overheid. Door zo, waar kansrijk, op te schalen zorgen wij voor minder versnippering en serieuze efficiencywinst. Voor dit opschalingsvraagstuk zal ik in de NDS aandacht hebben.
In hoeverre nu al productiviteitsgroei wordt bereikt, is momenteel nog lastig te kwantificeren. De meeste, veelal recente experimenten zijn nog niet geëvalueerd op hun effect. De Algemene Rekenkamer geeft in het eerder genoemde rapport Productiviteit in perspectief overigens aan dat productiviteitsgroei soms op gespannen voet kan staan met de kwaliteit van de dienstverlening. Sneller is niet altijd beter, en soms in tegendeel.9 Dit zal onderdeel moeten zijn van de evaluatie van de diverse experimenten.

Vraag 5

Welke lessen trekt u uit het gebruik van generatieve AI door overheden in andere landen? Kunt u aangeven welke lessen Nederland trekt uit de in het rapport genoemde voorbeelden zoals «Albert», het Franse AI-systeem waarmee taken geautomatiseerd worden en ambtenaren minder tijd kwijt met het vinden van informatie?

Uiteraard volgen wij de ontwikkelingen, ook in het buitenland. Albert is een mooi voorbeeld van AI-innovatie binnen de Franse overheid. Ook in de Nederlandse context wordt gewerkt aan AI-assistenten, die ambtenaren in hun werk kunnen inzetten. Een recent bijvoorbeeld komt van de Vereniging voor Nederlandse Gemeenten (VNG), die aankondigde – mede via een financiering van BZK – een AI-assistent te ontwikkelen.10

Vraag 6

Welke lessen trekt u uit het gebruik van generatieve AI in de private sector? Deelt u de mening dat het reëel is dat de productiviteitsgroei in de private sector in komende jaren veel hoger ligt door adaptatie van generatieve AI? Hoe zorgt u ervoor dat de publieke sector niet achterblijft?

In mijn beantwoording van vraag 2 stond ik al stil bij de wisselende snelheden in de ontwikkeling van de productiviteit. De private en publieke sector zijn daarbij niet altijd gemakkelijk met elkaar te vergelijken.11 Wat ik meeneem uit het onderzoek, is dat de markt laat zien dat adaptatie van generatieve AI grote kansen biedt. Die kansen ben ik ook al volop aan het verkennen (zie ook beantwoording vraag 4), om waar mogelijk ook in de sector overheid productiviteitswinst te boeken. Daarin nemen we ook relevante inzichten uit de private sector mee, bijvoorbeeld via betrokkenheid bij de publiek-private samenwerking van de Nederlandse AI Coalitie, AI4NL.

Vraag 7

Deelt u de conclusie dat de risico’s van het gebruik van generatieve AI beperkt kunnen worden door te zorgen dat er altijd mensen meekijken?

Ja, menselijk toezicht is inderdaad één van de mogelijkheden om de risico’s van generatieve AI te mitigeren. De Europese AI-verordening – die in augustus 2024 in werking is getreden – vereist dan ook dat er een vorm van menselijk toezicht wordt gehouden op hoog risico AI-systemen. Het is aannemelijk dat meerdere toepassingen vanuit de overheid kwalificeren als hoog risico als bedoeld in bijlage III bij de Verordening. Bij de ontwikkeling van nieuwe technologieën zal uiteraard rekening worden gehouden met de eisen die vanuit de Verordening en andere relevante regelgeving worden gesteld. Via de binnenkort te verschijnen overheidsbrede handreiking generatieve AI en het daarbij behorende standpunt krijgen organisaties ondersteuning bij het op verantwoorde wijze inrichten van de inzet van generatieve AI binnen hun organisaties. Menselijk toezicht is hierbij een belangrijk aspect. Deze overheidsbrede handreiking komt later in april uit.

Vraag 8

Bent u bereid aan de slag te gaan met vijf mogelijke pioniergebieden die als kansrijk worden aangewezen voor de inzet van AI? Kunt u per pionier aangeven waarom wel of niet?

In het algemeen is het verstandig om verschillende activiteiten te bundelen om synergie en zo mogelijk schaalvoordelen te bereiken. Prioriteren naar sectoren of processen is daarom zinvol, waarbij gekeken zal worden welke het meeste potentieel hebben. Of dit noodzakelijkerwijs de in het rapport genoemde pioniersgebieden moeten zijn, valt te bezien. In sommige van die pioniersgebieden ligt de verantwoordelijkheid primair bij de sectoren zelf. Wel wil ik als coördinerend bewindspersoon regie voeren op de keuze van de prioritaire sectoren.

Vraag 9

Op welke manier werkt zowel Europese als Nederlandse regelgeving nu de inzet van generatieve AI tegen? Bent u bereid onnodige drempels weg te halen?

Om de kansen te verzilveren die generatieve AI biedt, is het nodig om aandacht te hebben voor zowel normregulering als het aanjagen van innovatiekracht. Via onder meer de Europese AI-verordening – die geldt in alle EU-lidstaten – is er een eenduidig juridisch kader dat de ontwikkeling en het gebruik van betrouwbare en veilige (generatieve) AI-systemen bevordert. Specifiek voor de inzet van generatieve AI kom ik nog in april met een herijkt, overheidsbreed standpunt, waarin ik meer ruimte bied voor de mogelijkheden die deze technologie overheden biedt. Via de NDS zet ik daarnaast in op het versterken van de innovatiekracht bij de overheid met behulp van (generatieve) AI – zeker ook om drempels rondom bijvoorbeeld opschaling weg te nemen.
Het kabinet streeft daarbij naar een evenwichtige benadering: enerzijds willen we onnodige belemmeringen wegnemen om innovatie te stimuleren, en anderzijds zorgen dat er een solide en flexibel (Europees) regelgevend kader bestaat dat de veiligheid en betrouwbaarheid van AI waarborgt. De regelgeving is mede bedoeld om nieuwe technologieën op een verantwoorde wijze te introduceren en een aantal belangrijke maatschappelijke waarden te beschermen. Evenwichtige regelgeving is essentieel, en biedt duidelijkheid aan ontwikkelaars binnen welke kaders zij nieuwe technologieën kunnen ontwikkelen.

Vraag 10

Vindt u dat de geschetste randvoorwaarden voor de inzet van AI in Nederland nu in orde zijn? Zo nee, welke stappen zet u om hiervoor te zorgen?

Ik vind dat de randvoorwaarden voor effectief, efficiënt en verantwoord gebruik van (generatieve) AI vooralsnog goed zijn ingevuld. Het BGC-rapport noemt een aantal randvoorwaarden voor succes: duidelijkheid op het gebied van wetgeving, technologie, training en beeldvorming om generatieve AI veilig en effectief in te zetten. De overheid investeert op al deze punten.
Zo wordt actief meegedacht over (de implementatie van) evenwichtige en consistente wetgeving, die ontwikkelaars duidelijkheid biedt in de juridische en ethische kaders waarbinnen zij artificieel intelligente systemen kunnen ontwikkelen. Denk hierbij bijvoorbeeld aan de implementatie van de AI-verordening, waarin BZK een actieve rol speelt en via onder meer kennisproducten (mede)overheden ondersteunt bij de implementatie.12 Die kaders gelden uiteraard ook voor de overheid als (mede-)ontwikkelaar van nieuwe technologieën. Overheden kunnen voor een overzicht van de bestaande wet- en regelgeving rondom de verantwoorde inzet van AI terecht bij het algoritmekader.13
Voor wat betreft de investeringen in nieuwe technologieën verwijs ik naar mijn antwoord op vraag 4. Daarnaast wordt er fors geïnvesteerd in een moderne digitale werkomgeving waarbij de ambtenaar is toegerust met de juiste middelen om haar werk effectief uit te voeren.
Effectief gebruik van (generatieve) AI vergt digitale vaardigheden van ambtenaren. We zullen de komende jaren fors investeren in digitaal vakmanschap. Dit niet alleen met het oog op de vereisten in artikel 4 van de AI Verordening met betrekking tot «AI geletterdheid», maar ook met het oog op het vakmanschap van de ambtenaar. Hiertoe wordt een personeelsstrategie voor digitalisering ontwikkeld, waarmee we bepalen welke kennis we in huis moeten hebben en uit de markt halen. Hiermee kunnen we gerichter werven, omscholen en onderwijs ontwikkelen op basis van technologische innovaties. Voorts nemen we meer regie op de ontwikkeling van digitaliseringskennis van ambtenaren en zorgen we voor opschaling en samenhang van de centrale pools voor digitaliseringsprofessionals. ICT-kennis wordt actief gedeeld en efficiënter ingezet. Meer specifiek kan worden gewezen op de Rijksacademie voor Digitalisering en Informatisering Overheid.14

Vraag 11

Welke langetermijndoelen stelt de overheid voor het gebruik van AI?

Laat ik vooropstellen dat ik het van groot belang vind dat de overheid – evenals burgers en bedrijven – de vruchten kan plukken van deze veelbelovende technologie. Ik wil er de komende jaren voor zorgen dat we als één overheid stappen zetten bij de adoptie van AI, zonder daarbij naïef te zijn. We moeten deze technologie omarmen, omdat zij veel kansen biedt voor allerlei (grote) maatschappelijke opgaven waarvoor we als overheid staan.
Op de precieze uitwerking van de lange-termijndoelen met betrekking tot de inzet van AI bij de overheid kom ik later dit voorjaar terug in de NDS.

Vraag 12

Op welke manier worden ambtenaren nu gestimuleerd om effectiever te werken door inzet van AI? Hoe wordt dit gestimuleerd op de dagelijkse werkvloer? Vindt u dat extra stappen hier nodig zijn?

Ik verwijs u voor de beantwoording van deze vraag graag naar vraag 10. Hierin sta ik al stil op de manieren waarop ambtenaren worden ondersteund bij het gebruik van AI.

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Bent u bekend met de recente wijzigingen in de beschikbaarheid en actualisatie van seismische en akoestische data door het Koninklijk Nederlands Meteorologisch Instituut (KNMI), zoals vermeld op haar website?1

Ja.

Vraag 2

Kunt u bevestigen dat tal van data met betrekking tot aardbevingen in Groningen niet langer geactualiseerd worden en/of moeilijker toegankelijk zijn, zoals onder meer de aardbevingscatalogus en modelmatig berekende peak ground acceleration-waarden (PGA) en peak ground velocity-waarden (PGV)? Zo ja, waarom is hiervoor gekozen en waarop en onder wiens bevoegdheid is deze verandering gebaseerd?

Nee, dit kan ik niet bevestigen, de data worden nog steeds geactualiseerd en blijven onverminderd beschikbaar. Het KNMI heeft in januari 2025 zijn seismologische operationele keten naar Amazon Web Services (AWS) gemigreerd, nadat hier in 2023 voor was gekozen. Onderdeel van deze migratie was het uitfaseren van verouderde producten door deze te vervangen door moderne varianten. Alle data en producten zijn op AWS onverminderd beschikbaar, in een vernieuwd en beter te onderhouden systeem dat bijdraagt aan een robuuste 24/7-beschikbaarheid. Dit is aangekondigd en staat beschreven op de KNMI-website. Op de KNMI-website blijven zowel de aardbevingscatalogus2 en PGA/PGV waarden via shakemaps3 beschikbaar voor aardbevingen die hebben plaatsgevonden en deze worden geactualiseerd in het geval van nieuwe aardbevingen.

Vraag 3

Erkent u dat de beschikbaarheid van deze data van cruciaal belang is voor bewoners en hun advocaten bij juridische procedures? Zo ja, welke maatregelen worden getroffen om de toegankelijkheid en actualiteit van deze data te waarborgen?

Ja. Deze migratie draagt bij aan de toegankelijkheid omdat het nieuwe systeem moderner en beter te onderhouden is. Hierdoor wordt de 24/7 beschikbaarheid beter gewaarborgd (zie ook het antwoord op vraag 2).

Vraag 4

Bent u het ermee eens dat Groningen hiermee in toenemende mate afhankelijk wordt van de trillingstool en de algemene maatregel van bestuur omtrent 2-millimeter, in plaats van voortschrijdende wetenschappelijke inzichten? Zo nee, waarom niet?

Nee. Zoals in het antwoord op vraag 2 aangegeven geeft het KNMI aan dat actuele gemeten PGA en PGV waarden onverminderd beschikbaar zijn via onder andere shakemaps in het KNMI Data Platform4 en shakemaps op de website. Daarnaast houdt het Instituut Mijnbouwschade Groningen (IMG) bij de beoordeling van schade rekening met voortschrijdende wetenschappelijke inzichten. Zo heeft het IMG recent onderzoek laten doen naar de effecten van gestapelde mijnbouw en doet het onderzoek naar de indirecte effecten van diepe bodemdaling. Als de resultaten daartoe aanleiding geven, wordt de werkwijze hierop aangepast. Alle onderzoeken en data op basis waarvan het IMG schade beoordeelt zijn toegankelijk en openbaar.

Vraag 5

Hoe beoordeelt u de gevolgen van deze verandering voor de controleerbaarheid en transparantie van aardbevingsgegevens voor de Groningers en andere belanghebbenden?

Het KNMI geeft aan dat de migratie naar AWS en vernieuwing van bestaande producten geen invloed heeft op de controleerbaarheid en transparantie van aardbevingsgegevens. De modernisering van de seismologische operationele keten heeft als doel een robuuste 24/7-beschikbaarheid te garanderen. In de metingen en daaruit afgeleide aardbevingsgegevens, zoals de aardbevingscatalogus, shakemaps en bijbehorende PGA/PGV-waarden, is niets veranderd. Voor het beschikbaar stellen worden nu International Federation of Digital Seismographic Networks (FDSN) webservices gebruikt, de internationale standaard hiervoor, en het KNMI Data Platform.

Vraag 6

Kunt u toelichten hoe de overstap naar de webservices van de International Federation of Digital Seismographic Networks (FDSN) en het KNMI Data Platform de toegankelijkheid en bruikbaarheid van deze gegevens verbetert voor de inwoners van Groningen? Zo nee, waarom niet?

Met FDSN webservices en het KNMI Data Platform heeft het KNMI een robuuste infrastructuur die eenduidige toegang verleent tot data en producten, waarbij 24/7-beschikbaarheid een belangrijk element van de dienstverlening is. Het KNMI is altijd bereid in samenspraak met belanghebbenden de toegankelijkheid en bruikbaarheid verder te verbeteren (zie ook het antwoord op vraag 7).

Vraag 7

Zijn er vanuit u aanvullende inspanningen om ervoor te zorgen dat inwoners, deskundigen en wetenschappers de benodigde data op een laagdrempelige manier kunnen blijven raadplegen? Zo nee, waarom niet?

De data en producten zijn en blijven onverminderd beschikbaar. Het KNMI is altijd bereid in samenspraak met belanghebbenden de beschikbaarheid te blijven verbeteren en zo eenvoudig mogelijk te maken.

Vraag 8

Bent u bereid te waarborgen dat alle noodzakelijke data beschikbaar blijven en gemakkelijk toegankelijk zijn voor de Groningse bevolking en hun juridische vertegenwoordigers? Zo nee, waarom niet?

Ja.

Vraag 9

Heeft er vanuit u communicatie plaatsgevonden met het Staatstoezicht op de Mijnen inzake de wijzigingen op de KNMI-site? Zo nee, waarom niet?

Nee, de migratie heeft geen invloed gehad op de beschikbaarheid van data en producten van het KNMI. Daarom heeft er geen directe communicatie met het Staatstoezicht op de Mijnen hierover plaatsgevonden.

Vraag 10

Kunt u uitleggen waarom het KNMI tot op heden nooit is aangesloten bij de United States Geological Survey? Zo nee, waarom niet?

Bij de United States Geological Survey zijn met name Amerikaanse observatoria aangesloten. In Europa hebben seismologische observatoria, zoals het KNMI, zich verenigd in ORFEUS (Observatories & Research Facilities for European Seismology) voor data- en kennisuitwisseling. Het KNMI is daarom aangesloten bij ORFEUS.5

Vraag 1

Kent u het bericht «Russische spionnen en de «hack van Amsterdam»»?1

Ja.

Vraag 2

Deelt u de mening dat de in het bericht genoemde casus een indicatie is dat Nederland geen goed antwoord heeft op digitale aanvallen vanuit statelijke actoren waarbij Europese of internationale instellingen in Nederland doelwit zijn? Zo ja, hoe komt dat en wat is er nodig om dit te verbeteren? Zo, nee waar blijkt uit deze casus dan dat er wel sprake was van een goed antwoord?

De verantwoordelijkheid voor de cyberveiligheid van internationale organisaties ligt in de eerste plaats bij de organisaties zelf. Niettemin heeft het gastland ook een inspanningsverplichting om het goed en continu functioneren van de organisatie te waarborgen. De Kabinetsinzet op cyberweerbaarheid, zoals beschreven in de NLCS, draagt daar aan bij.
Daarnaast is sinds januari 2024 de Europese verordening 2023/2841 van kracht, waarmee is beoogd de weerbaarheid van Europese instellingen, maar ook van coordinatie en afhandeling als er cyberincidenten bij deze instellingen plaatsvinden te bevorderen. Zo zijn Europese instellingen verplicht om cyberveiligheidsmaatregelen te nemen en om cyberincidenten te melden bij CERT-EU. Onder de coordinatierol van CERT-EU in crisisafhandeling schakelen zij onder andere met het Europese CSIRT-netwerk. Nederland is hierin via het NCSC vertegenwoordigd.

Vraag 3

Deelt u de mening dat, als Nederland geen bemoeienis heeft of mag hebben met het beschermen van internationale instellingen tegen digitale aanvallen, daarmee het risico op dergelijke aanvallen en schade kan toenemen? Zo ja, waarom? Zo nee, waarom niet?

Het kabinet hecht veel belang aan het werk van internationale organisaties en instellingen. Deze organisaties zijn vaak doelwit van cyberaanvallen. Ondanks dat de verantwoordelijkheid voor adequate cybersecuritymaatregelen in eerste instantie bij deze organisaties zelf ligt, kunnen deze organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident een vrijwillige melding doen bij het Nationaal Cybersecurity Centrum (NCSC) en om bijstand vragen. Daarmee kan de Nederlandse staat in die gevallen een bijdrage leveren aan het tegengaan van digitale aanvallen.
Het gastland heeft als gesteld een inspanningsverplichting om het functioneren van de internationale organisaties te faciliteren, voor zowel het fysieke als digitale domein. Voor een goede invulling van die verplichting is een goede samenwerking cruciaal. Bovendien kan Nederland zich als lidstaat van internationale organisaties actief inzetten voor (verbetering van) de cyberveiligheid van die organisatie. Zo werd na de cyberaanval op het Internationaal Strafhof met steun van Nederland een fonds voor het verhogen van de cyberveiligheid van het Hof ingesteld waaraan alle staten kunnen bijdragen.

Vraag 4

Wat is de rol van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in het geval een statelijke actor een digitale aanval op een Nederlandse organisatie dan wel een internationale organisatie in Nederland uitvoert? Is daar verschil tussen en zo ja, waarom?

De AIVD doet onderzoek naar de digitale dreiging van statelijke actoren in het belang van de nationale veiligheid, zoals benoemd in artikel 8, Wiv2017. In relatie tot de omgang van AIVD met slachtoffers van digitale aanvallen door statelijke actoren gebeurt dit, op basis van vrijwilligheid, eveneens binnen de kaders van de Wiv2017. Dit geldt zowel voor Nederlandse als voor internationale organisaties.

Vraag 5

In welke mate verschilt bovengenoemde rol van de AIVD in vergelijkbare situaties van inlichtingen- en veiligheidsdiensten in andere lidstaten van de Europese Unie (EU)?

Iedere EU-lidstaat richt zijn inlichtingen- en veiligheidsdiensten evenals zijn taken en bevoegdheden naar eigen zienswijze in. Om die reden heb ik u in het commissiedebat van 23 oktober 20242 toegezegd om de situaties in andere landen te onderzoeken. Op de invulling van een dergelijk onderzoek zal ik terugkomen bij de gesprekken over de herziening van de WIV.

Vraag 6

Welke Nederlandse of Europese instantie kan wel actie ondernemen in het geval er een internationale organisatie met vestiging in een lidstaat van de EU te maken krijgt met een digitale aanval? Zo er een dergelijke instantie is, welke afspraken zijn hiermee dan precies gemaakt? Kunt u hierbij ook het specifieke juridische kader schetsen?

Ten aanzien van internationale organisaties die in Nederland zijn gevestigd geldt, anders dan bijvoorbeeld voor organisaties die deel uitmaken van de rijksoverheid, dat het NCSC niet tot taak heeft om bij digitale dreigingen en incidenten ongevraagd bijstand te leveren. Wel kunnen deze internationale organisaties in geval van een incident met aanzienlijke gevolgen voor de continuiteit van de dienst van die organisatie, op grond van artikel 16 van de Wbni een vrijwillige melding doen bij het NCSC. Het NCSC kan in dat geval bijstand verlenen, mits het in behandeling nemen van de melding geen onevenredige of overmatige belasting voor het NCSC vormt.
Tevens doet de AIVD onderzoek naar dreigingen tegen de nationale veiligheid. Indien de AIVD constateert dat een organisatie in Nederland waarschijnlijk slachtoffer is van een digitale aanval, brengt de AIVD – vanuit de weerbaarheidstaak en binnen de kaders van de WIV2017- deze organisatie hiervan op de hoogte.
Voor in EU-lidstaten gevestigde EU-organisaties geldt dat zij andere Europese instellingen, organen en agentschappen zoals het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of CERT-EU kunnen helpen voor het verhogen van de cyberweerbaarheid of vragen om ondersteuning bij cyberincidentem De taken en bevoegdheden van ENISA en CERT-EU hieromtrent zijn vastgelegd in Verordening (EU) 2019/881 (de «Cybersecurity Act»), Raadsbesluit (EU) 2022/2504 alsook de NIS2-richtlijn (EU) 2022/2555 en in verordening 2023/2841 zoals in het antwoord op vraag 2 weergegeven. VN-instellingen kunnen zich richten tot het United Nations International Computing Centre (UNICC). In het UNICC Mandate and Governance Framework wordt bepaald dat UNICC diensten aanbiedt aan VN-entiteiten. Contractuele afspraken met VN-agentschappen zijn vastgelegd in Service Level Agreements.

Vraag 7

Deelt u de mening dat het zeer zorgelijk is dat er in Europees verband kennelijk onvoldoende samenwerking is en dat een door de Nederlandse politie in 2021 gegeven waarschuwing aan andere lidstaten geen opvolging kreeg? Zo nee, waarom niet? Zo ja, wat gaat het kabinet doen om te zorgen dat hier in de toekomst wel op geacteerd wordt?

Cyberaanvallen en digitale netwerken zijn niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak en zijn daarom van groot belang. Het Kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijn in nationale wetgeving in de Cyberveiligheidswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties te delen. Dit zal ook de samenwerking met deze landen bevorderen. Met de inwerkingtreding van de NIS1-richtlijn en de NIS2-richtlijn is het Europese CSIRT-netwerk opgericht en versterkt. Het CSIRT-netwerk bestaat uit vertegenwoordigers van de nationale CSIRT's van de Europese lidstaten en het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU). Dit CSIRT-netwerk heeft onder meer tot taak het uitwisselen van informatie over incidenten, bijna-incidenten, cyberdreigingen, risico's en kwetsbaarheden, het uitvoeren van een geco6rdineerde respons op incidenten, en het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten. Daarnaast bevordert ook de Europese verordening 2023/2841, zoals in het antwoord op vraag 2 weergegeven, de samenwerking.

Vraag 8

Deelt u de mening dat er sprake is van een lacune in de hulp aan deze internationale organisaties in het geval van een digitale aanval van een statelijke actor? Zo ja, waarom, hoe komt dat en hoe moet deze lacune opgevuld gaan worden? Zo nee, waarom niet?

Zoals geschetst in het antwoord op vraag 6, kunnen internationale organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident met aanzienlijke gevolgen voor de continufteit van hun dienst, een vrijwillige melding doen bij het NCSC en vragen om bijstand. Hierbij wil ik benadrukken dat de verantwoordelijkheid van digitale veiligheid van organisaties in Nederland primair bij de organisaties zelf ligt.

Vraag 9

Deelt u de mening dat uit de in het bericht genoemde casus blijkt dat de internationale samenwerking in het geval van digitale dreigingen niet optimaal werkt en verbetering behoeft? Zo ja, welke verbeteringen zijn er nodig en hoe en op welke termijn worden die bewerkstelligd? Zo nee, waarom niet en hoe kan het dan dat het weken duurt eer zelfs maar duidelijk is waar een verzoek tot onderzoek naar een dergelijke dreiging moet worden ingebracht?

Ik doe geen uitspraken over specifieke casussen van de AIVD. In het algemeen, zoals ook aangegeven bij vraag 7, zijn cyberaanvallen en digitale netwerken niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak zijn daarom van groot belang. Het kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking, zoals ook aangegeven bij vraag 2. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijnen in nationale wetgeving in de Cyberbeveiligingswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties to delen en versterkt de samenwerking binnen het Europese CSIRT-netwerk. Dit zal ook de samenwerking met deze landen bevorderen.

Vraag 10

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?