Kwetsbaarheden in de cybersecurity van scanners in de Rotterdamse haven |
|
Kathalijne Buitenweg |
|
Ferdinand Grapperhaus (CDA) |
|
Bent u bekend met het bericht «Scanners in Rotterdamse haven broos voor Chinese spionage»?1
Ja.
Bent u voorts bekend met het bericht «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»?2
Ja.
Wat is uw appreciatie van de gezamenlijke waarschuwing van de AIVD, MIVD en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het FD artikel dat digitale spionage uit China een onmiddellijke dreiging vormt voor de Nederlandse economie en dat de vitale infrastructuur regelmatig doelwit is van cyberaanvallen? Deelt u deze zorgen?
Digitale spionage is een belangrijke dreiging voor de nationale veiligheid, zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3. Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen4. Onderdeel van deze aanpak is dat zowel op nationaal als op EU-niveau maatregelen worden genomen om de weerbaarheid van de vitale infrastructuur te versterken. In het Dreigingsbeeld Statelijke Actoren en de genoemde Kamerbrief komt deze dreiging, en de maatregelen die we hier tegen nemen, uitgebreid aan bod.
Klopt het dat de helft van de grote scanners in de Rotterdamse haven zijn geleverd door het Chinese bedrijf Nuctech? Zo ja, hoe verhoudt dit gegeven zich tot uw antwoord op vraag 3?
Ja, in de Rotterdamse haven zijn zeven grote ladingscanners geïnstalleerd, waaronder vier van Nuctech. Douane Nederland (hierna: de Douane) besteedt structureel – ongeacht welke leverancier scan apparatuur levert – aandacht aan de bescherming en beveiliging van gegevens. Tevens laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. De opdracht voor dit onderzoek is in september geïnitieerd nadat de Douane signalen ontving over de Nuctech scanners en het onderzoek zal in maart starten. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Verwacht wordt dat de resultaten van het onderzoek in de zomer beschikbaar zijn. Daarnaast wordt in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.
Vindt u het wenselijk om in de vitale infrastructuur gebruik te maken van Chinese leveranciers? Zo ja, welke veiligheidswaarborgen zijn er om Chinese leveranciers te screenen?
Een open economie, een open wetenschappelijk klimaat en vrijhandel liggen sinds jaar en dag aan de basis van het Nederlandse verdienvermogen en onze sterke positie. Nederland profiteert van de kansen en mogelijkheden die dit biedt; hierdoor kan Nederland gebruik maken van hoogwaardige materialen, technologie en kennis die in het buitenland – waaronder in China – wordt ontwikkeld.
Ook voor de vitale infrastructuur is het wenselijk dat gebruik wordt gemaakt van kwalitatief hoogwaardige producten en diensten. Aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren, is een afhankelijkheid van buitenlandse technologie dan ook een gegeven. Naast de genoemde kansen, bestaat echter ook het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen5.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari j.l. de laatste stand van zaken heeft ontvangen6. Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Met betrekking tot het door uw Kamer genoemde vraagstuk is specifiek het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid is eind 2018 geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
Wordt er, in navolging van het beleid rond het 5G-netwerk, ook in andere sectoren, zoals die van beveiligingsapparatuur, gewerkt met lijsten van onbetrouwbare leveranciers? Zo ja, op welke manier wordt dit vormgegeven? Zo nee, waarom niet?
Voor de telecomsector is een structureel proces ingericht waarin samen met relevante stakeholders bekeken wordt op welke manier de telecomnetwerken ook in de toekomst weerbaar kunnen blijven tegen veranderingen in het dreigingsbeeld en technologische ontwikkelingen. De focus ligt hierbij op het doen van risicoanalyses, het inzichtelijk maken van afhankelijkheden, en het in kaart brengen waar adaptieve maatregelen mogelijk zijn. De komende periode wordt in kaart gebracht wat er nodig is om deze structurele aanpak op telecom te verbreden naar andere vitale processen.
Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij (digitale) producten hanteert het kabinet de overwegingen die zowel bij c20007 als bij de veiligheid van de telecomnetwerken8 zijn gebruikt:
Deze risico’s worden op een zeer zorgvuldige en case-by-case-basis bezien.
Hoe beoordeelt u de uitspraak van de directeur van de Nederlandse tak van Nuctech dat de Chinese overheid zich niet met Nuctech bemoeit? Vindt u dit geloofwaardig, ook gezien het feit dat het staatsbedrijf China National Nuclear Corporation (CNNC) een van de aandeelhouders is?
In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»9. Specifiek zien we dat het CNNC 21% aandeel heeft in de voornaamste aandeelhouder van Nuctech (Tongfang Co. Ltd., met een aandeel van 76%). Het CNCC heeft daarmee dus indirect 15,96% aan aandelen in Nuctech.
Wat is uw reactie op klachten van concurrenten dat Nuctech onder de kostprijs levert dankzij Chinese staatssteun? Heeft u signalen die deze klachten ondersteunen? Hoe staat het in dit kader met het voorstel voor eenlevel playing field instrument dat het Nederlandse kabinet heeft ingebracht bij de Europese Commissie? Welke mogelijkheden zijn er momenteel voor aanbestedende diensten om mogelijk ongeoorloofde staatssteun mee te nemen in de aanbestedingsprocedure?
Zoals ook aangegeven in het antwoord op vraag 7, is het niet uit te sluiten dat er (indirecte) invloed is vanuit de Chinese overheid op dit bedrijf. In bredere zin zijn er al langere tijd zorgen over bedrijven die op de interne markt concurreren met staatssteun uit derde landen. Daarom heeft de Staatssecretaris van Economische Zaken in 2019 het voorstel voor een level playing field instrument gedaan, voor het realiseren van een gelijk speelveld op de interne markt om in te kunnen grijpen bij verstorende effecten van subsidies van derde landen. Mede op basis hiervan heeft de Europese Commissie in de zomer van 2020 een witboek gepresenteerd over het gelijktrekken van het speelveld op de interne markt in relatie tot overheidssubsidies uit derde landen. Zie in dit verband ook de kabinetsreactie op het Commissievoorstel COM (2020 253 – Witboek over buitenlandse subsidies op de interne markt)10. Een concreet wetgevend voorstel wordt verwacht in het tweede kwartaal van 2021.
De Europese aanbestedingsrichtlijnen bieden aanbestedende diensten mogelijkheden voor omgang met inschrijvingen met een abnormaal lage prijs. In Nederland zijn die richtlijnen omgezet in de Aanbestedingswet 2012. Aanbestedende diensten moeten op basis van artikel 2.116 van die wet bij een inschrijving die abnormaal laag lijkt, nader onderzoek doen door de betreffende onderneming te vragen om uitleg over hoe de prijs tot stand is gekomen. Wanneer een inschrijver het lage niveau van de voorgestelde prijs niet goed kan onderbouwen met bewijsmateriaal, kan de aanbestedende dienst deze inschrijving ter zijde leggen. Abnormaal lage inschrijvingen als gevolg van niet-naleving van verplichtingen op het gebied van milieu, sociaal en arbeidsrecht moeten zelfs door de aanbestedende dienst ter zijde worden gelegd. Dit geldt voor alle inschrijvingen, ongeacht het land van herkomst van de inschrijver. Dit draagt bij aan een gelijk speelveld voor ondernemers. De Europese richtlijnen bieden aanbestedende diensten momenteel geen mogelijkheden om ongeoorloofde staatssteun uit derde landen mee te nemen in de aanbestedingsprocedure. In het witboek stelt de Commissie een mogelijke toekomstig instrument voor, dat voorziet in een meldplicht voor ondernemingen die mogelijk overheidsondersteuning uit een derde land genieten wanneer zij op de interne markt inschrijven op een aanbesteding.
Deelt u de mening van de experts waar NRC mee sprak dat, ondanks de toezegging van de douane dat de scans in eigen beheer worden geëxploiteerd op een gesloten datanetwerk, de beveiliging van de Nuctech scanners toch kwetsbaar is? Zo nee, waarom niet?
In algemene zin valt te zeggen, dat een maatregel zoals het afsluiten van het netwerk altijd onderdeel is van een breed pakket van beheersmaatregelen die zowel preventie, detectie als (incident) response omvatten.
Zoals bij vraag 4 is aangegeven, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.
Klopt het dat monteurs van defecte scanners in principe een mobiele dataverbinding met het hoofdkantoor kunnen opzetten om zo de problemen snel te verhelpen? Zo ja, bent u bereid om de deze mogelijkheden stop te zetten?
In geval van software storingen wordt bij scanners die hierover beschikken gebruik gemaakt van een remote verbinding. Dit betreft ongeveer een derde van de storingen op deze scans. Monteurs kunnen hierbij een storing met behulp van een beveiligde verbinding op afstand oplossen om de storing zo snel mogelijk te verhelpen.
Zoals ook vermeld bij de beantwoording van vraag 4 en 9, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. De remote verbinding voor onderhoud wordt in afwachting van het extern onderzoek niet stilgezet, omdat het opheffen hiervan het risico met zich meebrengt dat scanapparatuur langdurig in storing blijft staan. Als dat gebeurt kent het scanproces geen voortgang en nemen de risico’s op de invoer van verdovende middelen toe.
Deelt u de mening van de aangehaalde experts dat het feit dat de servers van verschillende scannerfabrikanten in één ruimte zijn gehuisvest een kwetsbaarheid met zich meebrengt? Zo ja, bent u bereid om de servers van elkaar te scheiden? Zo nee, waarom niet?
Deze mogelijke kwetsbaarheid is eerder gesignaleerd en daarom is het initiatief gestart om de beveiliging van deze servers te optimaliseren. In 2021 wordt de ruimte waarin de verschillende servers staan omgebouwd naar een computerruimte met alle bijbehorende aanvullende veiligheidsmaatregelen. Als het externe onderzoek van de Douane daartoe aanleiding geeft, zullen tevens aanvullende aanpassingen worden verricht.
Hoe is het toegangsbeheer tot de scanners, zowel tot die van Nuctech als tot die van andere leveranciers, geregeld?
Monteurs hebben zelfstandig toegang tot de scanapparatuur. De monteur staat altijd geregistreerd bij de Douane bij onderhoud aan de scanners. Bij preventief (gepland) onderhoud zijn de bezoeken contractueel vastgelegd, in overleg met de Douane en de containerterminal. Als de monteur correctief (ongepland) onderhoud bij een storing moet uitvoeren, wordt er een werkvergunning bij de containerterminal aangevraagd. In beide gevallen vindt het onderhoud plaats in afstemming met medewerkers van Douane. Tevens zijn bij alle scans op de containerterminals camera’s geïnstalleerd waarmee de systeemoperator van de Douane zicht heeft op de scanapparatuur. In het geval dat de monteur in de serverruimte van het Douanekantoor Maasvlakte moet zijn, moet de monteur zich altijd melden bij de systeemoperator van Douane. Die verleent de monteur toegang aan de serverruimte.
Klopt het dat een Verklaring Omtrent het Gedrag (VOG) volstaat om toegang te krijgen tot de scanners in de haven, terwijl de toegang tot gevoelige apparatuur op Schiphol een Verklaring van Geen Bezwaar (VGB) vereist? Zo ja, wat is de reden voor dit verschil?
Er zijn geen uniforme eisen aan de toegang tot apparatuur voor havens en luchthavens. Onder andere op basis van de locatie en de toepassing van apparatuur wordt aan de hand van het risico vastgesteld wat voor restricties er gelden voor fysieke toegang tot de apparatuur en wat er nodig is om informatie te beveiligen.
Klopt het ook dat de aanbestedingseisen op het gebied van cybersecurity voor ict-apparatuur op de luchthavens strenger zijn dan die voor ict-apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de aanbestedingseisen voor de havens aan te scherpen?
Zoals genoemd in het antwoord op vraag 5 is het beleid van de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit geldt zowel voor de apparatuur van de rijksoverheid op havens als op luchthavens.
Voor bedrijven worden geen specifieke eisen gesteld vanuit de overheid ten aanzien van de aanbesteding voor de aanschaf van ICT-apparatuur op havens en luchthavens. Het in het antwoord op vraag 5 genoemde instrumentarium dat organisaties ondersteunt in het meewegen van nationale veiligheidsrisico’s bij inkoop en aanbesteding is ter beschikking gesteld aan organisaties die onderdeel vormen van de vitale processen.
Klopt het dat beveiligingsprotocollen met betrekking tot het testen van apparatuur en het valideren van updates voor apparatuur op de luchthavens verregaander zijn dan die voor apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de beveiligingsprotocollen voor apparatuur in de havens aan te scherpen?
Er is geen uniform protocol voor havens of luchthavens ten aanzien van de beveiliging van netwerk- en informatiesystemen. De inhoud van een beveiligingsprotocol hangt sterk af van de te beschermen bedrijfsprocessen en de specifieke risico’s die daarbij een rol spelen. Aanscherping van een beveiligingsprotocol in de havens vraagt om maatwerk van de bedrijven in havens zelf. De overheid controleert het proces waarmee havens en luchthavens risico’s in kaart brengen en maatregelen vaststellen om mogelijke risico’s te beheersen.
Heeft u kennisgenomen van het bericht «Onderzoeksbureau: Chinese techbedrijven bezig met etnisch profileren, Oeigoeren zijn doelwit», in de Volkskrant van 14 januari 2020?1
Ja.
Klopt het dat Huawei en andere Chinese tech-bedrijven investeren in technologie om Oeigoeren te kunnen identificeren op foto’s en videobeelden?
In algemene zin is bekend dat China inzet op het verkrijgen van hoogwaardige kennis en technologie. Zoals ook opgenomen in het Dreigingsbeeld Statelijke Actoren kan deze kennis en technologie worden ingezet voor ongewenst eindgebruik, bijvoorbeeld voor militaire of surveillancetoepassingen.
Vindt u het acceptabel dat bedrijven investeren in technologie die specifiek is gericht op het identificeren van bepaalde etnische groepen? Is dit naar uw mening verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen?
Discriminatie op basis van etniciteit, of welke grond dan ook, is niet verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen. Er zijn vanuit diverse mensenrechtenorganen zorgen geuit over het gebruik van biometrische data die noodzakelijk zijn voor de ontwikkeling en inzet van gezichtsherkenningssoftware, en de impact daarvan op, bijvoorbeeld, het recht op een persoonlijke levenssfeer en non-discriminatie.
Met betrekking tot het gebruik van gezichtsherkenningssoftware waarbij dit wordt ingezet ter herkenning van gezichten van bepaalde bevolkingsgroepen, dient opgemerkt te worden dat op grond van internationale mensenrechtenverdragen het niet is toegestaan een onderscheid te maken op basis van bijvoorbeeld, ras2, afkomst of etniciteit.
Indien er derhalve bij de inzet van gezichtsherkenning, en bij het gebruik van de gegevens die hierbij verzameld kunnen worden, door bedrijven onderscheid gemaakt wordt op grond van etniciteit of gezichtsherkenningssoftware wordt ingezet die enkel gericht is op de specifieke herkenning van gezichten van bepaalde etnische groeperingen, dan is dat in strijd met internationale mensenrechtenverdragen.
Welke verbanden ziet u tussen het gebruik van surveillance technologie en de onderdrukking van Oeigoeren in China?
Online censuur is een gegeven waar Chinese internetgebruikers dagelijks mee te maken hebben. Maar ook m.b.v. het gebruik van big data, camera’s met gezichtsherkenning en grootschalige, onvrijwillige afname van vingerafdrukken, irisscans en DNA van personen tussen de 12 en 65 jaar, lijken Chinese autoriteiten in toenemende mate controle na te streven onder meer over de Oeigoerse minderheid.
Bent u bereid om opheldering te vragen bij Huawei Nederland en hen te verzoeken om publiekelijk afstand te nemen van technologie gericht op de identificatie van etnische kenmerken, en van het gebruik van surveillancetechnologie bij de onderdrukking van Oeigoeren?
Huawei heeft zijn positie in deze kwestie gecommuniceerd via een verklaring op de website van Huawei Nederland.3 Het bedrijf stelt onder andere dat «de applicatie niet geïmplementeerd [is] in de praktijk» en dat «onze technologieën niet [zijn] ontworpen om etnische groepen te identificeren». Het kabinet kan deze uitleg van Huawei op basis van eigen informatie niet bevestigen. Het Ministerie van Buitenlandse Zaken heeft het onderwerp van het mogelijke misbruik van de gezichtsherkenningssoftware aan de orde gesteld tijdens een recent gesprek met het bedrijf. Huawei heeft daarbij aangegeven dat dit ingaat tegen het beleid van het bedrijf. Medewerkers van het Ministerie van Buitenlandse Zaken gaan over dit onderwerp op korte termijn nog uitgebreider in gesprek met Huawei. Daarbij zullen ook de zorgen van het kabinet worden overgebracht.
In hoeverre worden gezichtsherkenningscamera’s van Chinese tech-bedrijven gebruikt in Nederland? Vindt u het gebruik daarvan wenselijk?
Hoewel er vanuit diverse mensenrechtenorganisaties zorgen zijn geuit over het gebruik van biometrische data, zoals wordt verzameld bij gezichtsherkenningssoftware, en het effect dat een dergelijke technologie kan hebben op, bijvoorbeeld, het recht op privacy, hoeft het gebruik van gezichtsherkenningstechnologie op zichzelf geen schending van internationale mensenrechten te betekenen.
De Minister voor Rechtsbescherming heeft recent benadrukt dat gezichtsherkenning in horizontale relaties in beginsel niet is toegestaan. De Algemene Verordening Gegevensbescherming biedt namelijk zeer beperkte ruimte voor de inzet van gezichtsherkenning in relaties tussen burgers onderling, of tussen burgers en bedrijven.4 Uit onderzoek blijkt dat gezichtsherkenningstechnologie in horizontale relaties nog niet breed wordt ingezet.5 Het is niet mogelijk om een algemene uitspraak te doen over het aantal gezichtsherkenningscamera’s van Chinese tech-bedrijven in Nederland. Deze kunnen in principe zowel aan bedrijven als particulieren worden verkocht.
In hoeverre spelen de patenten van Chinese tech-bedrijven een rol bij het vastleggen van standaarden voor surveillancetechnologie binnen de International Telecommunications Union (ITU)? Welke risico’s ziet u daarbij in het licht van de genoemde berichtgeving en hoe kunnen die risico’s worden ondervangen?
Binnen de ITU worden op technisch niveau aanbevelingen gedaan over normen en standaarden op het gebied van telecom en het radiospectrum. Het vastleggen van standaarden wordt in belangrijke mate bepaald door ITU comités, welke zijn opengesteld voor alle leden van de ITU. De ITU kijkt naar de technische aspecten van nieuwe technologieën, en ziet niet toe op hoe deze in de praktijk worden toegepast, noch verleent ITU patenten. Bedrijven die gepatenteerde kennis inbrengen bij het opstellen van een standaard zijn eraan gehouden dit vooraf kenbaar te maken. Bovendien committeren zij zich eraan om toegang te verlenen onder redelijke en non-discriminatoire voorwaarden tot de gepatenteerde kennis die in een standaard is opgenomen, zodat elke andere partij de standaard kan duiden en later zo nodig kan implementeren.
Het is bekend dat China steeds assertiever wordt ten aanzien van de ontwikkeling en vaststelling van technische productstandaarden. Een land of een handelsblok dat erin slaagt de internationale technische standaarden te bepalen, kan de eigen economie een groot concurrentievoordeel geven. Nederland zet dan ook in op een innovatief Europa dat zich richt op de ontwikkeling van (digitale) sleuteltechnologieën. Het bereikte akkoord over het Meerjarig Financieel Kader (MFK) 2021–2027 waarin digitalisering, onder meer met de fondsen Horizon Europe en het Digital Europe programma, belangrijke onderdelen zijn, draagt daaraan bij. Daarnaast bepleit Nederland in de EU dat zij haar vermogen om standaarden te creëren moet blijven verdedigen, deze slimmer dient te benutten en daarin nauw moet samenwerken met gelijkgezinde landen om de EU’s hoge ethische normen en aandacht voor de omgang met en bescherming van data te behouden. Nederland zet zich, in EU verband en met gelijkgezinde derde landen, ook binnen de ITU in om in gevallen waarin standaardisatievoorstellen deze normen geweld aandoen of dreigen aan te doen, de voorstellen tegen te houden.
Welke acties zouden Nederland en de Europese Unie kunnen ondernemen richting Chinese tech-bedrijven die betrokken zijn bij de onderdrukking van Oeigoeren? Bent u bereid om zich voor dergelijke acties in te spannen?
Nederland spreekt in individuele gevallen bedrijven aan, zie het antwoord op vraag 5.
In december jl. is het EU-mensenrechtensanctieregime aangenomen. Dit thematische sanctieregime kan worden ingezet tegen individuele mensenrechtenschenders en entiteiten, ongeacht waar de schending plaatsvindt. Zoals reeds eerder aan uw Kamer gemeld zijn de voorbereidingen om te komen tot voorstellen voor eerste listings onder het EU-mensenrechtensanctieregime in beslotenheid in gang gezet in verscheidene hoofdsteden. Zorgvuldige besluitvorming acht het kabinet hierbij van groot belang. Het kabinet neemt in dit proces ook de moties Sjoerdsma c.s. (21 501-20, nr. 1596), Ploumen (35 570 V, nr. 43) en Kuzu (35 570 V, nr. 53) mee.
In hoeverre is het huidige exportcontrolebeleid in staat om uit te sluiten dat de export van Nederlandse of Europese technologie bijdraagt aan de ontwikkeling van technologie door Chinese bedrijven die is gericht op het identificeren van etnische groepen?
De juridische basis voor het EU exportcontrolebeleid voor dual-use goederen is de EU Dual Use Verordening. Controle vindt plaats op basis van een lijst van dual-use goederen die in deze EU-verordening is bijgevoegd. Deze controlelijst wordt jaarlijks geactualiseerd op basis van internationale afspraken in exportcontroleregimes over te controleren goederen en technologie. Nederlandse bedrijven zijn verplicht een exportvergunning aan te vragen als zij goederen of technologie op deze EU-controlelijst willen exporteren buiten de EU. De EU dual-useverordening voorziet niet in controle op technologie die gericht is op het identificeren van etnische groepen. In het geval van vergunningplichtige dual-use goederen, wijst de Nederlandse regering een vergunning af indien het risico bestaat dat de goederen bijdragen aan mensenrechtenschendingen.
Inzet van Nederlandse technologie voor het onderdrukken van bevolkingsgroepen of het schenden van mensenrechten acht het kabinet in alle gevallen onwenselijk. Nederlandse bedrijven die inspelen op de Chinese vraag naar geavanceerde technologie dienen zich te allen tijde rekenschap te geven van mogelijk ongewenste toepassingen van geleverde producten door Chinese afnemers. Bedrijven dienen, als onderdeel van due diligence, na te gaan of Chinese afnemers een aandeel hebben in de totstandkoming van surveillancesystemen die de vrijheid van Chinese burgers beperkt. Ook zet het kabinet in op een verplichting voor bedrijven om gepaste zorgvuldigheid toe te passen in lijn met de internationale richtlijnen (due diligence), bij voorkeur op Europees niveau.
De uitrol van 5G |
|
Chris Stoffer |
|
Tamara van Ark (VVD), Mona Keijzer (CDA) |
|
Heeft u kennisgenomen van het essay van prof. John Wiliam Frank in de Journal of Epidemiology & Community Health waarin hij pleit voor betere toepassing van het voorzorgsprincipe bij de uitrol van 5G?1
Ja, daar heb ik kennis van genomen.
Deelt u zijn constatering dat er steeds meer bewijs is dat blootstelling aan hoogfrequente elektromagnetische velden behorend bij de uitrol van 5G mogelijk negatieve biologische effecten heeft?
De conclusies en adviezen in dit artikel komen niet overeen met die van de collectieven van wetenschappelijke experts (zoals de WHO, ICNIRP en de Gezondheidsraad) die de onderzoeksliteratuur systematisch beoordelen en die ik voor de beleidsvorming als uitgangspunt neem.
Hoe waardeert u de constatering dat de advisering door en de richtlijnen van de International Commission on Non-Ionizing Radiation Protection/World Health Organization zich ten onrechte beperken tot de thermische effecten van elektromagnetische straling?
De stelling dat de onafhankelijke internationale wetenschappelijke organisatie «bewijzen voor niet-thermische effecten negeert» is onjuist. Om gezondheidsschade van sterke elektromagnetische velden te voorkomen heeft ICNIRP, de door de WHO erkende internationale commissie die zich bezighoudt met de bescherming tegen mogelijke gezondheidseffecten van niet-ioniserende straling, blootstellingslimieten opgesteld voor radiofrequente elektromagnetische velden. Deze limieten beschermen (ruim) tegen opwarmingsschade aan het lichaam door een te hoge blootstelling aan radiofrequente elektromagnetische velden.2 De blootstellingslimieten zijn vijftig keer lager dan het niveau waarbij in onderzoek gezondheidseffecten optraden.3 De limieten zijn door ICNRIP vastgesteld op basis van alle beschikbare wetenschappelijke onderzoeken naar allerlei denkbare mogelijke gezondheidseffecten van blootstelling aan elektromagnetische velden. Alleen de schadelijke effecten op de gezondheid als gevolg van overmatige opwarming worden als voldoende bewezen geacht om daarvan blootstellingslimieten af te leiden. De blootstellingslimieten van ICNIRP zijn overgenomen in de aanbevelingen door de Raad van de Europese Unie met het oog op de beperking van blootstelling van de bevolking aan elektromagnetische velden4 en worden ook toegepast bij het voldoen aan de productveiligheidseisen voor apparatuur die in de handel wordt gebracht.5 Nederland hanteert, net als veel andere EU-lidstaten, deze blootstellingslimieten. De website van ICNIRP vermeldt dat zij wordt gefinancierd door nationale en publieke instellingen en een streng beleid van transparantie en onafhankelijkheid hanteert. Alle financiën van ICNIRP, inclusief donaties, zijn openbaar, evenals de persoonlijke belangen van de leden.6
ICNIRP doet uitvoerig meta-onderzoek op het gebied van elektromagnetische velden en gezondheid.7 In maart 2020 zijn deze limieten laatstelijk bevestigd en gepreciseerd op basis van de actuele stand van de wetenschap.8 ICNIRP heeft in de nieuwe blootstellingslimieten extra rekening gehouden met het gebruik van hogere frequenties ten behoeve van nieuwe technologieën (zoals 5G) en heeft om de gezondheidsbescherming verder te borgen nieuwe eisen toegevoegd ter limitering van de temperatuurstijging in het lichaam.9 Uit zeer uitvoerige meta-analyse van ICNIRP blijkt dat er geen wetenschappelijke basis is om te concluderen dat er bij blootstelling aan deze elektromagnetische velden met veldsterktes ónder deze limieten gezondheidsschade optreedt.10 ICNIRP heeft daarbij rekening gehouden met de wetenschappelijke kwaliteit en de onzekerheden van de door hen beoordeelde onderzoeken. De Gezondheidsraad adviseert om de nieuwste ICNIRP-richtlijnen in Nederland te gebruiken als basis voor het blootstellingsbeleid. Op 25 mei 2020 oordeelde de rechtbank dat het Nederlandse telecombeleid gebaseerd is op deugdelijke én actuele onderzoeken van deskundigen. De rechtbank concludeerde bovendien dat de gehanteerde strenge blootstellingslimieten en het toezicht daarop in orde zijn en dat de Staat het zogenoemde voorzorgsbeginsel naleeft.11
Hoe waardeert u zijn pleidooi om eerst meer onafhankelijk onderzoek te doen naar de gezondheidseffecten alvorens het 5G-netwerk met hoogfrequente elektromagnetische velden uit te rollen?
Zoals aangegeven in de kabinetsreactie12 op het Gezondheidsraadadvies komt de Gezondheidsraad in zijn rapport tot de conclusie dat het beschikbare wetenschappelijke onderzoek laat zien dat een verband tussen frequenties die voor 5G gebruikt (zullen) worden en ziekten niet is aangetoond en ook niet waarschijnlijk is. Frequenties zoals de 700 MHz-band en de 3,5 GHz-band zijn al jaren in gebruik voor de huidige telecommunicatiesystemen of andere toepassingen zoals WiFi, zonder dat dit heeft geleid tot bewezen gezondheidsschade. Uit wetenschappelijke onderzoeken zijn geen bewijzen gevonden voor negatieve effecten op de gezondheid onder de internationaal gehanteerde blootstellingslimieten. Volgens de WHO, Europese Commissie en ICNIRP is er op dit moment geen aanleiding om te veronderstellen dat het gebruik van de 26 GHz-band bij blootstelling onder de limieten negatieve gezondheidseffecten oplevert.13 Zoals eerder aangegeven heeft ICNIRP in de nieuwe blootstellingslimieten extra rekening gehouden met het gebruik van hogere frequenties ten behoeve van nieuwe technologieën.14 Ook bij het gebruik van 5G-technieken dient de blootstelling onder de geldende blootstellingslimieten te blijven. Agentschap Telecom houdt toezicht op de blootstellingslimieten en doet veldsterktemetingen door het gehele land om te controleren of de blootstellingslimieten niet worden overschreden.15 De werkelijk gemeten blootstelling door AT ligt over het algemeen een factor 10 onder de blootstellingslimieten. Dit geldt ook voor metingen aan 5G-systemen.16
Het kabinet zal zoals geadviseerd door de Gezondheidsraad inzetten op meer onderzoek. De komende jaren worden meer onderzoeksresultaten verwacht, bijvoorbeeld van het internationale epidemiologisch onderzoeksproject COSMOS17 waaraan Nederland deelneemt. Dit betreft een zeer groot internationaal cohortonderzoek waarin enkele honderdduizenden mensen gevolgd worden, met als doel lange termijn gezondheidseffecten te achterhalen. Dit zogeheten COSMOS-project loopt in ieder geval tot 2023. Daarnaast wordt in 2022 een uitgebreide wetenschappelijke analyse van de WHO verwacht. In navolging van de aanbevelingen in het advies van de Gezondheidsraad, beziet het kabinet op dit moment hoe het een extra bijdrage kan leveren aan (internationaal) onderzoek dat zich richt op gezondheidseffecten van blootstelling aan elektromagnetische velden in de 26 GHz-band en scenariostudies om de blootstelling van individuen als gevolg van draadloze communicatiesystemen (3G, 4G en 5G) zichtbaar te maken.
Het kabinet houdt de vinger aan de pols en blijft de nieuwste wetenschappelijke resultaten volgen. Het Kennisplatform EMV en organisaties zoals het RIVM, Gezondheidsraad en GGD’en spelen een belangrijke rol in de advisering en ontsluiting van kennis op het gebied van EMV. In het Kennisplatform EMV18 werken RIVM, TNO, DNV GL, GGD GHOR Nederland, Agentschap Telecom en ZonMw samen om wetenschap te duiden en kennis te ontsluiten voor burgers, professionals, werknemers en lagere overheden.
Gaat u zorgen voor meer onderzoek naar de gezondheidseffecten – thermische en niet-thermische – van hoogfrequente elektromagnetische straling bij de verwachte blootstelling in de toekomst? Zo ja, hoe?
Zie antwoord vraag 4.
Wat betekent het genoemde onderzoek voor de uitrol van het 5G-netwerk in Nederland?
Zie antwoord vraag 4.
Een explosieve toename hacks en datadiefstal |
|
Attje Kuiken |
|
Sander Dekker (VVD) |
|
Kent u het bericht «AP luidt noodklok: explosieve toename hacks en datadiefstal»?1
Ja.
Deelt u de mening dat het verontrustend is dat voor het tweede jaar op rij het aantal incidenten van hacking, phishing of malware om persoonsgegevens buit te maken sterk gestegen is? Zo nee, waarom niet?
Zoals onder meer gemeld in de Kamerbrief van 9 oktober jl. (Kamerstukken 2019–2020, 26 643, nr. 715) zijn geregistreerde cybercrime (waaronder hacken) en gedigitaliseerde criminaliteit (waaronder online fraude en babbeltrucs) de afgelopen jaren beide gestegen. Sinds het begin van de coronacrisis zijn deze vormen van criminaliteit verder toegenomen. Dat is zorgelijk. Het is niet bekend in hoeveel gevallen er persoonsgegevens zijn overgenomen.
Heeft u een indicatie in hoeveel gevallen genoemde incidenten leiden tot misdrijven waaronder oplichting en identiteitsfraude?
Uit de cijfers van de politie, het OM, de Fraudehelpdesk en het Centraal Meldpunt Identiteitsfraude is niet te herleiden welke specifieke hack of datadiefstal ook heeft geleid tot fraude. Ook de AP beschikt niet over informatie over misdrijven die het gevolg zijn van datalekken. Er zijn namelijk verscheidene manieren om aan informatie en persoonsgegevens te komen, denk hierbij aan phishing, het onderscheppen van de post en online gedrag op social media. Bij het plegen van fraude wordt ook vaak gebruik gemaakt van combinaties van meerdere datasets. Bijvoorbeeld wordt een dataset die is gestolen via phishing gecombineerd met de dataset die is gestolen door middel van hacken. Ook kan er veel tijd zitten tussen het moment dat de gegevens worden gestolen en de mogelijke gevolgen, waardoor een direct verband moeilijk aan te tonen is. Daarnaast hebben slachtoffers vaak zelf geen zicht op hoe de fraudeur aan de gegevens is gekomen, waardoor het niet herleidbaar is.
Deelt u de mening van de voorzitter van de Autoriteit Persoonsgegevens dat organisaties waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd zorgvuldig mee omgaan? Zo ja, hoe komt dat en hoe gaat u er aan bijdragen dat dat verbeterd gaat worden? Zo nee, waarom niet?
De AP rapporteert in haar datalekkenrapportage dat 2020 een toename met 30% kende van het aantal hacks dat gericht is op het buitmaken van persoonsgegevens. Die toename kan verschillende oorzaken hebben, waaronder onzorgvuldigheid. De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording. De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP. Daarnaast is vergroting van het privacybewustzijn een van de voornemens uit de Agenda horizontale privacy, waarover ik uw Kamer bij brief van 5 februari jl. (Kamerstukken 2020–21, 34 926, nr. 11) informeerde.
Bij hoeveel datalekken is de Autoriteit Persoonsgegevens bij gebrek aan capaciteit niet in de staat om daar actie tegen te ondernemen?
In 2020 ontving de AP 23.976 meldingen van datalekken. Uit de rapportage Datalekken 2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Dit kan naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt door klachten, tips of andere datalekmeldingen.
Het is niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan capaciteitsgebrek. Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.
Deelt u de mening, zoals die mede verwoord is door de Kamer in het debat over het datalek bij de GGD, dat de Autoriteit Persoonsgegevens als de toezichthouder moet meegroeien met de toename van het aantal risico’s waardoor de bescherming van persoonsgegevens steeds meer onder druk komt te staan? Zo ja, hoe gaat u hier en op welke termijn concreet gevolg aan geven? Zo nee, waarom niet?
In de rapportage Datalekken 2020 van de AP wordt een toename van het aantal meldingen van hacking en malware gemeld van 271 meldingen. Het totaal aantal datalekmeldingen neemt echter af met 2.980 meldingen. Dit impliceert dat niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar capaciteit risico-gestuurd in te zetten.
Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen over de verhoging van het budget van de AP.
Het bericht dat (een gedeelte) van de Belgische overheid plat lag door een DDOS aanval |
|
Barbara Kathmann |
|
Kajsa Ollongren (D66) |
|
Kent u het artikel «Belgische overheden getroffen door grote cyberaanval»?1
Hoe vaak is de Nederlandse overheid doelwit geweest van een cyberaanval, zoals een DDOS aanval?
Is Nederland voldoende weerbaar tegen cyberaanvallen, waaronder DDOS-aanvallen? Zo ja, waaruit blijkt dat? Zo nee, hoe verbeteren we de Nederlandse weerbaarheid tegen cyberaanvallen?
Is de Nederlandse overheid proactief op zoek naar kwetsbaarheden in de beveiliging? Zo nee, waarom niet?
Is er een noodprotocol om de overheid te laten functioneren als de overheid te maken krijgt met een cyberaanval? Zo nee, vindt u het zinvol om een noodprotocol te ontwikkelen? Wilt u uw antwoord motiveren?
Heeft u contact gehad met uw Belgische ambtgenoot over de DDOS-aanval? Zo ja, wat is er besproken en wat heeft het gesprek opgeleverd?
Welke lessen zijn er te leren aan de hand van de cyberaanvallen in België?
Het ILT Onderzoeksrapport Stichting Waternet |
|
Lisa van Ginneken , Tjeerd de Groot |
|
Cora van Nieuwenhuizen (VVD) |
|
Hoe beoordeelt de Minister de conclusie van de Inspectie Leefomgeving en Transport (ILT) dat er een verhoogd – maar moeilijk te kwantificeren – risico aanwezig is op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater?
Taxeert de Minister dat dit risico aanvaardbaar is, hangende het verscherpte toezicht? En zo nee, wat gaat de Minister doen om de risico’s beter in beeld te krijgen en te beheersen?
Wat is de Minister voornemens te doen om het tempo te verhogen van het implementeren van de door de ILT voorgestelde oplossingen?
Wordt er in het verscherpte toezicht ook nader gekeken naar de organisatiestructuur en de besturing van de organisatie, en de bijdrage die dat volgens het ILT-onderzoek levert aan de tekortkomingen in de cybersecurity? Zo ja, op welke manier? Zo nee, waarom niet?
Zijn er naast het verscherpte toezicht nog andere stappen die door u of de ILT worden gezet om te zorgen dat de cybersecurity bij Waternet structureel verbetert? Welke stappen worden er door de organisatie van Waternet zelf precies gezet en dragen die naar uw mening voldoende bij aan het voorkomen van cyberincidenten?
Kunt u deze vragen elk afzonderlijk beantwoorden?
Mobiele bereikbaarheid en overal in Nederland 112 kunnen bellen. |
|
Inge van Dijk |
|
Mona Keijzer (CDA) |
|
Kunt u zich herinneren dat het CDA in de afgelopen jaren herhaaldelijk aandacht heeft gevraagd voor plaatsen in Nederland waar de mobiele bereikbaarheid onvoldoende was en alarmnummer 112 slecht bereikbaar, zoals Olland in Brabant1 Termunten/Termunterzijl in Groningen2 en Vilsteren/Hoge Hexel in Overijssel3?
Bent u bekend met de berichtgeving over de problemen rond de mobiele bereikbaarheid van alarmnummer 112 in delen van Gelderland4 en de schriftelijke vragen die de Provinciale Statenfractie van CDA Gelderland hierover onlangs heeft gesteld?5
Deelt u de mening dat het van levensbelang is dat de mobiele bereikbaarheid in het algemeen en die van alarmnummer 112 in het bijzonder overal in Nederland optimaal is?
Kunt u voor ons visualiseren hoe het thans gesteld is met de mobiele bereikbaarheid van alarmnummer 112 in Nederland? Kunnen wij een dekkingskaart ontvangen met «vlekken» waaruit kan worden afgeleid in welke gebieden de mobiele bereikbaarheid slecht/onvoldoende is en dus actie is gewenst?
Wat zijn de oorzaken van de slechte mobiele bereikbaarheid van 112 in bepaalde delen van Nederland? Betreft het onvoldoende netwerkdekking door onvoldoende masten of spelen ook andere oorzaken als isolatie en weeromstandigheden een rol? In welke mate zorgen juridische procedures tegen het afgeven van een (omgevings)vergunning voor het plaatsen van nieuwe masten voor vertraging?
Acht u het mogelijk dat met de dekkingsverplichting van 98 procent voor telecomproviders, voortkomend uit de veiling van de 700Mhz-band in 2020, alsnog 100 procent mobiele dekking van alarmnummer 112 kan worden gerealiseerd? Indien niet, hoe kan dan de veiligheid van inwoners in plaatsen met onvoldoende mobiele dekking worden gegarandeerd?
Bent u bereid om het bovenstaande met branchevereniging Monet (waarin telecomproviders verenigd zijn), Agentschap Telecom, gemeenten in de Vereniging van Nederlandse Gemeenten (VNG) en provincies in het Interprovinciaal Overleg (IPO) te bespreken en te verkennen met welke aanvullende acties de mobiele bereikbaarheid van alarmnummer 112 kan worden verbeterd en onveilige situaties voorkomen?
Kunt u bij het Agentschap Telecom en/of de VNG nagaan in hoeverre gemeentes bekend zijn met en gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten», waarmee lokaal de mobiele bereikbaarheid kan worden verbeterd? Wat is hiervan uw eigen indruk?
Kunt u deze vragen in ieder geval voor het eerstvolgende commissiedebat Telecommunicatie op 20 mei 2021 beantwoorden?
Voedselvoorziening als vitale infrastructuur |
|
Barbara Kathmann |
|
Ferdinand Grapperhaus (CDA) |
|
Bent u bekend met het artikel «Oproep na kaashack: bestempel voedselvoorziening als vitale infrastructuur»?1
Wat zijn de voor- en nadelen van de voedselvoorziening als vitale infrastructuur te benoemen?
Wat voor hulp biedt het Nationaal Cyber Security Centrum (NCSC) aan bedrijven die als vitale infrastructuur worden gezien?
Wat zijn de criteria om een bedrijf te kenmerken als vitale infrastructuur?
Wat vindt u van de oproep om de voedselvoorziening toe te voegen aan de lijst met bedrijven die worden gezien als vitale infrastructuur?
Deelt u de verwachting van IT-beveiligingsexperts, dat hackaanvallen op de voedselvoorziening vaker voor zullen komen? Zo nee, waarom niet?
Kunt u reflecteren op het bericht dat ethische hackers aangeven dat de digitale veiligheid van de voedselvoorziening niet op orde is?
Wat vindt u van de uitspraak dat de pakkans bij hacken laag is? Wat is de reden van de lage pakkans?
Moet de overheid meer doen om de pakkans bij hacken te vergroten? Zo ja, wat voor maatregelen heeft u in gedachten? Zo nee, waarom niet?
Het bericht ‘ICT-adviseur corporaties had financiële banden met ICT-leveranciers waarover het adviseert’ |
|
Daniel Koerhuis |
|
Kajsa Ollongren (D66) |
|
Kent u het bericht «ICT-adviseur corporaties had financiële banden met ICT-leveranciers waarover het adviseert»?1
Hoe kijkt u aan tegen de wisselwerking tussen advies- en implementatierollen voor ICT binnen de corporatiesector?
Hoe zorgt u ervoor dat advies- en implementatierollen voor bijvoorbeeld ICT, (financieel) management en accountancy binnen de corporatiesector niet door elkaar heen lopen?
Hoe kijkt u aan tegen Europese aanbestedingsregels voor corporaties? Bent u bereid om corporaties toch deze regels te laten volgen om dit soort belangenverstrengeling tegen te gaan?
Hoe gaat u ervoor zorgen dat er meer initiatieven uit de corporatiesector zelf komen, om dit soort belangenverstrengeling tegen te gaan?
Welke rol ziet u voor de ACM (Autoriteit Consument & Markt) om dit soort belangenverstrengelingen tegen te gaan?
Deelt u de mening dat de corporatiesector dezelfde strenge normen moet hanteren die ook al gelden voor andere sectoren, zoals voor advies- en implementatierollen binnen de bankensector? Zo nee, waarom niet?
Hoe kijkt u aan tegen een governance code voor corporaties? Bent u bereid om corporaties een governance code te laten ontwikkelen om dit soort belangenverstrengeling tegen te gaan?
Deelt u de mening dat de corporatiesector een statement moet maken om afstand te nemen van de huidige wisselwerking tussen advies- en implementatierollen voor ICT?
Het bericht dat Huawei toegang had tot gegevens van miljoenen Telfort-klanten. |
|
Kathalijne Buitenweg |
|
Ferdinand Grapperhaus (CDA), Mona Keijzer (CDA) |
|
Bent u bekend met het artikel «Huawei had toegang tot gegevens miljoenen Telfort-klanten»?1
Wat is uw reactie op deze berichtgeving, die erop wijst dat Huawei toegang had tot de klant- en facturatiegegevens van miljoenen Telfort abonnees?
Klopt het dat uit het aangehaalde KPN-rapport blijkt dat Huawei geregeld bestanden uit de klantomgeving van Telfort haalde? Zo ja, wat is uw reactie op de verklaring van hetzelfde bedrijf dat er geen enkele aanleiding is om te veronderstellen dat er gegevens van Telfort-klanten waren ontvreemd, door wie dan ook? Bent u bereid om hier bij KPN opheldering over te vragen?
Kunt u helder uiteenzetten tot welke specifieke datavariabelen Huawei precies toegang had?
Is het denkbaar dat de Chinese autoriteiten op deze manier, via Huawei, de Oeigoerse diaspora of andere specifieke groepen in beeld konden brengen of konden volgen?
Welke acties zijn ondernomen in 2019 toen medewerkers van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en specialisten van KPN een verborgen toegangspad naar klantgegevens ontdekten waar alleen Huawei bij kon?
Is het bestaan van dat toegangspad destijds gemeld bij de Autoriteit Persoonsgegevens? Zo nee, waarom niet?
Is destijds bij Huawei om opheldering gevraagd over het ontdekte toegangspad? Zo ja, door wie, en wat was de reactie? Zo nee, waarom niet? Op welke wijze is het toegangspad gesloten? In hoeverre is het aanbrengen van geheime toegangspaden in strijd met de wet?
Klopt het dat het bewuste klantsysteem momenteel niet meer in gebruik is? Tot wanneer was het systeem wel in gebruik?
Kunt u uitsluiten dat Huawei op dit moment dergelijke toegang heeft tot klantgegevens van Nederlandse burgers? Hoe wordt voorkomen dat dit weer kan gebeuren? In hoeverre is de logging van toegang tot klantgegevens van telecombedrijven nu verplicht?
Deelt u de mening van hoogleraar Bas Jacobs, tevens lid van de Cyber Security Raad, dat het interne KPN-rapport ook iets zegt over de wijze waarop Huawei in het algemeen haar producten aanlevert, dat het bedrijf zichzelf een plek diep in de geleverde systemen verschaft? Zo ja, is het dan verantwoord om Huawei een rol te laten spelen in het aanleggen van 5G-netwerken? Zo nee, waarom niet?
Was u al op de hoogte van dit rapport, of is deze informatie nieuw voor u? In hoeverre waren de bevindingen van het rapport al meegenomen in het structurele proces ten aanzien van de risicobeoordeling van kwetsbaarheden van de netwerken van telecomaanbieders?
Deelt u de mening dat dit interne KPN-rapport laat zien dat het onverstandig is om gebruik te maken van andere dan volledig betrouwbare leveranciers in het telecomnetwerk, niet alleen in de kritieke delen van het netwerk, maar ook in het radio- en antennenetwerk? Zo nee, waarom niet?
Het bericht 'Hoe het CBS en T-Mobile de privacy schonden' |
|
Joba van den Berg-Jansen |
|
Mona Keijzer (CDA) |
|
Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1
Wat is uw eerste reactie op deze berichtgeving?
Vanaf welk moment bent u op de hoogte van deze kwestie? Welke acties hebt u tot dusver ondernomen?
Klopt het dat het verkrijgen van toegang tot de data van telecomproviders hoog op de agenda van staat van de Europese statistiekbureaus en het Nederlandse Centraal Bureau voor de Statistiek (CBS), zoals naar voren komt uit de correspondentie bij vernoemd nieuwsbericht?
Welke afspraken hebben het CBS en T-Mobile gemaakt over het uitwisselen van datasets? Kunt u de Kamer, desnoods vertrouwelijk, inzage geven in de documenten waarin deze afspraken en bijbehorende voorwaarden zijn vastgelegd?
Van hoeveel mobiele klanten van T-Mobile, en eventuele andere telecomproviders, zijn gegevens uitgewisseld? Is het juist dat deze klanten hiervan niet op de hoogte zijn? In hoeverre is dit toegestaan?
Kunt u uitleggen waarom voor een dergelijke uitwisseling van gegevens in het kader van een «pilot-project», zoals een woordvoerder van het CBS omschrijft, geen toestemming nodig zou zijn, terwijl voor een vergelijkbaar initiatief in het kader van coronabestrijding parlementaire goedkeuring gevraagd zou worden?
Kunt u aangeven of er sprake is van een uitwisseling van geanonimiseerde, niet tot individuele personen herleidbare gegevens en/of gepseudonomiseerde data dan wel van data van niet-anonieme bellers?
Kunt u duiden hoezeer de ontwikkeling van een algoritme ten behoeve van het leveren van mobiliteitsinformatie aan overheden, bekostigd met overheidsgeld en in gebruik door commerciële partijen, en het verrijken van databestanden ten behoeve van het in kaart brengen van financiële relaties binnen huishoudens binnen de nieuwe beleidsregels voor het CBS vallen?
Bent u bereid de Autoriteit Persoonsgegevens om een oordeel te vragen over deze activiteiten en de werkwijze van het CBS?
Hoe zijn de verschillende onderdelen van de motie-Van den Berg/Wiersma over het tegengaan van oneerlijke concurrentie door het CBS uitgevoerd?2
Is uw indruk dat sinds de inwerkingtreding van de nieuwe beleidsregels het gedrag van het CBS op de markt voor statistiekonderzoek ten goede is veranderd? Waar blijkt dit uit?
Hebt u sinds de inwerkingtreding van de nieuwe beleidsregels nog klachten van commerciële statistiekbureaus of andere partijen ontvangen over oneerlijke concurrentie door het CBS? Zo ja, wat hebt u met deze klachten gedaan?
Wanneer is het onderzoek door het Agentschap Telecom naar mogelijke privacyschendingen afgerond? Zal dit met de Kamer worden gedeeld?
Bent u bereid om hangende het onderzoek door de Autoriteit Persoonsgegevens het CBS te verzoeken alle voornoemde en verwante activiteiten te staken, totdat er duidelijkheid is over de privacy, gevolgde procedures en werkwijze, aard van uitgewisselde data en toegang van CBS-medewerkers tot die data?
Deelt u de mening van het CBS dat «de data zo privacygevoelig zijn dat als er één partij vertrouwd kan worden om dit te analyseren dat het CBS is»?
Het bericht ‘Hoe het CBS en T-Mobile de privacy schonden’ |
|
Kees Verhoeven |
|
Mona Keijzer (CDA) |
|
Bent u bekend met het bericht «Hoe het CBS en T-Mobile de privacy schonden»?1
Bent u bekend met de nog niet beantwoorde Kamervragen over het niet naleven van de wet en het grootschalig en onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang asielzoekers (COA), de politie, Defensie, inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV?2
Wist u van het grote datacontract tussen het Centraal Bureau voor de Statistiek (CBS) en T-Mobile uit 2017? Zo ja, sinds wanneer wist u dit en waarom is de Kamer niet geïnformeerd? Zo nee, hoe is het mogelijk dat u hier niets van afwist?
Wist u dat het CBS op grote schaal werkte met direct en indirect herleidbare locatiegegevens van miljoenen burgers? Wat heeft u gedaan met signalen en zorgen dat het verzamelen van data via T-Mobile strijdig was met privacywetgeving? Wanneer zijn de eerste stappen ondernomen?
Wat vindt u van de opportunistische handelwijze van T-Mobile, inclusief het verzwijgen van activiteiten en het openlijk bepleiten van terughoudendheid met commercieel datagebruik?
Wat is de stand van zaken van de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19 (Kamerstuk 35 479)? Klopt het dat het kabinet deze wet heeft stilgelegd dan wel ingetrokken na brede kritiek binnen en buiten de Kamer over de negatieve gevolgen voor de privacy van miljoenen mensen?
Deelt u de zorgen van de voorzitter van de Autoriteit Persoonsgegevens (AP) dat met zulke zeer grote datasets het risico bestaat dat met het combineren van de locatiegegevens achterhaald kan worden wie bij welke locatiegegevens hoort en het risico bestaat dat we een surveillancemaatschappij optuigen?
Welke andere CBS-proefprojecten met grootschalige dataverzameling lopen er?
Zijn alle CBS-proefprojecten met grote dataverzamelingen inmiddels geheel stopgezet?
Welke persoonsgegevens verzamelt, koppelt of verwerkt het CBS momenteel allemaal?
Welke overige informatie verzamelt het CBS momenteel allemaal?
Is het CBS wel de «veilige haven» voor data die het zegt te zijn? Voldoet het CBS aan alle eisen van de Algemene verordening gegevensbescherming (AVG)?
Hoe beoordeelt u het verzwijgen van het datacontract door CBS en T-Mobile tegenover het Agentschap Telecom?
Hoe beoordeelt u het gegeven dat met overheidsgeld een lucratief algoritme zou worden ontwikkeld dat ook een private contractpartner kon gaan gebruiken?
Welke stappen onderneemt u tegen de oneerlijke concurrentie met het publiek gefinancierde CBS dat ten koste gaat van bedrijven als Mezuro?
Kunt u de vragen beantwoorden voor dinsdag 16 maart 2021?
Het bericht dat het CBS toegang kreeg tot privacygevoelige locatiedata van klanten van T-Mobile |
|
Kathalijne Buitenweg |
|
Bas van 't Wout , Sander Dekker (VVD), Mona Keijzer (CDA) |
|
Bent u bekend met het artikel «Hoe het CBS en T-Mobile de privacy schonden»?1
Wat is uw reactie op deze berichtgeving, die erop wijst dat het Centraal Bureau voor de Statistiek (CBS) jarenlang toegang had tot gevoelige locatiegegevens van klanten van T-Mobile?
Klopt het dat medewerkers van het CBS toegang hadden tot verkeersgegevens voor facturering van T-Mobile klanten, waarmee kan worden achterhaald wie wanneer op welke locatie was en met wie men contact had?
In hoeverre zijn dergelijke verkeers- en factureringsgegevens te beschouwen als anonieme datasets?
Welke definitie hanteert u van gepseudonimiseerde persoonsgegevens in dit verband? Zijn gegevens van telecommunicatieverkeer waaruit enkel de unieke IMSI-nummers zijn verwijderd nog steeds persoonsgegevens, of niet?
Klopt het dat CBS-medewerkers zelfs toegang hadden tot direct herleidbare persoonsgegevens, met inbegrip van IMSI-nummers?
Hoe verhoudt de samenwerking tussen het CBS en T-Mobile zich tot het voorstel voor de Tijdelijke wet informatieverstrekking RIVM in verband met COVID-19? Is de verstrekking van de data, zoals die heeft plaatsgevonden tussen het CBS en T-Mobile, enigszins vergelijkbaar met het voorstel om informatie door te geven via het CBS aan het Rijksinstituut voor Volksgezondheid en Milieu (RIVM)?
Hoe kijkt u nu naar het antwoord in de nota naar aanleiding van het verslag, waarin u schreef dat CBS-medewerkers op het kantoor van T-Mobile werkzaam waren in het kader van een pilot om te kunnen meekijken en overleggen, en dat gedurende de pilot enkel anonieme uitkomsten (tellingen) aan het CBS zijn geleverd? Deelt u de mening dat dit antwoord niet correct was? Zo ja, hoe verklaart u dit?
Klopt het dat het CBS in regulier overleg met de toezichthouders heeft verzwegen toegang te hebben gehad tot niet-geanonimiseerde locatiedata van T-Mobile klanten? Zo ja, wat vindt u hiervan?
Klopt het dat de Autoriteit Persoonsgegevens wegens tijdgebrek nog niet was toegekomen aan het bekijken van opgevraagde CBS-documenten? Deelt u de mening dat deze casus eens te meer aantoont dat een forse intensivering nodig is van de capaciteit van de Autoriteit Persoonsgegevens?
Klopt het dat in het projectplan voor deze samenwerking staat vermeld dat medewerkers van het CBS volledige toegang zouden hebben tot gevoelige locatiedata, terwijl het contract enkel gaat over geaggregeerde gegevens?
Hoe is het mogelijk dat het CBS, als zelfstandig bestuursorgaan, deze samenwerking is aangegaan? Op welke manier wordt binnen de organisatie getoetst of projectplannen voldoen aan de privacy-wetgeving? Hoe is het mogelijk dat niemand hierover aan de bel heeft getrokken? Bent u bereid om een extern onderzoek te starten naar de wijze waarop het CBS omgaat met privacy-vraagstukken?
Hoe beoordeelt u het feit dat het CBS, een zelfstandig bestuursorgaan, bekostigd uit de rijksbegroting, opereert op basis van een business plan dat inzet op het combineren van datasets, waarmee tientallen miljoenen euro’s per jaar kunnen worden verdiend? Vindt u dit wenselijk?
Vindt u het wenselijk dat het CBS contracten aangaat met private bedrijven waar toegang tot gevoelige gegevens als het ware wordt uitgewisseld tegen het leveren van algoritmen waar die private bedrijven dan weer van kunnen profiteren? In hoeverre is dit verenigbaar met de publieke taak van het CBS?
In hoeverre zijn de nationale statistiekbureaus in andere Europese landen op een vergelijkbare wijze ingericht, waarbij zij zich op de markt begeven als ontwikkelaar van algoritmen?
Deelt u de strekking van het artikel dat het CBS zich op de markt nadrukkelijk profileert als een betrouwbare partij, vanwege haar banden met de overheid, om zo marktvoordeel te behalen ten opzichte van concurrenten?
Deelt u de strekking van het artikel dat zowel T-Mobile als het CBS misleidend zijn geweest in hun externe communicatie over dit samenwerkingsproject door te benadrukken dat het alleen zou gaan om anonieme geaggregeerde data, ook toen men al wist dat er ook met ruwe locatiedata was gewerkt?
Herkent u het beeld dat wordt geschetst van bedrijven en onderzoekers die pogen om de coronacrisis aan te wenden om toegang tot gegevens te verkrijgen op een manier die eerder niet mogelijk was? Zo ja, wat vindt u van deze trend?
Kunt u een overzicht geven van alle vergelijkbare contracten die het CBS heeft met private bedrijven rond toegang tot klantgegevens en de ontwikkeling en levering van algoritmen?
De Stand van zakenbrief digitale ondersteuning pandemiebestrijding |
|
Fleur Agema , Kees Verhoeven |
|
Hugo de Jonge (CDA) |
|
Herinnert u zich uw brief waarin schrijft dat de kwetsbaarheden in IT-systemen voor testen en traceren die blijken uit de risicoanalyse niet openbaar worden gemaakt?1 Deze kwetsbaarheden zijn inmiddels toch opgelost en vormen daardoor toch geen bedreiging meer?
Er zijn mitigerende maatregelen genomen waarmee eerder geconstateerde kwetsbaarheden tot het minimum zijn gereduceerd. Om alle kwetsbaarheden op te lossen zullen enkele applicaties – waaronder HP Zone – moeten worden vervangen. Hierover worden nu concrete afspraken gemaakt en acties in gang gezet tussen GGD, RIVM en VWS. Daarnaast vindt er actieve monitoring plaats op de IT systemen. Indien afwijkingen zich voordoen wordt hier 7 dagen per week direct actie op ondernomen.
Bent u bereid de risico-analyses alsnog openbaar te maken zodat de Kamer op basis van zo volledig en transparant mogelijke informatie haar taak kan uitvoeren?
In mijn brief aan uw Kamer van 12 februari ben ik op dit verzoek ingegaan. Zowel de NCSC als het Red team heeft mij geadviseerd openbaarmaking op dit moment teveel risico’s kent. Zoals eerder toegezegd zal ik bij het opleveren van de audit heroverwegen of het mogelijk is deze analyse of delen van deze analyse openbaar te maken. Mijn inzet is om zo transparant mogelijk te zijn.
Maakt het oefenen met cyberscenario's deel uit van het aanpakken van de kwetsbaarheden en wordt dit structureel ingezet? Zo nee, waarom niet?
Ja, er worden structureel cyberaanvallen testen ingezet. De resultaten daarvan worden gebruikt om kwetsbaarheden proactief te traceren en op te lossen.
Wordt inmiddels wel «volcontinu» en «volautomatisch» gecontroleerd op misbruik van de GGD-systemen?
Ja, er wordt continu en grotendeels automatisch gemonitord op misbruik van de GGD systemen. Indien er afwijkingen worden geconstateerd, vindt hier direct een afgewogen actie op plaats.
Wordt een scheiding gemaakt tussen persoonsgegevens en de andere gegevens of wordt dit nog steeds gecombineerd opgeslagen?
De gegevens worden gecombineerd opgeslagen, echter de functionaliteiten zijn dermate sterk gereduceerd dat de kans op frauduleuze handelingen zo veel mogelijk is verkleind.
Ligt er bij alle GGD's een draaiboek klaar in het geval van een volgend datalek om onmiddellijk actie te ondernemen en het lek direct te dichten?
Het recent ingerichte en nu volledig operationele SOC (Security Operations Center) van GGD GHOR Nederland staat in nauw contact met alle GGD'en en onderneemt direct actie als er incidenten optreden. De te nemen maatregelen zijn afhankelijk van het incident.
Hoe wordt beter gecommuniceerd dat burgers hun gegevens kunnen laten verwijderen uit de GGD IT-systemen? Er is teveel verwarring over de consequenties van de verwijdering ten aanzien van vaccinatie; kunt u ervoor zorgen dat verwijdering van testgegevens niet van invloed is op vaccinatie?
Als eerdere gegevens gewist zijn, kan er nog steeds een afspraak worden gemaakt om gevaccineerd te worden. Op de website van GGD GHOR Nederland is informatie beschikbaar over het verwijderen van persoonsgegevens bij de GGD'en: https://ggdghor.nl/actueel-bericht/informatie-over-verwijderen-persoonsgegevens-bij-de-ggden/. Ook op de websites van de regionale GGD'en is informatie beschikbaar. Bij vragen kan contact opgenomen worden met het landelijk informatienummer: 085-1308226 dat op werkdagen bereikbaar is van 9.00–17.00 uur.
Kunt u deze vragen voor 17 maart 2021 beantwoorden?
We streven ernaar om de antwoorden sneller dan de reguliere procedure af te wikkelen maar vóór 17 maart 2021 is niet haalbaar.
Het verzwakken van encryptie door de minister van Justitie en Veiligheid |
|
Kees Verhoeven |
|
Ferdinand Grapperhaus (CDA) |
|
Bent u bekend met het bericht «Overheid werkt aan plan voor afzwakken encryptie: «taak voor nieuw kabinet»»?1
Ja.
Klopt het dat het demissionair kabinet werkt aan het wijzigen van de Telecommunicatiewet teneinde het aftappen van Over-the-top (OTT) diensten – zoals iMessage, Messenger en WhatsApp – mogelijk te maken?
In mijn brief over internetcriminaliteit van 20 mei jl. heb ik aangegeven dat het kabinet de mogelijkheden voor toegang tot communicatie via OTT-diensten onderzoekt.2 Omdat een verplichting om de telecommunicatie aftapbaar te maken (een verplichting op grond van de Telecommunicatiewet) niet geldt voor OTT-diensten is het overwegen van een wetswijziging inherent aan dit onderzoek.
Realiseert u zich dat het kabinet demissionair is, dat dit tegen het bestaande encryptiestandpunt van Nederland in gaat, dat het aantasten van encryptie zeer controversieel is en dat de Kamer zich herhaaldelijk tegen de verzwakking van encryptie heeft uitgesproken?
In mijn eerdergenoemde brief heb ik aangegeven dat het effectief invoeren van een dergelijke verplichting niet eenvoudig is, onder andere omdat meerdere OTT-diensten gebruik maken van end-to-end versleuteling.3 Ik ben mij bewust dat het onderwerp encryptie gevoelig is. Dit dilemma is verwoord in het kabinetsstandpunt encryptie van 2016, maar ook in de brief over de verklaring die de lidstaten van de Europese Unie hebben uitgebracht.4 Daarin staat dat de beschikbaarheid, het gebruik en de ontwikkeling van sterke encryptie blijvend moet worden aangemoedigd. Dit is belangrijk voor de systeem- en informatiebeveiliging van de maatschappij, bedrijven en overheid. Eveneens is dit belangrijk voor de bescherming van fundamentele rechten, zoals het recht op de persoonlijke levenssfeer en het communicatiegeheim. Tegelijkertijd kan het nadelige effect van versleuteling op de uitvoering van de wettelijke taak van opsporings- en inlichtingen en veiligheidsdiensten niet worden genegeerd.
Opsporings- en inlichtingen en veiligheidsdiensten moeten nu en in de toekomst gebruik kunnen maken van hun wettelijke bevoegdheden zodat zij de nationale veiligheid kunnen beschermen, criminaliteit bestrijden en slachtoffers genoegdoening kan worden gegeven. Het is dus zaak om de beschermende waarde van versleuteling hoog te houden, terwijl de negatieve effecten voor opsporings- en inlichtingen en veiligheidsdiensten worden verminderd. Technische oplossingen dienen adequaat en evenwichtig te zijn. Belangrijke componenten hierbij zijn de proportionaliteit en subsidiariteit van de oplossing en dat hierover goed overleg wordt gevoerd met het bedrijfsleven.
Zoals gemeld in eerdere Kamervragen van het lid Verhoeven (D66) streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt die recht doen aan de belangen van de opsporing en de nationale veiligheid.5 In de brief over de raadsverklaring wordt uitgebreider ingegaan op de verhouding van de inventarisatie van oplossingen tot het kabinetsstandpunt.6
Ik heb er begrip voor dat uw Kamer de brief over de Raadsverklaring over rechtmatige toegang tot versleuteld bewijs controversieel heeft verklaard. Zoals aangegeven in het door uw Kamer aangehaalde artikel wordt het onderwerp pas na de verkiezingen behandeld. De uiteindelijke behandeling van een eventueel wetsvoorstel is aan de Tweede Kamer.
Wilt u per direct stoppen met alle werkzaamheden die erop gericht zijn encryptie te verzwakken?
Zie antwoord vraag 3.
Waarom weigert u enerzijds uitvoering te geven aan een aangenomen motie die oproept tot meer budget voor de Autoriteit Persoonsgegevens, maar werkt u anderzijds tegen aangenomen moties in, wel aan het verzwakken van encryptie?2 3
Het budget van de Autoriteit Persoonsgegevens is onderdeel van de portefeuille van de Minister voor Rechtsbescherming. Zie voor zijn reactie op deze motie de brief die op 1 maart 2021 naar uw Kamer is verzonden (kenmerk 25 268, nr. 197). Indien u verwijst naar de motie Baudet (FvD) die uw Kamer op 11 november jl. heeft aangenomen kan worden vastgesteld dat de motie de regering oproept zich tegen de ontwikkeling te verzetten om het versleutelen van digitale berichten te verbieden en niet akkoord te gaan met enig voorstel om versleuteling van berichtgeving te verbieden. Er is geen sprake van een voornemen om versleuteling te verbieden en het kabinet zal het verbieden van encryptie in de toekomst niet steunen.
Wilt u deze vragen beantwoorden voor dinsdag 9 maart 2021?
Ik heb uw vragen op 9 maart beantwoord.
Het bericht ‘Justitie deelt kritieke informatie over hacks niet met bedrijven.’ |
|
Dilan Yeşilgöz-Zegerius |
|
Ferdinand Grapperhaus (CDA) |
|
Bent u bekend met het bericht «Justitie deelt kritieke informatie over hacks niet met bedrijven»?1
Ja.
Bent u bekend met de betreffende brief van de Cyber Security Raad? Zo ja, hoe beoordeelt u de zorgwekkende analyse van de Cyber Security Raad? Kunt u dit toelichten?
Ja, ik ben bekend met de adviesbrief van de Cyber Security Raad (CSR) inzake het versneld delen van incidentinformatie. Het Nationaal Cyber Security Centrum (NCSC) kan in het kader van analyses ten behoeve van de primaire taakuitoefening (informeren en adviseren van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid) ook gegevens over dreigingen en incidenten met betrekking tot de netwerk- en informatiesystemen van andere aanbieders verkrijgen. De CSR stelt terecht dat het voor het NCSC nog niet mogelijk is om deze gegevens telkens te doen toekomen aan die andere aanbieders. Zij zijn hierdoor niet altijd op de hoogte van deze dreigingen of incidenten. Ik deel de zorgen van de CSR hierover en ben van mening dat het zo veel als mogelijk delen van informatie over dreigingen en incidenten van groot belang is voor de Nederlandse digitale veiligheid en weerbaarheid. Ik werk daarom aan een wetsvoorstel om ervoor te zorgen dat meer van de hiervoor genoemde gegevens bij die andere aanbieders terecht kunnen komen.
Klopt het dat nog veel dreigingsinformatie blijft hangen bij het National Cyber Security Centrum (NCSC) omdat de wettelijke basis voor het delen van deze informatie met betrokkenen nog niet op orde is? Zo ja, in hoeveel gevallen zijn bedrijven slachtoffer geworden van cyberaanvallen, terwijl het NCSC wel over relevante cruciale informatie beschikte en deze vervolgens niet kon delen?
In de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn de taken en bevoegdheden van het NCSC opgenomen. Op dit moment bestaat er nog niet in alle gevallen een wettelijke grondslag voor het NCSC om dreigings- en incidentinformatie over netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal, die is verkregen in het kader van de primaire taakuitoefening, aan of ten behoeve van deze aanbieders te verstrekken. Zoals ook aangeven in het antwoord op vraag 2, vind ik dit niet wenselijk en kom ik daarom met een wetsvoorstel om ervoor te zorgen dat deze aanbieders meer van de hiervoor genoemde informatie kunnen verkrijgen. Dit voorstel houdt in dat het NCSC ook aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren (OKTT’s) vertrouwelijke herleidbare informatie over aanbieders kan verstrekken, zodat deze schakelorganisaties de niet-vitale aanbieders in hun doelgroep van relevante dreigings- en incidentinformatie kunnen voorzien (wijziging van artikel 20, tweede lid, van de Wbni). De verstrekking van deze gegevens is momenteel al mogelijk aan onder meer computercrisisteams.
Daarnaast houdt dit voorstel in dat het NCSC in bijzondere gevallen informatie kan verstrekken aan individuele organisaties die geen deel uitmaken van de doelgroep Rijk en vitaal (wijziging artikel 3, tweede lid, van de Wbni).
Het NCSC ontvangt dagelijks veel data uit verschillende (internationale) bronnen en analyseert deze in het kader van de uitoefening van de wettelijke taak ten behoeve van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid. Ik beschik niet over concrete cijfers over aantallen slachtoffers van cyberaanvallen buiten deze doelgroep.
Wordt er bij het NCSC actief gezocht naar alternatieven om toch cruciale dreigingsinformatie te kunnen delen met betrokkenen? Zo ja, op welke alternatieven wordt ingezet en op welke schaal? Zo nee, waarom niet en wat is de huidige status van het landelijk dekkend stelsel? Welke niet-vitale sectoren kunnen nog steeds geen dreigingsinformatie ontvangen?
Het NCSC beziet voortdurend op welke manier zij het beste informatie en adviezen over digitale dreigingen en incidenten kan delen met de primaire doelgroep (vitale aanbieders, organisaties die deel uitmaken van de rijksoverheid) en andere organisaties in Nederland. Zo wordt er met inachtneming van de wettelijke kaders actief gewaarschuwd middels beveiligingsadviezen, nieuwsberichten op de website en berichten aan doelgroepen en andere partners.
Ten behoeve van een zo breed mogelijke uitwisseling en verstrekking van voor aanbieders relevante dreigings- en incidentinformatie zet het kabinet sinds 2018 in op de ontwikkeling van het Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden. Binnen dit LDS wordt informatie over cybersecurity breder, efficiënter en effectiever gedeeld tussen publieke en private partijen. Dit moet leiden tot een netwerk van schakelorganisaties die organisaties binnen hun onderscheidenlijke doelgroepen zo goed mogelijk kunnen adviseren en ondersteunen op het gebied van digitale veiligheid. Zoals aangegeven in de Kamerbrief van 3 februari jl.2 wordt, gebaseerd ook op aanbevelingen van het WODC, nog steeds gebouwd aan dit stelsel zodat zo veel mogelijk sectoren bereikt kunnen worden.
Over de voortgang van het LDS zal uw Kamer worden geïnformeerd in de voortgangsrapportage over de Nederlandse Cybersecurity Agenda (NCSA).
Heeft het Digital Trust Center (DTC) inmiddels een OKTT-status (objectief kenbaar tot taak) mogen ontvangen zodat zij niet-vitale bedrijven kunnen voorzien van dreigingsinformatie? Zo nee, wat is de status, waarom is dit nog steeds niet gebeurd en wat zorgt voor de vertraging? Bent u het met de mening eens dat er snelheid gebaat is bij het toekennen van de OKTT-status aan het DTC, gezien de enorme veiligheidsrisico’s die bedrijven nu lopen?
Het Digital Trust Center (DTC) van het Ministerie van EZK is op dit moment nog niet krachtens de Wbni als OKTT aangewezen. Door het Ministerie van EZK wordt momenteel gewerkt aan het laten voldoen van het DTC aan de voorwaarden voor die aanwijzing, waaronder het versterken van de juridische basis door middel van een wetsvoorstel. Na aanwijzing zal het DTC gaan beschikken over meer dreigings- en incidentinformatie die met het niet-vitale bedrijfsleven kan worden gedeeld.
Gelet op deze veiligheidsrisico’s voor duizenden ondernemers, wat is er op korte termijn (wettelijk) nodig om niet-vitale bedrijven toch te kunnen voorzien van dreigingsinformatie?
De eigen digitale weerbaarheid is primair een eigen verantwoordelijkheid van bedrijven. Het DTC biedt informatie, advies en tools aan om niet vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Voor de stappen die het DTC verder zet, verwijs ik u naar de brief van de Staatsecretaris van EZK aan uw kamer van 16 december jl.3.
Daarnaast kunnen niet vitale bedrijven ook kennisnemen van de algemene beveiligingsadviezen van het NCSC. Ook kunnen deze bedrijven ervoor kiezen om bijvoorbeeld een computercrisisteam in het leven te roepen, of zich bij een al bestaand computercrisisteam of andere schakelorganisatie aan te sluiten, die deze bedrijven voorziet van voor hen relevante dreigings- en incidentinformatie. Deze schakelorganisaties kunnen bijvoorbeeld ook krachtens de Wbni als computercrisisteam of OKTT worden aangewezen en daardoor informatie van het NCSC ontvangen. Het NCSC en het DTC werken bovendien nauw samen en zijn voortdurend, samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), telkens in gesprek over de mogelijkheden om binnen het LDS zo veel als mogelijk informatie te delen.
Voorts werk ik, zoals ook aangegeven bij de antwoorden op de vragen 2 en 3, aan een wetsvoorstel om ervoor te zorgen dat de bevoegdheid van het NCSC om dreigings- en incidentinformatie over de beveiliging- en informatiesystemen van niet-vitale aanbieders aan of ten behoeve van die aanbieders te verstrekken wordt uitgebreid en wordt, zoals in het antwoord op vraag 5 gegeven, gewerkt aan het door het DTC voldoen aan de voorwaarden voor een aanwijzing krachtens de Wbni als OKTT.
Hoe staat het met de samenwerking tussen het NCSC en samenwerkingsverbanden met een OKTT-status zoals de Nationale Beheersorganisatie Internetproviders? In hoeveel gevallen heeft het NCSC al dreigingsinformatie gedeeld met bedrijven die onderdeel uitmaken van het Nationale Beheersorganisatie Internetproviders?
Het NCSC deelt met organisaties met een OKTT-status binnen de wettelijke kaders, zoals eerder beschreven, gegevens over dreigingen en incidenten, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties in hun respectievelijke doelgroepen. Daarbij kan het in elk geval ook persoonsgegevens aangaande actoren betreffen, zodat organisaties aan de hand daarvan dreigingen beter kunnen detecteren in hun netwerken. Voor zover de te delen informatie, en in het bijzonder persoonsgegevens, vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de Nationale Beheersorganisatie Internetproviders (NBIP) momenteel niet mogelijk zonder toestemming van de betrokken aanbieders. Gelet hierop heeft de NBIP in de afgelopen periode tot nu toe in een aantal gevallen informatie over dreigingen en incidenten ontvangen.
Het bovenstaande overwegende, hoe beoordeelt u het huidige vermogen van de Nederlandse overheid om actief dreigingsinformatie te delen met Nederlandse bedrijven? Bent u het met de mening eens dat Nederland achterloopt op dit vlak wanneer wij kijken naar landen om ons heen zoals het Verenigd Koninkrijk?
Voor het goed functioneren van het Nederlandse cybersecuritystelsel is – zoals ik ook heb aangegeven in voornoemde Kamerbrief van 3 februari jl. – een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale organisaties en niet-vitale organisaties van groot belang. De in voorgaande antwoorden genoemde wetswijziging zal hieraan bijdragen. Daarbij kijk ik ook steeds naar de wijze waarop andere landen, zoals het VK, hun cybersecuritystelsels hebben ingericht, met als doel lessen daarvan te leren, en te kijken hoe die zouden passen in de Nederlandse bestuurlijke context. In het WODC-rapport over het Landelijk Dekkend Stelsel, dat ik in november 2020 aan uw Kamer heb aangeboden, is bijvoorbeeld een landenstudie opgenomen, waarin is gekeken hoe andere landen informatiedeling hebben vormgegeven, waaronder het Verenigd Koninkrijk.4 Veel landen hebben ook, net als Nederland, documenten als hun nationale cyberstrategie openbaar beschikbaar gemaakt. Naast bilaterale contacten ben ik permanent met Europese lidstaten in gesprek over versterking van de digitale weerbaarheid o.a. in het kader van de besprekingen over de voorgenomen herziening van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen en de Europese cybersecurity strategie. Indien daar aanleiding toe is, zal ik uw Kamer informeren over de bevindingen naar aanleiding van deze contacten.
Bent u het ook met de mening eens dat dit onacceptabel is gezien de serieuze veiligheidsrisico’s voor onze hoogontwikkelde kenniseconomie? Zo ja, bent u bereid om in gesprek te gaan met uw collega’s uit het Verenigd Koninkrijk? Zo ja, kunt u de Kamer op de hoogte houden van deze gesprekken?
Zie antwoord vraag 8.
Bent u bereid om op de korte termijn, gezien de actuele en reële dreiging van cyberaanvallen, maatregelen te nemen die het delen van dreigingsinformatie tussen overheid en niet-vitale bedrijven mogelijk maakt? Zo nee, waarom niet? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?
Ik werk, zoals hierboven is vermeld, aan een wetsvoorstel tot wijziging van de Wbni, om ervoor te zorgen dat meer dreigings- en incidentinformatie met betrekking tot de netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal bij deze aanbieders terecht kan komen. Ik streef ernaar om dit voorstel rond de zomer in consultatie te brengen.
Een explosieve toename hacks en datadiefstal |
|
Attje Kuiken |
|
Sander Dekker (VVD) |
|
Kent u het bericht «AP luidt noodklok: explosieve toename hacks en datadiefstal»?1
Ja.
Deelt u de mening dat het verontrustend is dat voor het tweede jaar op rij het aantal incidenten van hacking, phishing of malware om persoonsgegevens buit te maken sterk gestegen is? Zo nee, waarom niet?
Zoals onder meer gemeld in de Kamerbrief van 9 oktober jl. (Kamerstukken 2019–2020, 26 643, nr. 715) zijn geregistreerde cybercrime (waaronder hacken) en gedigitaliseerde criminaliteit (waaronder online fraude en babbeltrucs) de afgelopen jaren beide gestegen. Sinds het begin van de coronacrisis zijn deze vormen van criminaliteit verder toegenomen. Dat is zorgelijk. Het is niet bekend in hoeveel gevallen er persoonsgegevens zijn overgenomen.
Heeft u een indicatie in hoeveel gevallen genoemde incidenten leiden tot misdrijven waaronder oplichting en identiteitsfraude?
Uit de cijfers van de politie, het OM, de Fraudehelpdesk en het Centraal Meldpunt Identiteitsfraude is niet te herleiden welke specifieke hack of datadiefstal ook heeft geleid tot fraude. Ook de AP beschikt niet over informatie over misdrijven die het gevolg zijn van datalekken. Er zijn namelijk verscheidene manieren om aan informatie en persoonsgegevens te komen, denk hierbij aan phishing, het onderscheppen van de post en online gedrag op social media. Bij het plegen van fraude wordt ook vaak gebruik gemaakt van combinaties van meerdere datasets. Bijvoorbeeld wordt een dataset die is gestolen via phishing gecombineerd met de dataset die is gestolen door middel van hacken. Ook kan er veel tijd zitten tussen het moment dat de gegevens worden gestolen en de mogelijke gevolgen, waardoor een direct verband moeilijk aan te tonen is. Daarnaast hebben slachtoffers vaak zelf geen zicht op hoe de fraudeur aan de gegevens is gekomen, waardoor het niet herleidbaar is.
Deelt u de mening van de voorzitter van de Autoriteit Persoonsgegevens dat organisaties waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd zorgvuldig mee omgaan? Zo ja, hoe komt dat en hoe gaat u er aan bijdragen dat dat verbeterd gaat worden? Zo nee, waarom niet?
De AP rapporteert in haar datalekkenrapportage dat 2020 een toename met 30% kende van het aantal hacks dat gericht is op het buitmaken van persoonsgegevens. Die toename kan verschillende oorzaken hebben, waaronder onzorgvuldigheid. De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording. De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP. Daarnaast is vergroting van het privacybewustzijn een van de voornemens uit de Agenda horizontale privacy, waarover ik uw Kamer bij brief van 5 februari jl. (Kamerstukken 2020–21, 34 926, nr. 11) informeerde.
Bij hoeveel datalekken is de Autoriteit Persoonsgegevens bij gebrek aan capaciteit niet in de staat om daar actie tegen te ondernemen?
In 2020 ontving de AP 23.976 meldingen van datalekken. Uit de rapportage Datalekken 2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Dit kan naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt door klachten, tips of andere datalekmeldingen.
Het is niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan capaciteitsgebrek. Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.
Deelt u de mening, zoals die mede verwoord is door de Kamer in het debat over het datalek bij de GGD, dat de Autoriteit Persoonsgegevens als de toezichthouder moet meegroeien met de toename van het aantal risico’s waardoor de bescherming van persoonsgegevens steeds meer onder druk komt te staan? Zo ja, hoe gaat u hier en op welke termijn concreet gevolg aan geven? Zo nee, waarom niet?
In de rapportage Datalekken 2020 van de AP wordt een toename van het aantal meldingen van hacking en malware gemeld van 271 meldingen. Het totaal aantal datalekmeldingen neemt echter af met 2.980 meldingen. Dit impliceert dat niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar capaciteit risico-gestuurd in te zetten.
Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen over de verhoging van het budget van de AP.
Kent u het het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers»?1
Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers (COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV)?2
Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen (CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens (RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?
Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?
Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?
Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?
Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS) tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden (het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s), en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom niet?
De telefonische bereikbaarheid in Overijssel. |
|
Hilde Palland , Joba van den Berg-Jansen |
|
Mona Keijzer (CDA) |
|
Deelt u de mening dat in heel Nederland, dus ook in de buitengebieden, de internetdekking en telefonische bereikbaarheid optimaal dienen te zijn?
Ja. In de Nota Mobiele Communicatie is dit ook benoemd, evenals de uitdagingen bij het realiseren van mobiele netwerkdekking.1
Herinnert u nog dat de leden van de CDA-fractie in het algemeen overleg Telecommunicatie (11 juni 2020), het verslag van het algemeen overleg Telecommunicatie (29 oktober 2020) en in schriftelijke Kamervragen (15 oktober 2020)1 aandacht hebben gevraagd voor de telefonische bereikbaarheid in Overijssel, in het bijzonder in en om de dorpen Vilsteren en Hoge Hexel?
Ja.
Wat is de stand van zaken omtrent de plaatsing van een opstelpunt met mast bij Hoge Hexel door KPN, waarvan u op vraag negen van voornoemde Kamervragen antwoordde dat hiervoor een vergunning is afgegeven en dat dit opstelpunt «naar verwachting ergens in de komende maanden zal worden geplaatst»?
Ik heb van KPN begrepen dat zij voornemens is om aan het einde van het tweede kwartaal van dit jaar het opstelpunt realiseren.
Wat is de stand van zaken omtrent de situatie en ontwikkelingen in Vilsteren, waarvan u in antwoord op vraag negen van voornoemde Kamervragen aangaf dat u nog in afwachting was van respons van de gemeente Ommen?
Ik heb over de situatie in Vilsteren contact gehad met zowel mobiele netwerkaanbieders als de gemeente Ommen. Er wordt (h)erkend dat de dekking in Vilsteren niet optimaal is. Mogelijke oorzaken hiervan zijn het licht glooiende terrein rond Vilsteren en de aanwezige bebossing. Ik heb in mijn contact met de gemeente Ommen gewezen op de handleiding van Agentschap Telecom.3 Die is onder meer bedoeld om gemeenten handvatten te geven bij het verbeteren van mobiele netwerkdekking. Ik heb begrepen dat de gemeente Ommen met mobiele netwerkaanbieders een plaatsingsplangesprek heeft gevoerd zoals ook wordt genoemd in voornoemde handleiding van Agentschap Telecom en het Antenneconvenant.4 Het verbeteren van de dekking heeft de aandacht van mobiele operators. De plannen zijn vooralsnog echter niet zo concreet als met betrekking tot Hoge Hexel.
Snel internet voor iedereen. |
|
Joba van den Berg-Jansen |
|
Mona Keijzer (CDA) |
|
Deelt u de mening dat het in de digitale toekomst belangrijk is dat iedereen digitaal mee kan doen, dat in heel Nederland de internetdekking optimaal en de digitale voorzieningen voor iedereen betaalbaar en bereikbaar moeten zijn?
Wanneer ontvangt de Kamer de actualisatie van de breedbandkaart, waarvan u in de beantwoording van eerdere Kamervragen1 aangaf dat dit «in het eerste kwartaal van 2021» of «eerder indien mogelijk» zou zijn?
Acht u «nauwlettend monitoren», zoals u op vraag 8 van eerdergenoemde vragen antwoordt, voldoende om te bewerkstelligen dat conform de gewijzigde motie Van den Berg2 eind 2023 tenminste 99,5 procent maar uiteindelijk 100 procent van de adressen in Nederland kan beschikken over snel internet van ten minste 100 megabit per seconde (Mbps)?
Zou in plaats van alleen «nauwlettend monitoren» een aanjagende houding niet wenselijker zijn om de doelstelling van snel internet voor daadwerkelijk iedereen op tijd te halen? Waarom wel of niet?
In hoeverre is en blijft het uiteindelijk de marktdynamiek die bepaalt waar en op welke termijn snel internet wordt aangelegd? Wat en hoe groot kan en mag de rol van de overheid in uw ogen zijn, zowel landelijk als lokaal?
Denkt u dat de gebieden waarvan onderzoeks- en adviesbureau Dialogic eind 2019 aangaf dat deze lastig te ontsluiten zijn (circa 1.200 woonadressen in Zuid-Limburg, 7.000 woonadressen in Zeeland, 4.000 woonadressen op de Zuid-Hollandse eilanden en 1.300 woonadressen op de Hollandse kusten)3 alsnog gebaat zouden kunnen zijn bij overheidsinterventie wanneer uitrol van snel internet daar niet van de grond komt?
Op welke manier(en) zouden gemeentes kunnen worden geholpen bij het creëren van de juiste randvoorwaarden tegen welke snel internet overal in een gemeente kan worden aangelegd, wetende dat Dialogic concludeerde dat «er specifieke lokale redenen zijn waarom uitrol in deze (moeilijker te ontsluiten) gebieden lastig is»? Gaat het hier voornamelijk om budget of bijvoorbeeld ook om kennis en kunde?
Wanneer is dit onderwerp voor de laatste keer besproken met de Vereniging Nederlandse Gemeenten, het Interprovinciaal Overleg en/of markpartijen? Bent u bereid het op korte termijn opnieuw te agenderen gelet op het belang van snel internet voor bijvoorbeeld online (thuis)werken en online (thuis)onderwijs krijgen tijdens de coronacrisis?
Kwetsbaarheden in de cybersecurity van scanners in de Rotterdamse haven |
|
Kathalijne Buitenweg |
|
Ferdinand Grapperhaus (CDA) |
|
Bent u bekend met het bericht «Scanners in Rotterdamse haven broos voor Chinese spionage»?1
Ja.
Bent u voorts bekend met het bericht «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»?2
Ja.
Wat is uw appreciatie van de gezamenlijke waarschuwing van de AIVD, MIVD en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het FD artikel dat digitale spionage uit China een onmiddellijke dreiging vormt voor de Nederlandse economie en dat de vitale infrastructuur regelmatig doelwit is van cyberaanvallen? Deelt u deze zorgen?
Digitale spionage is een belangrijke dreiging voor de nationale veiligheid, zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3. Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen4. Onderdeel van deze aanpak is dat zowel op nationaal als op EU-niveau maatregelen worden genomen om de weerbaarheid van de vitale infrastructuur te versterken. In het Dreigingsbeeld Statelijke Actoren en de genoemde Kamerbrief komt deze dreiging, en de maatregelen die we hier tegen nemen, uitgebreid aan bod.
Klopt het dat de helft van de grote scanners in de Rotterdamse haven zijn geleverd door het Chinese bedrijf Nuctech? Zo ja, hoe verhoudt dit gegeven zich tot uw antwoord op vraag 3?
Ja, in de Rotterdamse haven zijn zeven grote ladingscanners geïnstalleerd, waaronder vier van Nuctech. Douane Nederland (hierna: de Douane) besteedt structureel – ongeacht welke leverancier scan apparatuur levert – aandacht aan de bescherming en beveiliging van gegevens. Tevens laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. De opdracht voor dit onderzoek is in september geïnitieerd nadat de Douane signalen ontving over de Nuctech scanners en het onderzoek zal in maart starten. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Verwacht wordt dat de resultaten van het onderzoek in de zomer beschikbaar zijn. Daarnaast wordt in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.
Vindt u het wenselijk om in de vitale infrastructuur gebruik te maken van Chinese leveranciers? Zo ja, welke veiligheidswaarborgen zijn er om Chinese leveranciers te screenen?
Een open economie, een open wetenschappelijk klimaat en vrijhandel liggen sinds jaar en dag aan de basis van het Nederlandse verdienvermogen en onze sterke positie. Nederland profiteert van de kansen en mogelijkheden die dit biedt; hierdoor kan Nederland gebruik maken van hoogwaardige materialen, technologie en kennis die in het buitenland – waaronder in China – wordt ontwikkeld.
Ook voor de vitale infrastructuur is het wenselijk dat gebruik wordt gemaakt van kwalitatief hoogwaardige producten en diensten. Aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren, is een afhankelijkheid van buitenlandse technologie dan ook een gegeven. Naast de genoemde kansen, bestaat echter ook het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen5.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari j.l. de laatste stand van zaken heeft ontvangen6. Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Met betrekking tot het door uw Kamer genoemde vraagstuk is specifiek het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid is eind 2018 geïmplementeerd voor de rijksoverheid.
Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
Wordt er, in navolging van het beleid rond het 5G-netwerk, ook in andere sectoren, zoals die van beveiligingsapparatuur, gewerkt met lijsten van onbetrouwbare leveranciers? Zo ja, op welke manier wordt dit vormgegeven? Zo nee, waarom niet?
Voor de telecomsector is een structureel proces ingericht waarin samen met relevante stakeholders bekeken wordt op welke manier de telecomnetwerken ook in de toekomst weerbaar kunnen blijven tegen veranderingen in het dreigingsbeeld en technologische ontwikkelingen. De focus ligt hierbij op het doen van risicoanalyses, het inzichtelijk maken van afhankelijkheden, en het in kaart brengen waar adaptieve maatregelen mogelijk zijn. De komende periode wordt in kaart gebracht wat er nodig is om deze structurele aanpak op telecom te verbreden naar andere vitale processen.
Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij (digitale) producten hanteert het kabinet de overwegingen die zowel bij c20007 als bij de veiligheid van de telecomnetwerken8 zijn gebruikt:
Deze risico’s worden op een zeer zorgvuldige en case-by-case-basis bezien.
Hoe beoordeelt u de uitspraak van de directeur van de Nederlandse tak van Nuctech dat de Chinese overheid zich niet met Nuctech bemoeit? Vindt u dit geloofwaardig, ook gezien het feit dat het staatsbedrijf China National Nuclear Corporation (CNNC) een van de aandeelhouders is?
In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»9. Specifiek zien we dat het CNNC 21% aandeel heeft in de voornaamste aandeelhouder van Nuctech (Tongfang Co. Ltd., met een aandeel van 76%). Het CNCC heeft daarmee dus indirect 15,96% aan aandelen in Nuctech.
Wat is uw reactie op klachten van concurrenten dat Nuctech onder de kostprijs levert dankzij Chinese staatssteun? Heeft u signalen die deze klachten ondersteunen? Hoe staat het in dit kader met het voorstel voor eenlevel playing field instrument dat het Nederlandse kabinet heeft ingebracht bij de Europese Commissie? Welke mogelijkheden zijn er momenteel voor aanbestedende diensten om mogelijk ongeoorloofde staatssteun mee te nemen in de aanbestedingsprocedure?
Zoals ook aangegeven in het antwoord op vraag 7, is het niet uit te sluiten dat er (indirecte) invloed is vanuit de Chinese overheid op dit bedrijf. In bredere zin zijn er al langere tijd zorgen over bedrijven die op de interne markt concurreren met staatssteun uit derde landen. Daarom heeft de Staatssecretaris van Economische Zaken in 2019 het voorstel voor een level playing field instrument gedaan, voor het realiseren van een gelijk speelveld op de interne markt om in te kunnen grijpen bij verstorende effecten van subsidies van derde landen. Mede op basis hiervan heeft de Europese Commissie in de zomer van 2020 een witboek gepresenteerd over het gelijktrekken van het speelveld op de interne markt in relatie tot overheidssubsidies uit derde landen. Zie in dit verband ook de kabinetsreactie op het Commissievoorstel COM (2020 253 – Witboek over buitenlandse subsidies op de interne markt)10. Een concreet wetgevend voorstel wordt verwacht in het tweede kwartaal van 2021.
De Europese aanbestedingsrichtlijnen bieden aanbestedende diensten mogelijkheden voor omgang met inschrijvingen met een abnormaal lage prijs. In Nederland zijn die richtlijnen omgezet in de Aanbestedingswet 2012. Aanbestedende diensten moeten op basis van artikel 2.116 van die wet bij een inschrijving die abnormaal laag lijkt, nader onderzoek doen door de betreffende onderneming te vragen om uitleg over hoe de prijs tot stand is gekomen. Wanneer een inschrijver het lage niveau van de voorgestelde prijs niet goed kan onderbouwen met bewijsmateriaal, kan de aanbestedende dienst deze inschrijving ter zijde leggen. Abnormaal lage inschrijvingen als gevolg van niet-naleving van verplichtingen op het gebied van milieu, sociaal en arbeidsrecht moeten zelfs door de aanbestedende dienst ter zijde worden gelegd. Dit geldt voor alle inschrijvingen, ongeacht het land van herkomst van de inschrijver. Dit draagt bij aan een gelijk speelveld voor ondernemers. De Europese richtlijnen bieden aanbestedende diensten momenteel geen mogelijkheden om ongeoorloofde staatssteun uit derde landen mee te nemen in de aanbestedingsprocedure. In het witboek stelt de Commissie een mogelijke toekomstig instrument voor, dat voorziet in een meldplicht voor ondernemingen die mogelijk overheidsondersteuning uit een derde land genieten wanneer zij op de interne markt inschrijven op een aanbesteding.
Deelt u de mening van de experts waar NRC mee sprak dat, ondanks de toezegging van de douane dat de scans in eigen beheer worden geëxploiteerd op een gesloten datanetwerk, de beveiliging van de Nuctech scanners toch kwetsbaar is? Zo nee, waarom niet?
In algemene zin valt te zeggen, dat een maatregel zoals het afsluiten van het netwerk altijd onderdeel is van een breed pakket van beheersmaatregelen die zowel preventie, detectie als (incident) response omvatten.
Zoals bij vraag 4 is aangegeven, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.
Klopt het dat monteurs van defecte scanners in principe een mobiele dataverbinding met het hoofdkantoor kunnen opzetten om zo de problemen snel te verhelpen? Zo ja, bent u bereid om de deze mogelijkheden stop te zetten?
In geval van software storingen wordt bij scanners die hierover beschikken gebruik gemaakt van een remote verbinding. Dit betreft ongeveer een derde van de storingen op deze scans. Monteurs kunnen hierbij een storing met behulp van een beveiligde verbinding op afstand oplossen om de storing zo snel mogelijk te verhelpen.
Zoals ook vermeld bij de beantwoording van vraag 4 en 9, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. De remote verbinding voor onderhoud wordt in afwachting van het extern onderzoek niet stilgezet, omdat het opheffen hiervan het risico met zich meebrengt dat scanapparatuur langdurig in storing blijft staan. Als dat gebeurt kent het scanproces geen voortgang en nemen de risico’s op de invoer van verdovende middelen toe.
Deelt u de mening van de aangehaalde experts dat het feit dat de servers van verschillende scannerfabrikanten in één ruimte zijn gehuisvest een kwetsbaarheid met zich meebrengt? Zo ja, bent u bereid om de servers van elkaar te scheiden? Zo nee, waarom niet?
Deze mogelijke kwetsbaarheid is eerder gesignaleerd en daarom is het initiatief gestart om de beveiliging van deze servers te optimaliseren. In 2021 wordt de ruimte waarin de verschillende servers staan omgebouwd naar een computerruimte met alle bijbehorende aanvullende veiligheidsmaatregelen. Als het externe onderzoek van de Douane daartoe aanleiding geeft, zullen tevens aanvullende aanpassingen worden verricht.
Hoe is het toegangsbeheer tot de scanners, zowel tot die van Nuctech als tot die van andere leveranciers, geregeld?
Monteurs hebben zelfstandig toegang tot de scanapparatuur. De monteur staat altijd geregistreerd bij de Douane bij onderhoud aan de scanners. Bij preventief (gepland) onderhoud zijn de bezoeken contractueel vastgelegd, in overleg met de Douane en de containerterminal. Als de monteur correctief (ongepland) onderhoud bij een storing moet uitvoeren, wordt er een werkvergunning bij de containerterminal aangevraagd. In beide gevallen vindt het onderhoud plaats in afstemming met medewerkers van Douane. Tevens zijn bij alle scans op de containerterminals camera’s geïnstalleerd waarmee de systeemoperator van de Douane zicht heeft op de scanapparatuur. In het geval dat de monteur in de serverruimte van het Douanekantoor Maasvlakte moet zijn, moet de monteur zich altijd melden bij de systeemoperator van Douane. Die verleent de monteur toegang aan de serverruimte.
Klopt het dat een Verklaring Omtrent het Gedrag (VOG) volstaat om toegang te krijgen tot de scanners in de haven, terwijl de toegang tot gevoelige apparatuur op Schiphol een Verklaring van Geen Bezwaar (VGB) vereist? Zo ja, wat is de reden voor dit verschil?
Er zijn geen uniforme eisen aan de toegang tot apparatuur voor havens en luchthavens. Onder andere op basis van de locatie en de toepassing van apparatuur wordt aan de hand van het risico vastgesteld wat voor restricties er gelden voor fysieke toegang tot de apparatuur en wat er nodig is om informatie te beveiligen.
Klopt het ook dat de aanbestedingseisen op het gebied van cybersecurity voor ict-apparatuur op de luchthavens strenger zijn dan die voor ict-apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de aanbestedingseisen voor de havens aan te scherpen?
Zoals genoemd in het antwoord op vraag 5 is het beleid van de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit geldt zowel voor de apparatuur van de rijksoverheid op havens als op luchthavens.
Voor bedrijven worden geen specifieke eisen gesteld vanuit de overheid ten aanzien van de aanbesteding voor de aanschaf van ICT-apparatuur op havens en luchthavens. Het in het antwoord op vraag 5 genoemde instrumentarium dat organisaties ondersteunt in het meewegen van nationale veiligheidsrisico’s bij inkoop en aanbesteding is ter beschikking gesteld aan organisaties die onderdeel vormen van de vitale processen.
Klopt het dat beveiligingsprotocollen met betrekking tot het testen van apparatuur en het valideren van updates voor apparatuur op de luchthavens verregaander zijn dan die voor apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de beveiligingsprotocollen voor apparatuur in de havens aan te scherpen?
Er is geen uniform protocol voor havens of luchthavens ten aanzien van de beveiliging van netwerk- en informatiesystemen. De inhoud van een beveiligingsprotocol hangt sterk af van de te beschermen bedrijfsprocessen en de specifieke risico’s die daarbij een rol spelen. Aanscherping van een beveiligingsprotocol in de havens vraagt om maatwerk van de bedrijven in havens zelf. De overheid controleert het proces waarmee havens en luchthavens risico’s in kaart brengen en maatregelen vaststellen om mogelijke risico’s te beheersen.
Berichten die bij de SP-fractie zijn binnengekomen over compensatie voor vergunninghouders radiofrequenties |
|
Frank Futselaar |
|
Mona Keijzer (CDA) |
|
Kunt u een overzicht geven van het onderzoek naar de mogelijkheid om voor vergunninghouders van landelijke, regionale en lokale FM-frequenties, ter compensatie van de coronacrisis, de vergunning te verlengen met tenminste twee jaar?1
In de motie Van den Berg c.s.2 wordt de regering verzocht om in overleg met de sector te komen tot een verlenging van de bestaande FM-licenties voor commerciële radiostations. In mijn brief aan uw Kamer van 11 november 20203 heb ik u laten weten dat in reactie op deze motie overga tot een tijdelijke (nood)verlenging van de bestaande commerciële radiovergunningen voor FM met een termijn van minimaal twee jaar tot 1 september 2024. Deze termijn kan oplopen tot drie jaar indien na onderzoek duidelijk wordt dat een dergelijke termijn proportioneel is in verhouding tot het gestelde doel.
Een van de elementen die voor de verlenging van de bestaande vergunningen noodzakelijk is, is de berekening van de verlengingsprijzen. Ik heb daartoe aan SEO Economisch Onderzoek te Amsterdam (SEO) opdracht verstrekt. De verwachting is dat in april, begin mei er meer duidelijkheid ontstaat over de hoogte van de verlengingsprijzen en de vergunningen voor welke deze prijzen moeten gaan gelden. Het gaat hierbij conform de motie om bestaande FM-vergunningen voor landelijk en regionaal gebruik met daaraan gekoppeld spectrum voor digitale radioomroep.
Kunt u aangeven of het klopt dat deze compensatie geen tegemoetkoming biedt voor vergunninghouders met een vergunning voor Laagvermogen Middengolf (LM)? Zo nee, kunt u aangeven op welke wijze vergunninghouders met een LM-vergunning worden gecompenseerd? Zo ja, bent u bereid te onderzoeken op welke wijze deze vergunninghouders wel kunnen worden gecompenseerd?
De radiosector heeft zelf aangegeven dat zij in plaats van overheidssteun in de vorm van geld graag hun bestaande FM-vergunningen verlengd wilde hebben4. De sector heeft aangegeven dat het op deze wijze makkelijker wordt om additionele financiering rond te krijgen om daarmee de coronacrisis door te komen.
Zoals hierboven reeds aangegeven heb ik aan de wens van de sector en uw Kamer gehoor gegeven en wordt er uitvoering gegeven aan de motie Van den Berg c.s. teneinde tijdig de noodzakelijke verlengbaarheidsbesluiten te kunnen publiceren.
De vergunningen voor Laagvermogen Middengolf (LM) zijn op volgorde van binnenkomst uitgegeven voor een termijn van vijf jaar en worden normaliter op grond van artikel 3.17 van de Telecommunicatiewet na afloop van de vergunningstermijn van rechtswege met een periode van vijf jaar verlengd5. Aangezien voor deze vergunningen een ander wettelijk regime van toepassing is, is hiervoor geen afzonderlijk verlengbaarheidsbesluit noodzakelijk en zal er ook geen verlengingsprijs in rekening worden gebracht. Het onderzoek van SEO strekt zich dan ook niet uit tot deze vergunningen.
De vergunninghouders van LM kunnen dus van hun vergunningen gebruik blijven maken. Daarnaast kunnen alle radiopartijen -waaronder de vergunninghouders van LM – gebruik maken van het bestaande pakket aan steunmaatregelen. Het steun- en herstelpakket voor economie en arbeidsmarkt is op 21 januari 20216 verder verruimt om bedrijven zoveel mogelijk te ondersteunen in deze moeilijke tijden. Ik zie dan ook geen redenen om deze categorie vergunninghouders op een afzonderlijke wijze te compenseren.
Kunt u aangeven of, en zo ja op welke wijze, ook lokale vergunninghouders van Digital Audio Broadcasting (DAB) worden meegenomen bij het onderzoek naar de mogelijkheid deze te compenseren voor de gevolgen van de coronacrisis?
Conform het advies van de Taskforce Radio is om vooruitlopend op de afronding van de internationale onderhandelingen een gedeelte van de digitale laag 6 tijdelijk uit te gegeven voor lokaal gebruik. Het uitgeven van laag 6 (of gedeeltes daarvan) vooruitlopend op de definitieve resultaten van de internationale frequentiecoördinatie heeft wel als consequentie dat het onzeker is of hetgeen tijdelijk aan frequentierechten wordt uitgegeven, overeenstemt met het uiteindelijke resultaat van de onderhandelingen. Er is daarom gekozen voor een tijdelijke uitgifte tot en met uiterlijk 31 augustus 2022. Na deze termijn zal de beschikbare frequentieruimte opnieuw worden uitgegeven onder nieuwe voorwaarden conform de resultaten van de internationale onderhandelingen. Dit betekent dat na 31 augustus 2022 de lokale commerciele digitale vergunningen niet verlengd kunnen worden. Deze vergunningen maken derhalve evenmin onderdeel uit van het door SEO uitgevoerde onderzoek naar de verleningsprijzen.
Deelt u de mening dat ook kleine vergunninghouders (LM & DAB) worden getroffen door teruglopende inkomsten als gevolg van de coronacrisis? Zo nee, waarom niet?
De coronacrisis is inmiddels verworden tot ook een langlopende economische crisis, waarbij veel ondernemers en werkenden hard zijn getroffen, zo ook de kleine vergunninghouders (LM & DAB). Ook het kabinet blijft zich daarom in deze moeilijke fase in de bestrijding van het coronavirus onverminderd inspannen om baanbehoud en bedrijvigheid te ondersteunen. Het is om deze reden dat het kabinet besloten heeft het steunpakket voor banen en economie banen en economie fors uit te breiden7.
Deelt u de mening dat, omdat de LM-vergunningen in principe al verlengd worden en een verlenging voor lokale DAB-frequenties wellicht onmogelijk is omdat het misschien in 2028 stopt, er een andere vorm van compensatie nodig is? Zo nee, waarom niet?
Op 5 oktober 20208 heeft het onafhankelijk Adviescollege «Toekomstbeleid Commerciële Radio» advies uitgebracht. De verschillende vraagstukken in het radiodossier, waaronder het toepasselijk verdeelinstrument, zijn in samenhang met elkaar door dit college onderzocht. Ook lag bij dit college de vraag voor wanneer afschakeling van frequentieruimte voor commerciële analoge radio aan de orde is. Het college constateert dat de toekomst van radiodistributie onmiskenbaar in het digitale domein lig. Conform het advies van de Taskforce Radio ben ik overgegaan tot de uitgifte van een extra landelijke digitale laag (laag 7) en zal in 2022 ook de digitale laag 6 – die beter geschikt is voor lokaal gebruik – definitief worden uitgegeven. Op deze wijze zal de transitie van analoge naar digitale radioomroep geleidelijk vorm worden gegeven. Belangstellenden voor een vergunning voor digitale radio met lokaal bereik kunnen bij de start van de aanvraagperiode in 2022 een aanvraag indienen en hebben op deze wijze de mogelijkheid om een vergunning voor een langere periode te verkrijgen. Bij de tijdelijke uitgifte van de lokale DAB frequenties tot 1 september 2022 is hierover duidelijk gecommuniceerd richting partijen. Het toekennen van compensatie – al dan niet op basis van de coronacrisis – is niet in lijn hiermee.
Bent u bereid deze vergunninghouders een alternatieve vorm van compensatie te bieden, bijvoorbeeld door een tijdelijke vrijstelling van de kosten voor het Commissariaat voor de Media en het Agentschap Telecom? Zo nee, waarom niet?
Ook deze vergunninghouders kunnen gebruik maken van het bestaande pakket aan steunmaatregelen dat nog doorloopt tot het tweede kwartaal van 2021. Een tijdelijke vrijstelling van de (toezichts)kosten verschuldigd aan Agentschap Telecom is daarom niet aan de orde. Voor vrijstelling van de kosten voor het Commissariaat voor de Media moeten partijen zich wenden tot de Minister voor Basis- en Voortgezet Onderwijs en Media.
De uitrol van 5G |
|
Chris Stoffer |
|
Tamara van Ark (VVD), Mona Keijzer (CDA) |
|
Heeft u kennisgenomen van het essay van prof. John Wiliam Frank in de Journal of Epidemiology & Community Health waarin hij pleit voor betere toepassing van het voorzorgsprincipe bij de uitrol van 5G?1
Ja, daar heb ik kennis van genomen.
Deelt u zijn constatering dat er steeds meer bewijs is dat blootstelling aan hoogfrequente elektromagnetische velden behorend bij de uitrol van 5G mogelijk negatieve biologische effecten heeft?
De conclusies en adviezen in dit artikel komen niet overeen met die van de collectieven van wetenschappelijke experts (zoals de WHO, ICNIRP en de Gezondheidsraad) die de onderzoeksliteratuur systematisch beoordelen en die ik voor de beleidsvorming als uitgangspunt neem.
Hoe waardeert u de constatering dat de advisering door en de richtlijnen van de International Commission on Non-Ionizing Radiation Protection/World Health Organization zich ten onrechte beperken tot de thermische effecten van elektromagnetische straling?
De stelling dat de onafhankelijke internationale wetenschappelijke organisatie «bewijzen voor niet-thermische effecten negeert» is onjuist. Om gezondheidsschade van sterke elektromagnetische velden te voorkomen heeft ICNIRP, de door de WHO erkende internationale commissie die zich bezighoudt met de bescherming tegen mogelijke gezondheidseffecten van niet-ioniserende straling, blootstellingslimieten opgesteld voor radiofrequente elektromagnetische velden. Deze limieten beschermen (ruim) tegen opwarmingsschade aan het lichaam door een te hoge blootstelling aan radiofrequente elektromagnetische velden.2 De blootstellingslimieten zijn vijftig keer lager dan het niveau waarbij in onderzoek gezondheidseffecten optraden.3 De limieten zijn door ICNRIP vastgesteld op basis van alle beschikbare wetenschappelijke onderzoeken naar allerlei denkbare mogelijke gezondheidseffecten van blootstelling aan elektromagnetische velden. Alleen de schadelijke effecten op de gezondheid als gevolg van overmatige opwarming worden als voldoende bewezen geacht om daarvan blootstellingslimieten af te leiden. De blootstellingslimieten van ICNIRP zijn overgenomen in de aanbevelingen door de Raad van de Europese Unie met het oog op de beperking van blootstelling van de bevolking aan elektromagnetische velden4 en worden ook toegepast bij het voldoen aan de productveiligheidseisen voor apparatuur die in de handel wordt gebracht.5 Nederland hanteert, net als veel andere EU-lidstaten, deze blootstellingslimieten. De website van ICNIRP vermeldt dat zij wordt gefinancierd door nationale en publieke instellingen en een streng beleid van transparantie en onafhankelijkheid hanteert. Alle financiën van ICNIRP, inclusief donaties, zijn openbaar, evenals de persoonlijke belangen van de leden.6
ICNIRP doet uitvoerig meta-onderzoek op het gebied van elektromagnetische velden en gezondheid.7 In maart 2020 zijn deze limieten laatstelijk bevestigd en gepreciseerd op basis van de actuele stand van de wetenschap.8 ICNIRP heeft in de nieuwe blootstellingslimieten extra rekening gehouden met het gebruik van hogere frequenties ten behoeve van nieuwe technologieën (zoals 5G) en heeft om de gezondheidsbescherming verder te borgen nieuwe eisen toegevoegd ter limitering van de temperatuurstijging in het lichaam.9 Uit zeer uitvoerige meta-analyse van ICNIRP blijkt dat er geen wetenschappelijke basis is om te concluderen dat er bij blootstelling aan deze elektromagnetische velden met veldsterktes ónder deze limieten gezondheidsschade optreedt.10 ICNIRP heeft daarbij rekening gehouden met de wetenschappelijke kwaliteit en de onzekerheden van de door hen beoordeelde onderzoeken. De Gezondheidsraad adviseert om de nieuwste ICNIRP-richtlijnen in Nederland te gebruiken als basis voor het blootstellingsbeleid. Op 25 mei 2020 oordeelde de rechtbank dat het Nederlandse telecombeleid gebaseerd is op deugdelijke én actuele onderzoeken van deskundigen. De rechtbank concludeerde bovendien dat de gehanteerde strenge blootstellingslimieten en het toezicht daarop in orde zijn en dat de Staat het zogenoemde voorzorgsbeginsel naleeft.11
Hoe waardeert u zijn pleidooi om eerst meer onafhankelijk onderzoek te doen naar de gezondheidseffecten alvorens het 5G-netwerk met hoogfrequente elektromagnetische velden uit te rollen?
Zoals aangegeven in de kabinetsreactie12 op het Gezondheidsraadadvies komt de Gezondheidsraad in zijn rapport tot de conclusie dat het beschikbare wetenschappelijke onderzoek laat zien dat een verband tussen frequenties die voor 5G gebruikt (zullen) worden en ziekten niet is aangetoond en ook niet waarschijnlijk is. Frequenties zoals de 700 MHz-band en de 3,5 GHz-band zijn al jaren in gebruik voor de huidige telecommunicatiesystemen of andere toepassingen zoals WiFi, zonder dat dit heeft geleid tot bewezen gezondheidsschade. Uit wetenschappelijke onderzoeken zijn geen bewijzen gevonden voor negatieve effecten op de gezondheid onder de internationaal gehanteerde blootstellingslimieten. Volgens de WHO, Europese Commissie en ICNIRP is er op dit moment geen aanleiding om te veronderstellen dat het gebruik van de 26 GHz-band bij blootstelling onder de limieten negatieve gezondheidseffecten oplevert.13 Zoals eerder aangegeven heeft ICNIRP in de nieuwe blootstellingslimieten extra rekening gehouden met het gebruik van hogere frequenties ten behoeve van nieuwe technologieën.14 Ook bij het gebruik van 5G-technieken dient de blootstelling onder de geldende blootstellingslimieten te blijven. Agentschap Telecom houdt toezicht op de blootstellingslimieten en doet veldsterktemetingen door het gehele land om te controleren of de blootstellingslimieten niet worden overschreden.15 De werkelijk gemeten blootstelling door AT ligt over het algemeen een factor 10 onder de blootstellingslimieten. Dit geldt ook voor metingen aan 5G-systemen.16
Het kabinet zal zoals geadviseerd door de Gezondheidsraad inzetten op meer onderzoek. De komende jaren worden meer onderzoeksresultaten verwacht, bijvoorbeeld van het internationale epidemiologisch onderzoeksproject COSMOS17 waaraan Nederland deelneemt. Dit betreft een zeer groot internationaal cohortonderzoek waarin enkele honderdduizenden mensen gevolgd worden, met als doel lange termijn gezondheidseffecten te achterhalen. Dit zogeheten COSMOS-project loopt in ieder geval tot 2023. Daarnaast wordt in 2022 een uitgebreide wetenschappelijke analyse van de WHO verwacht. In navolging van de aanbevelingen in het advies van de Gezondheidsraad, beziet het kabinet op dit moment hoe het een extra bijdrage kan leveren aan (internationaal) onderzoek dat zich richt op gezondheidseffecten van blootstelling aan elektromagnetische velden in de 26 GHz-band en scenariostudies om de blootstelling van individuen als gevolg van draadloze communicatiesystemen (3G, 4G en 5G) zichtbaar te maken.
Het kabinet houdt de vinger aan de pols en blijft de nieuwste wetenschappelijke resultaten volgen. Het Kennisplatform EMV en organisaties zoals het RIVM, Gezondheidsraad en GGD’en spelen een belangrijke rol in de advisering en ontsluiting van kennis op het gebied van EMV. In het Kennisplatform EMV18 werken RIVM, TNO, DNV GL, GGD GHOR Nederland, Agentschap Telecom en ZonMw samen om wetenschap te duiden en kennis te ontsluiten voor burgers, professionals, werknemers en lagere overheden.
Gaat u zorgen voor meer onderzoek naar de gezondheidseffecten – thermische en niet-thermische – van hoogfrequente elektromagnetische straling bij de verwachte blootstelling in de toekomst? Zo ja, hoe?
Zie antwoord vraag 4.
Wat betekent het genoemde onderzoek voor de uitrol van het 5G-netwerk in Nederland?
Zie antwoord vraag 4.
Heeft u kennisgenomen van het bericht «Onderzoeksbureau: Chinese techbedrijven bezig met etnisch profileren, Oeigoeren zijn doelwit», in de Volkskrant van 14 januari 2020?1
Ja.
Klopt het dat Huawei en andere Chinese tech-bedrijven investeren in technologie om Oeigoeren te kunnen identificeren op foto’s en videobeelden?
In algemene zin is bekend dat China inzet op het verkrijgen van hoogwaardige kennis en technologie. Zoals ook opgenomen in het Dreigingsbeeld Statelijke Actoren kan deze kennis en technologie worden ingezet voor ongewenst eindgebruik, bijvoorbeeld voor militaire of surveillancetoepassingen.
Vindt u het acceptabel dat bedrijven investeren in technologie die specifiek is gericht op het identificeren van bepaalde etnische groepen? Is dit naar uw mening verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen?
Discriminatie op basis van etniciteit, of welke grond dan ook, is niet verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen. Er zijn vanuit diverse mensenrechtenorganen zorgen geuit over het gebruik van biometrische data die noodzakelijk zijn voor de ontwikkeling en inzet van gezichtsherkenningssoftware, en de impact daarvan op, bijvoorbeeld, het recht op een persoonlijke levenssfeer en non-discriminatie.
Met betrekking tot het gebruik van gezichtsherkenningssoftware waarbij dit wordt ingezet ter herkenning van gezichten van bepaalde bevolkingsgroepen, dient opgemerkt te worden dat op grond van internationale mensenrechtenverdragen het niet is toegestaan een onderscheid te maken op basis van bijvoorbeeld, ras2, afkomst of etniciteit.
Indien er derhalve bij de inzet van gezichtsherkenning, en bij het gebruik van de gegevens die hierbij verzameld kunnen worden, door bedrijven onderscheid gemaakt wordt op grond van etniciteit of gezichtsherkenningssoftware wordt ingezet die enkel gericht is op de specifieke herkenning van gezichten van bepaalde etnische groeperingen, dan is dat in strijd met internationale mensenrechtenverdragen.
Welke verbanden ziet u tussen het gebruik van surveillance technologie en de onderdrukking van Oeigoeren in China?
Online censuur is een gegeven waar Chinese internetgebruikers dagelijks mee te maken hebben. Maar ook m.b.v. het gebruik van big data, camera’s met gezichtsherkenning en grootschalige, onvrijwillige afname van vingerafdrukken, irisscans en DNA van personen tussen de 12 en 65 jaar, lijken Chinese autoriteiten in toenemende mate controle na te streven onder meer over de Oeigoerse minderheid.
Bent u bereid om opheldering te vragen bij Huawei Nederland en hen te verzoeken om publiekelijk afstand te nemen van technologie gericht op de identificatie van etnische kenmerken, en van het gebruik van surveillancetechnologie bij de onderdrukking van Oeigoeren?
Huawei heeft zijn positie in deze kwestie gecommuniceerd via een verklaring op de website van Huawei Nederland.3 Het bedrijf stelt onder andere dat «de applicatie niet geïmplementeerd [is] in de praktijk» en dat «onze technologieën niet [zijn] ontworpen om etnische groepen te identificeren». Het kabinet kan deze uitleg van Huawei op basis van eigen informatie niet bevestigen. Het Ministerie van Buitenlandse Zaken heeft het onderwerp van het mogelijke misbruik van de gezichtsherkenningssoftware aan de orde gesteld tijdens een recent gesprek met het bedrijf. Huawei heeft daarbij aangegeven dat dit ingaat tegen het beleid van het bedrijf. Medewerkers van het Ministerie van Buitenlandse Zaken gaan over dit onderwerp op korte termijn nog uitgebreider in gesprek met Huawei. Daarbij zullen ook de zorgen van het kabinet worden overgebracht.
In hoeverre worden gezichtsherkenningscamera’s van Chinese tech-bedrijven gebruikt in Nederland? Vindt u het gebruik daarvan wenselijk?
Hoewel er vanuit diverse mensenrechtenorganisaties zorgen zijn geuit over het gebruik van biometrische data, zoals wordt verzameld bij gezichtsherkenningssoftware, en het effect dat een dergelijke technologie kan hebben op, bijvoorbeeld, het recht op privacy, hoeft het gebruik van gezichtsherkenningstechnologie op zichzelf geen schending van internationale mensenrechten te betekenen.
De Minister voor Rechtsbescherming heeft recent benadrukt dat gezichtsherkenning in horizontale relaties in beginsel niet is toegestaan. De Algemene Verordening Gegevensbescherming biedt namelijk zeer beperkte ruimte voor de inzet van gezichtsherkenning in relaties tussen burgers onderling, of tussen burgers en bedrijven.4 Uit onderzoek blijkt dat gezichtsherkenningstechnologie in horizontale relaties nog niet breed wordt ingezet.5 Het is niet mogelijk om een algemene uitspraak te doen over het aantal gezichtsherkenningscamera’s van Chinese tech-bedrijven in Nederland. Deze kunnen in principe zowel aan bedrijven als particulieren worden verkocht.
In hoeverre spelen de patenten van Chinese tech-bedrijven een rol bij het vastleggen van standaarden voor surveillancetechnologie binnen de International Telecommunications Union (ITU)? Welke risico’s ziet u daarbij in het licht van de genoemde berichtgeving en hoe kunnen die risico’s worden ondervangen?
Binnen de ITU worden op technisch niveau aanbevelingen gedaan over normen en standaarden op het gebied van telecom en het radiospectrum. Het vastleggen van standaarden wordt in belangrijke mate bepaald door ITU comités, welke zijn opengesteld voor alle leden van de ITU. De ITU kijkt naar de technische aspecten van nieuwe technologieën, en ziet niet toe op hoe deze in de praktijk worden toegepast, noch verleent ITU patenten. Bedrijven die gepatenteerde kennis inbrengen bij het opstellen van een standaard zijn eraan gehouden dit vooraf kenbaar te maken. Bovendien committeren zij zich eraan om toegang te verlenen onder redelijke en non-discriminatoire voorwaarden tot de gepatenteerde kennis die in een standaard is opgenomen, zodat elke andere partij de standaard kan duiden en later zo nodig kan implementeren.
Het is bekend dat China steeds assertiever wordt ten aanzien van de ontwikkeling en vaststelling van technische productstandaarden. Een land of een handelsblok dat erin slaagt de internationale technische standaarden te bepalen, kan de eigen economie een groot concurrentievoordeel geven. Nederland zet dan ook in op een innovatief Europa dat zich richt op de ontwikkeling van (digitale) sleuteltechnologieën. Het bereikte akkoord over het Meerjarig Financieel Kader (MFK) 2021–2027 waarin digitalisering, onder meer met de fondsen Horizon Europe en het Digital Europe programma, belangrijke onderdelen zijn, draagt daaraan bij. Daarnaast bepleit Nederland in de EU dat zij haar vermogen om standaarden te creëren moet blijven verdedigen, deze slimmer dient te benutten en daarin nauw moet samenwerken met gelijkgezinde landen om de EU’s hoge ethische normen en aandacht voor de omgang met en bescherming van data te behouden. Nederland zet zich, in EU verband en met gelijkgezinde derde landen, ook binnen de ITU in om in gevallen waarin standaardisatievoorstellen deze normen geweld aandoen of dreigen aan te doen, de voorstellen tegen te houden.
Welke acties zouden Nederland en de Europese Unie kunnen ondernemen richting Chinese tech-bedrijven die betrokken zijn bij de onderdrukking van Oeigoeren? Bent u bereid om zich voor dergelijke acties in te spannen?
Nederland spreekt in individuele gevallen bedrijven aan, zie het antwoord op vraag 5.
In december jl. is het EU-mensenrechtensanctieregime aangenomen. Dit thematische sanctieregime kan worden ingezet tegen individuele mensenrechtenschenders en entiteiten, ongeacht waar de schending plaatsvindt. Zoals reeds eerder aan uw Kamer gemeld zijn de voorbereidingen om te komen tot voorstellen voor eerste listings onder het EU-mensenrechtensanctieregime in beslotenheid in gang gezet in verscheidene hoofdsteden. Zorgvuldige besluitvorming acht het kabinet hierbij van groot belang. Het kabinet neemt in dit proces ook de moties Sjoerdsma c.s. (21 501-20, nr. 1596), Ploumen (35 570 V, nr. 43) en Kuzu (35 570 V, nr. 53) mee.
In hoeverre is het huidige exportcontrolebeleid in staat om uit te sluiten dat de export van Nederlandse of Europese technologie bijdraagt aan de ontwikkeling van technologie door Chinese bedrijven die is gericht op het identificeren van etnische groepen?
De juridische basis voor het EU exportcontrolebeleid voor dual-use goederen is de EU Dual Use Verordening. Controle vindt plaats op basis van een lijst van dual-use goederen die in deze EU-verordening is bijgevoegd. Deze controlelijst wordt jaarlijks geactualiseerd op basis van internationale afspraken in exportcontroleregimes over te controleren goederen en technologie. Nederlandse bedrijven zijn verplicht een exportvergunning aan te vragen als zij goederen of technologie op deze EU-controlelijst willen exporteren buiten de EU. De EU dual-useverordening voorziet niet in controle op technologie die gericht is op het identificeren van etnische groepen. In het geval van vergunningplichtige dual-use goederen, wijst de Nederlandse regering een vergunning af indien het risico bestaat dat de goederen bijdragen aan mensenrechtenschendingen.
Inzet van Nederlandse technologie voor het onderdrukken van bevolkingsgroepen of het schenden van mensenrechten acht het kabinet in alle gevallen onwenselijk. Nederlandse bedrijven die inspelen op de Chinese vraag naar geavanceerde technologie dienen zich te allen tijde rekenschap te geven van mogelijk ongewenste toepassingen van geleverde producten door Chinese afnemers. Bedrijven dienen, als onderdeel van due diligence, na te gaan of Chinese afnemers een aandeel hebben in de totstandkoming van surveillancesystemen die de vrijheid van Chinese burgers beperkt. Ook zet het kabinet in op een verplichting voor bedrijven om gepaste zorgvuldigheid toe te passen in lijn met de internationale richtlijnen (due diligence), bij voorkeur op Europees niveau.