Vraag 1

Bent u bekend met het bericht «Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek»?1

Ja.

Vraag 2

Hoe apprecieert u de ontwikkelingen van de bouw van een nieuwe megafabriek van Intel in Duitsland en het investeringsplan van 80 miljard voor de Europese chipproductie in het licht van de Europese ambities voor het chip-ecosysteem binnen Europa?

Het is een positief signaal voor de Europese Unie dat een belangrijke partij in de halfgeleiderindustrie zoals Intel bereid is omvangrijke investeringen te doen in Europa. Het kabinet ziet dit als een belangrijke stimulans voor de versterking van de Europese positie in de mondiale halfgeleiderindustrie. Het versterken van deze positie is onder andere van belang voor het behoud van strategische autonomie. Bovendien speelt deze sector een cruciale rol in de groene en digitale transities.
De halfgeleiderindustrie is heel sterk (mondiaal) verweven. Verschillende Europese bedrijven en kennisinstellingen zijn in dit internationale ecosysteem van elkaar afhankelijk en zijn in verschillende landen in Europa gevestigd. De Nederlandse halfgeleiderbedrijven maken hier integraal onderdeel van uit. Nederland heeft bijvoorbeeld een significant cluster op het gebied van apparatuur voor (zeer geavanceerde) halfgeleiderproductie. Intel heeft aangekondigd de nieuwste technieken te willen inzetten in hun fabriek. Door de internationale verwevenheid van deze industrie zullen de investeringen van Intel in Europa, ook positieve effecten hebben voor de Nederlandse bedrijven en daarmee de Nederlandse economie.

Vraag 3

Wat zijn de gevolgen voor het Nederlandse chip-ecosysteem en breder onze economie, nu Intel ervoor heeft gekozen haar nieuwe megafabriek in Duitsland te bouwen en als onderdeel van het investeringsplan bestaande activiteiten in Frankrijk, Ierland, Italië en Spanje uit te breiden en Nederland hierin geen rol heeft kunnen bemachtigen?

Zie antwoord vraag 2.

Vraag 4

Klopt het dat Nederland ook bereid was en inspanningen heeft geleverd om de Intel fabriek en andere onderdelen van het investeringsplan naar Nederland te halen? Kunt u dit proces toelichten? Zo nee, waarom niet?

Het kabinet gaat niet in op individuele gesprekken met bedrijven. Maar in algemene zin geldt dat het kabinet in nauw contact staat met het bedrijfsleven. Dat geldt ook ten aanzien van het aantrekken van investeringen in Nederland. De Netherlands Foreign Investment Agency (NFIA) speelt hierbij een belangrijke rol. In acquisitietrajecten wordt onder meer gesproken over de bedrijfspropositie en of dit aansluit bij het Nederlandse vestings- en investeringsbeleid, ook in relatie tot bredere maatschappelijke vraagstukken als klimaattransitie en ruimtelijke ordening.

Vraag 5

Kunt u aangeven welke oorzaken er in uw ogen voor hebben gezorgd dat, ondanks het feit dat Intel gesprekken heeft gevoerd met de Nederlandse overheid, Intel er niet voor heeft gekozen haar nieuwe fabriek of enige andere activiteiten in Nederland te vestigen? Zo nee, waarom niet?

Zie antwoord vraag 4.

Vraag 6

Op welke wijze beïnvloeden deze ontwikkelingen de ambities van het kabinet, gezien de grote bereidwilligheid van andere Europese overheden zoals die van Italië, Spanje, Polen en Duitsland om te investeren in dergelijke innovatieve ecosystemen zoals het chips-ecosysteem? Wat betekent dit bijvoorbeeld voor de ambitie om bij te dragen aan de Europese ambitie om strategische onafhankelijkheid te bereiken?

De recent door Intel aangekondigde investeringen versterken het Europese halfgeleider ecosysteem en verminderen de afhankelijkheid van chipproducenten buiten Europa. Dit is in lijn met de Nederlandse ambitie ten aanzien van de halfgeleidersector. Bovendien bieden de investeringen van Intel in productiecapaciteit voor chips tal van kansen voor onze maakindustrie die een belangrijke toeleverancier is voor dit soort fabrieken.
Nederland draagt op dit moment op verschillende manieren bij aan deze ambitie. De start hier van betrof het tekenen van de Declaration: A European Initiative on Processors and semiconductor technologies (7 december 2020).
Belangrijke voorbeelden van actieve Nederlandse overheidsbetrokkenheid zijn:
Daarnaast verwelkomt Nederland de recent verschenen Europese Chips Act (8 februari 2022), waarover uw Kamer op 25 maart jongstleden geïnformeerd is middels het BNC-fiche4.

Vraag 7

Ziet u ook kansen om met relevante Nederlandse bedrijven en (kennis)instellingen de samenwerking met het Europese chip-ecosysteem te intensiveren nu de chipfabriek zal worden gevestigd bij onze oosterburen? Zo ja, welke concrete kansen ziet u? Zo nee, waarom niet?

Ja, hier liggen kansen en mogelijkheden. Zoals eerder aangegeven is er een logische relatie met onze sterke positie in de machinebouw voor het productieproces van halfgeleiders, maar ook de sterke positie van Nederland op het gebied van kwantum- en fotonicatechnologie biedt mogelijkheden voor sterkere samenwerking.

Vraag 1

Bent u bekend met het bericht «Online criminelen bestoken de wereld met cyberaanvallen vanuit Nederland» en de bijbehorende radioreportage «De makelaars van de cybercrime»?1

Ja.

Vraag 2

Herkent u de berichtgeving over cyberaanvallen via Nederlandse servers, mogelijk gemaakt door foute tussenpartijen uit het buitenland die deze serverruimte doorverhuren aan criminelen? Richten deze aanvallen zich vooral tegen bedrijven of in dezelfde mate tegen overheden en particulieren? Zijn er patronen in deze aanvallen te ontdekken, bijvoorbeeld in het type bedrijven waar criminelen het op gemunt hebben? Wat is u bekend over de aard en ernst van dit probleem? Bijvoorbeeld over de omvang van de aangerichte schade en het aantal aanvallen dat maandelijks plaatsvindt? Wordt dit bijgehouden en door wie? Ziet u het aantal aanvallen toenemen? Kunt u alle beschikbare informatie hieromtrent met de Kamer delen, eventueel in een vertrouwelijke technische briefing? Zijn met de door de politie samengestelde lijst alle foute tussenpartijen voldoende in beeld om te kunnen aanpakken? Gebeurt dit ook?

Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals ransomware-aanvallen. Het beeld van de politie is dat ransomware-aanvallen met name gericht zijn op het MKB en grote bedrijven. Hierin zijn patronen te herkennen, waarbij ongerichte aanvallen met name binnen het MKB voorkomen door het gebruik van Ransomware-as-a-service.2 De meer gerichte aanvallen zien op grote organisaties, waarbij maatwerk wordt verricht om tot maximaal financieel gewin te komen.3 Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, ook op basis van mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat ook de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de 200 aangiftes van ransomware ontvangt. De aangiftebereidheid bij cybercrimedelicten is echter laag, wat met name geldt voor ransomware. Het aantal aangiften is daarom geen goede weerspiegeling van de omvang van de problematiek. Ransomware-aanvallen kunnen grote maatschappelijke en economische impact hebben. Het Cybersecuritybeeld Nederland (CSBN) 2021 stelt dat ransomware een risico vormt voor de nationale veiligheid. Indien uw Kamer verzoekt om een technische briefing kan daarin worden voorzien.
Voor meer inzicht in de acties van de politie omtrent het delen van de lijst met hosting-resellers verwijs ik u naar de beantwoording van de Kamervragen van het lid Rajkowski over hetzelfde artikel.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5

Vraag 3

Kunt u uiteenzetten hoe deze criminelen precies te werk (kunnen) gaan? Welke mogelijkheden zijn er op dit moment om deze specifieke vorm van cybercriminaliteit te verhinderen c.q. aan te pakken? Hoe vaak worden de internetcriminelen in kwestie en hun helpers opgespoord, aangehouden en vervolgd? Zijn er factoren die dit bemoeilijken? Wilt u een overzicht geven van alle wet- en regelgeving die hier van toepassing is? Wat zijn thans belemmeringen, zowel nationaal als Europees of internationaal, om dergelijke cyberaanvallen effectief te bestrijden, zoals juridische obstakels, een gebrek aan samenwerking of capaciteitsproblemen? Welke partijen, in binnen- en buitenland, zijn nodig om dit probleem te helpen aanpakken? Hoe verloopt nu de samenwerking tussen deze partijen?

In het Cybersecurity Beeld Nederland (CSBN) 2021 zijn de verschillende fasen in het delictsproces van ransomware beschreven. Kortweg bestaat een ransomware-aanval uit het verkrijgen van initiële toegang tot een ICT-netwerk, het consolideren van de positie, het wegsluizen van informatie, het inzetten van ransomware en de financiële afhandeling. In het CSBN 2021 wordt hier dieper op ingegaan.6 Het effectief tegengaan van ransomware vraagt meerdere soorten maatregelen. Zo is het belangrijk om ransomware te voorkomen, doordat bedrijven en organisaties de juiste preventieve maatregelen nemen. Zie hiervoor ook vraag 5. Daarnaast heeft de politie de Ransomware Taskforce opgericht, die proactief onderzoek doet naar het hele criminele ecosysteem rondom ransomware. Het doel is om schade en slachtoffers te voorkomen, het criminele proces te verstoren en daders op te sporen.
Het opsporen van verdachten van cybercrime is echter complex, zie hierover ook de brief die eerder naar uw Kamer is gestuurd over de dilemma’s die de politie en het OM tegenkomen bij opsporing in het digitale domein.7 Daders hoeven zich niet in Nederland te bevinden, verdachten kunnen met technische mogelijkheden hun identiteit en locatie gemakkelijk afschermen en het internet is grenzeloos. Internationale samenwerking is daarom belangrijk, hetgeen ook blijkt uit de internationale actie waarbij een ransomware-bende is opgepakt.8 De politie neemt onder andere deel in de Joint Cybercrime Action Taskforce van Europol. Om de grensoverschrijdende opsporing in het digitale domein te versterken heeft Nederland de afgelopen jaren actief deelgenomen aan de gesprekken over de E-Evidence verordening van de EU en over het tweede protocol bij het Cybercrimeverdrag in het kader van de Raad van Europa. Het concept protocol is goedgekeurd in 2021. Na goedkeuring op politiek niveau en ratificatie zal snellere en meer efficiënte samenwerking in opsporingsonderzoeken mogelijk zijn.
Zoals eerder vermeld in de beantwoording van Kamervragen van het lid Van Raak, is het niet bekend hoeveel veroordelingen voor ransomware er precies zijn geweest.9 Ransomware aanvallen zijn niet onder één specifiek wetsartikel te scharen en worden niet als zodanig geregistreerd door het OM en de Raad voor de rechtspraak. Ook gaat het vaak om buitenlandse daders.

Vraag 4

Klopt het dat cybercriminelen hun illegale activiteiten graag via Nederland ontplooien vanwege de goede digitale infrastructuur hier? Welke (nationale) maatregelen gaat u nemen om van deze status af te komen? Staat dit onderwerp ook op de Europese agenda? Bent u bereid het bij de eerstvolgende gelegenheid (weer) te agenderen?

Nederlandse hostingdiensten worden inderdaad misbruikt voor het plegen van cybercrime en andere vormen van online criminaliteit, via malafide hostingbedrijven, maar ook via hostingbedrijven die zich daar niet van bewust zijn. De hostingsector heeft daarom zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief10 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Tot slot richten het OM en de politie zich binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Echter, hostingproviders zijn op basis van de huidige wet- en regelgeving onder voorwaarden niet strafrechtelijk aansprakelijk voor hetgeen zich op hun netwerken bevindt. Zie hiervoor ook de beantwoording van eerdere Kamervragen van het lid Van Nispen.11
In EU-verband is de triloog-fase van de Digital Services Act begonnen. Deze conceptverordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
Het belang van een schoon en veilig internet en de rol die tussenpersonen zoals hostingproviders hierin spelen, is groot en zal steeds in EU-verband benadrukt worden.

Vraag 5

Op welke wijze(n) staat u bedrijven en overheden bij om weerbaar te worden tegen cybercriminaliteit en wordt ondersteuning en nazorg geboden als zich een aanval heeft voorgedaan? Hoe is geborgd dat uit iedere (poging tot een) cyberaanval lessen worden getrokken om volgende aanvallen te voorkomen c.q. af te slaan? Waar is bij bedrijven en overheden behoefte aan? Indien u dit niet weet, wilt u dit nagaan via bijvoorbeeld een uitvraag bij de VNG of ondernemersorganisaties?

Het is wenselijk om slachtofferschap van cybercriminaliteit, zoals ransomware-aanvallen, bij bedrijven te voorkomen. Bedrijven zijn verantwoordelijk voor hun eigen cybersecurity en moeten hiervoor de juiste maatregelen treffen. De overheid kan daarbij ondersteuning bieden. Daarom biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan om de cyberweerbaarheid van bedrijven te vergroten. Deze bevatten adviezen voor ondernemers om besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Het DTC biedt ook een basisscan aan, zodat bedrijven hun cyberweerbaarheid kunnen testen. Met het delen van verhalen van ondernemers die slachtoffer zijn geworden van ransomware probeert het DTC bedrijven en ondernemers te wijzen op de risico’s. Ook is het DTC begonnen met het waarschuwen van individuele bedrijven bij ernstige cyberdreigingen. Inmiddels zijn er al meer dan 300 bedrijven gewaarschuwd.
Het Nationaal Cyber Security Centrum (NCSC) informeert organisaties in de vitale sectoren en de rijksoverheid proactief over digitale dreigingen en levert hen bijstand bij incidenten. Ook deelt het NCSC informatie over digitale dreigingen en incidenten via aangewezen schakelorganisaties in het Landelijk Dekkend Stelsel van cybersecuritysamenwerkingsverbanden. Het NCSC werkt bovendien samen met vitale én niet-vitale organisaties die kunnen bijdragen aan het versterken van het actuele situationeel beeld, onder andere op het gebied van ransomware dreigingen. Zo wordt er samengewerkt met securityleveranciers, multinationals en onderzoekers zoals het Dutch Institute for Vulnerability Disclosure (DIVD). In dit kader werken het DTC en het NCSC nauw samen.
De moties Ephraim12 en Hermans13 verzoeken de regering om te komen met een voorlichtingsplan voor ondernemers ten aanzien van de risico's van cybercrime en concrete maatregelen om ondernemers beter te beschermen tegen digitale dreigingen en cybercriminelen. Bij de uitvoering van deze moties worden de behoeften die er op dit vlak bij organisaties zijn meegenomen.
Het Ministerie van BZK ziet het als haar taak kaderstellend, ondersteunend, en waar nodig aanjagend te zijn naar alle overheidslagen. Daartoe stelt het Ministerie van BZK randvoorwaarden op, zoals met de Baseline Informatieveiligheid Overheid (BIO). De BIO geldt overheidsbreed als het minimumkader voor informatieveiligheid. De individuele overheidsorganisaties moeten hun informatiebeveiliging primair zelf op orde hebben en houden, waarbij zij ondersteund worden door hun koepelorganisaties. Zo ondersteunt de VNG gemeentebestuurders met de Agenda Digitale Veiligheid. Begin 2021 werd de Resolutie Digitale Veiligheid 14 vastgesteld, waaraan gemeenten zich gecommitteerd hebben. Hierin wordt de noodzaak onderstreept dat gemeenten hun digitale weerbaarheid versterken. Daarnaast worden gemeenten ondersteund door de Informatiebeveiligingsdienst (IBD), die actuele producten en diensten ter ondersteuning van de BIO aanbiedt en het programma Verhogen Digitale Weerbaarheid verzorgt. Ook is de IBD de sectorale CERT/CSIRT15 voor Nederlandse gemeenten, die crisismanagementteams ondersteunt in het geval van incidenten. Het Ministerie van BZK werkt hierbij samen met de VNG en de IBD.
Ook ondersteunt het Ministerie van BZK het delen van informatie met alle overheden via een bijdrage aan het Centrum voor Informatiebeveiliging en Privacybescherming (CIP).16 Zie hiervoor ook de beantwoording van schriftelijke vragen van het lid Kathmann.17 Verder wordt jaarlijks in oktober–de maand van cybersecurity- de overheidsbrede cyberoefening georganiseerd.18 Deze oefening, die is bedoeld voor Rijks- en uitvoeringsorganisaties, provincies, gemeenten en waterschappen en laat zich ieder jaar inspireren door recente en actuele dreigingen en cyberaanvallen. Naast deze oefening zijn er webinars, die men ook kan terugkijken.19 Speciaal voor gemeenten zijn een drietal cyberoefenpakketten ontwikkeld door het Instituut voor Veiligheids- en Crisismanagement. Deze zijn online raadpleegbaar en gratis af te nemen voor alle gemeenten.20
Tot slot bevat de I-strategie 2021 – 2025 voor de rijksoverheid een stevige inzet op het thema digitale weerbaarheid, die ook de weerbaarheid tegen ransomware zal verhogen, onder meer via kennisproducten. De bijbehorende roadmap wordt voor de zomer aan uw Kamer gestuurd door de Staatssecretaris van BZK.

Vraag 6

Kunt u per volgende afspraak uit het coalitieakkoord Omzien naar elkaar, vooruitkijken naar de toekomst aangeven hoe en op welke termijn het kabinet hier uitwerking aan gaat geven (pag.2?

Het coalitieakkoord wordt nog uitgewerkt. De hoofdlijnenbrief Justitie en Veiligheid van 9 februari jl. toont een eerste overzicht van de maatregelen die voortvloeien uit het coalitieakkoord.22 Sinds 2018 is de Kamer jaarlijks geïnformeerd over de integrale aanpak van cybercrime.23 Deze aanpak bestaat uit vier pijlers, namelijk preventie, slachtofferondersteuning, wetenschappelijk onderzoek en opsporing, vervolging en verstoring. De mate waarin het beleid en de strafrechtsketen kan worden versterkt om cybercriminaliteit, waaronder ransomware, aan te pakken, is mede afhankelijk van de uitkomst van de uitwerking van het coalitieakkoord en het beschikbaar komen van middelen voor cybercrime.
Ten aanzien van de slagkracht van de inlichtingendiensten verwijs ik naar de brief van 24 februari 2022 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan uw Kamer over de impact van het coalitieakkoord en de stand van zaken wijziging Wiv 2017.
Tot slot zet de hoofdlijnenbrief digitalisering24 van 8 maart jl. van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering, de Minister van Justitie en Veiligheid, de Minister van Economische Zaken en Klimaat en de Minister voor Rechtsbescherming de ambities en doelen uiteen voor de digitale transitie van onze samenleving. Dit gebeurt langs vier thema’s, te weten: het digitale fundament, de digitale overheid, de digitale samenleving en de digitale economie. Deze brief benoemt ook de inzet op Europees verband op het gebied van digitalisering, zoals AI en digitale identiteit. De hoofdlijnenbrief is het startpunt voor de kabinetsbrede werkagenda digitalisering. Deze wordt de komende maanden geconcretiseerd met alle betrokken departementen, belanghebbenden uit de samenleving, wetenschap en bedrijfsleven, en medeoverheden. Ook wordt deze besproken met Europese partners.

Vraag 1

Hoe weet u zeker dat op de smartphones geen censuur wordt toegepast en dat deze software constant uit staat, aangezien u in de beantwoording aangeeft dat er op de in de Europese Unie verkochte smartphones geen censuur wordt toegepast, er voor Nederland op dit moment geen aanleiding is om een dergelijk zwaarwegend advies af te geven en dat u ziet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers?

Het Ministerie van Defensie van Litouwen heeft onderzoek gedaan naar telefoons van het merk Xiaomi. Daarbij is ook gekeken naar de functionaliteit die in deze vragen wordt aangeduid als censuursoftware. Uit het onderzoek blijkt dat deze functionaliteit is uitgeschakeld in de Europese Unie. Naar aanleiding van het Litouwse onderzoek heeft ook het Duitse Bundesambt für Sicherheit in der Informationstechnik (BSI) een eigen onderzoek ingesteld. Daarbij zijn geen bijzonderheden aangetroffen.1 In beide onderzoeken is vastgesteld dat de software in de praktijk niet wordt toegepast. Ik hecht eraan dat dit ook in de toekomst niet zal gebeuren.
Gebruikers van telefoons moeten immers met elkaar kunnen communiceren zonder dat er, zoals zou gebeuren als de bedoelde functionaliteit wordt geactiveerd, door derden inbreuk wordt gemaakt op de communicatie. Dit zogenoemde communicatiegeheim is onder meer vastgelegd in artikel 5 van richtlijn 2002/58/EG (de e-privacyrichtlijn) en ook in het voorstel voor een Europese e-privacyverordening die in de toekomst de e-privacyrichtlijn zal vervangen.
Zolang de e-privacyverordening nog niet van kracht is, is een complicerende factor dat artikel 11.2a van de Telecommunicatiewet waarin artikel 5 van de e-privacyrichtlijn is omgezet, zich alleen richt tot aanbieders van openbare elektronische communicatienetwerken en diensten en dus niet tot derden zoals de leverancier van de telefoon. Omdat de totstandkoming van de e-privacyverordening nog op zich laat wachten, zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen.
Naast de Telecommunicatiewet wordt het communicatiegeheim ook beschermd in het Wetboek van Strafrecht. Zo stelt artikel 139c het met een technisch hulpmiddel aftappen of opnemen van het telecommunicatieverkeer strafbaar. Betoogd zou kunnen worden dat het met software bekijken (aftappen) en vervolgens aanpassen (het er uit filteren van «ongewenste» zoekresultaten) van het telecommunicatieverkeer onder de werking van deze strafbepaling valt (vgl. Hoge Raad, 17 december 2019, ECLI:NL:HR:2019:1973). In dat geval zou het activeren van dergelijke software ertoe kunnen leiden dat sprake is van een strafbaar feit.
Waar apparaten bijvoorbeeld de zoekresultaten filteren, dan kan dit voorts een inbreuk vormen op de vrijheid van nieuwsgaring. Het is uiteindelijk aan de rechter om in voorkomende gevallen een uitspraak te doen over de rechtmatigheid van zo’n filter.

Vraag 2

In hoeverre worden er, in het kader van «Bring-Your-Own-Device», privé Xiaomi-telefoons gebruikt, waarvan in de beantwoording is aangegeven dat er sinds 2018 60 van zijn aangeschaft, en is dit wenselijk?

Voor «Bring-Your-Own-Device» binnen de rijksoverheid geldt als uitgangspunt dat ieder rijksonderdeel moet aangeven of en in welke gevallen het gebruik van eigen apparatuur is toegestaan op basis van een eigen risicoafweging.
De (on)wenselijkheid hiervan verschilt dus per rijksonderdeel. Mocht het gebruik van eigen toestellen toegestaan zijn dan geldt, net zoals voor overheidstoestellen, dat op basis van de risicoafweging de juiste maatregelen worden getroffen om de overheidsinformatie voldoende te beschermen, bijvoorbeeld door toepassing van cryptografische oplossingen die op het eigen apparaat gebruikt kunnen worden.
In antwoord op eerdere vragen is aangegeven dat er zover bekend bij het Ministerie van Binnenlandse Zaken sinds 2018 60 Xiaomi telefoons zijn aangeschaft binnen de rijksoverheid. Deze zijn aangeschaft om te worden gebruikt als onderwerp van technisch, forensisch of opsporingsonderzoek. Er is geen relatie tussen deze 60 telefoons en «Bring-Your-Own-Device»-beleid.

Vraag 3

In hoeverre biedt de Baseline Informatiebeveiliging Overheid voldoende handvatten om nieuwe informatie en potentiële risico’s zoals censuursoftware zoveel als mogelijk te voorkomen?

De Baseline Informatiebeveiliging Overheid (BIO) is een informatiebeveiligingskader voor de hele overheid en is gebaseerd op de internationale standaarden ISO27001 en ISO27002. De BIO kent een risicogebaseerde aanpak. Dat betekent dat overheidsorganisaties op basis van risicoafweging (nieuwe) dreigingen onderkennen en daarop passende en proportionele beveiligingsmaatregelen treffen. Zo ook deze casus.
De BIO kent (nog) geen specifieke maatregelen tegen dergelijke software. Dit jaar wordt de BIO geëvalueerd. Onderdeel van die evaluatie is de herijking van de dreigingen die richting geven aan de concrete overheidsmaatregelen in de BIO. Dit vraagstuk zal daarbij worden meegenomen.
In algemene zin geldt dat eind 2018 ten aanzien van nationale veiligheidsrisico’s een verscherpt inkoop- en aanbestedingsbeleid is geïmplementeerd voor de rijksoverheid. Hierin is opgenomen dat bij inkoop en aanbesteding mogelijke risico’s voor de nationale veiligheid per inkoopopdracht worden meegewogen. Bij de aanschaf en implementatie van gevoelige apparatuur of programmatuur wordt volgens dit beleid rekening gehouden met zowel risico’s in relatie tot een leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld als het gaat om de toegang tot systemen door derden.
Ter ondersteuning van dit beleid is aanvullend instrumentarium ontwikkeld door de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.
In het Commissiedebat Digitale overheid, datagebruik en algoritmen, en digitale identiteit van 22 maart jl. heeft de Staatssecretaris voor Koninkrijksrelaties en Digitalisering verder toegezegd een onderzoek te gaan doen naar inkoopeisen en -richtlijnen over cyberveiligheid in het overheidsapparaat, dat voornamelijk zal gaan over landen met een offensief cyberprogramma. In het daaropvolgende tweeminutendebat van 29 maart is in aanvulling op de toezegging een motie ingediend door Kamerleden Rajkowski en Van Weerdenburg, om in dit onderzoek ook te kijken naar de vitale sector.2 De motie is op 5 april aangenomen; de Kamer zal over het vervolg geïnformeerd worden.

Vraag 4

Wat zou u ervan vinden als Rijksambtenaren Chinese censuursoftware zouden downloaden op hun apparaten?

In algemene zin is het onwenselijk als rijksambtenaren software zouden downloaden op hun werkapparaten als die een conflict zou opleveren met hun werkzaamheden.
Verder wil ik opmerken dat de werkomgeving van rijksambtenaren op mobiele apparaten zich bevindt op een afgeschermd deel dat niet toegankelijk is voor overige geïnstalleerde software.

Vraag 5

Onderkent u dat Xiaomi telefoons, in tegenstelling tot wat er in de beantwoording te lezen is, niet alleen via verschillende webwinkels verkocht worden, maar dat er sinds 2020 ook een fysieke «Mi-store» is geopend in Rotterdam, de eerste fysieke Xiaomi winkel in de Benelux?

In de eerdere beantwoording is aangegeven dat Xiaomi-toestellen in Nederland breed verkrijgbaar zijn. Het klopt dat er een fysieke Xiaomi-winkel in Rotterdam is.

Vraag 6

Hoe beoordeelt u het feit dat aanbieders van apparaten waar censuursoftware op staat winkels openen in Nederland en hun marktaandeel in Nederland groeiend is?

Het is belangrijk dat producten die hier op de markt worden gebracht voldoen aan de relevante regelgeving. Dat wordt des te belangrijker als het een wijdverspreid product is. Tegelijkertijd is het iedereen die zich aan de relevante Nederlandse en Europese wetgeving houdt toegestaan producten op de Nederlandse en Europese markt te brengen.

Vraag 7

Klopt het dat de censuursoftware op afstand kan worden geactiveerd vanuit China, zonder dat gebruikers dit doorhebben? Deelt u de mening dat deze functionaliteit een potentiële bedreiging vormt voor de vrijheid van meningsuiting en de vrije toegang tot informatie van Nederlandse gebruikers van Xiaomi-toestellen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Een fabrikant kan op afstand wijzigingen doorvoeren aan producten en diensten door software-updates uit te brengen. Op basis van artikel 11.7a van de Telecommunicatiewet moet de fabrikant daarover de eindgebruiker informeren en bovendien diens toestemming verkrijgen voor de wijziging.
De vrije nieuwsgaring wordt onder meer beschermd door artikel 10 van het Europees Verdrag voor de Rechten van de Mens. Hiervoor is het van belang dat mensen degelijke toegang hebben tot informatie zonder hierin te worden gehinderd. De gigantische hoeveelheid informatie die in de moderne wereld voorhanden is maakt het echter noodzakelijk dat technische hulpmiddelen zoals zoekmachines deze informatie filteren voordat het aan gebruikers wordt voorgelegd. Voor vrije nieuwsgaring is het van belang dat deze filtering waardenvrij plaatsvindt.
Het is onwenselijk voor gebruikers om heimelijk af te worden gehouden van specifieke onderwerpen. Uit zowel het Litouwse als Duitse onderzoek blijkt echter dat dit in de Europese Unie op Xiaomi telefoons ook niet wordt gedaan. Het is in het algemeen belangrijk dat gebruikers de beperkingen van hun apparatuur kennen en begrijpen en indien zij dat wensen kunnen kiezen uit alternatieve browsers en zoekmachines om te voorzien in hun informatiebehoefte.

Vraag 8

Hoe beoordeelt u het feit dat ook de data van Nederlandse gebruikers die Xiaomi-toestellen gebruiken wordt doorgestuurd naar Xiaomi-servers in China, waar conform de geldende Chinese cyberveiligheidswet, ook de Chinese overheid toegang heeft tot de data van Nederlandse gebruikers?

Nederland en de EU spreken in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene verordening gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de Notitie «Nederland-China: Een nieuwe balans» (Kamerstuk 35 207, nr. 1) staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, bescherming van persoonsgegevens en privacy en productveiligheid.
Partijen moeten, wanneer zij in de EU producten of diensten aanbieden, voldoen aan de vereisten die conform het gegevensbeschermingsrecht op hen rusten. In dit geval zijn deze vereisten primair neergelegd in het algemene kader dat de AVG biedt voor de verwerking van persoonsgegevens en de speciale regels uit de Telecommunicatiewet. De AVG kent een ruim toepassingsbereik. Artikel 3, tweede lid, onder a AVG bepaalt dat verwerkingsverantwoordelijken die goederen of diensten aanbieden aan betrokkenen in de EU binnen het toepassingsbereik vallen. De AVG bepaalt onder meer dat er een «rechtsgrondslag» moet zijn om persoonsgegevens te verwerken (bijvoorbeeld toestemming), dat betrokkenen geïnformeerd moeten worden over de verwerking van hun gegevens en dat zij in staat worden gesteld om de rechten uit te oefenen die zij over hun gegevens hebben.
Voor zover het gaat om gegevens die worden afgelezen van het randapparaat van de eindgebruiker (ook als dit geen persoonsgegevens zijn) is artikel 11.7a van de Telecommunicatiewet van toepassing. Dit ook bij vraag 7 genoemde artikel bepaalt dat voor het plaatsen en aflezen van informatie op een randapparaat de toestemming van de eindgebruiker noodzakelijk is. Voor een rechtsgeldige toestemming is van belang dat de eindgebruiker adequaat is geïnformeerd over de doeleinden van de gegevensverzameling en verwerking. Op deze bepaling wordt toezicht gehouden door Autoriteit Consument en Markt (ACM).
In algemene zin geldt dat, wanneer persoonsgegevens naar een land buiten de Europese Unie worden doorgegeven, er additionele voorwaarden gelden. Doorgifte is namelijk slechts toegestaan op grond van een van de wettelijke bepalingen uit hoofdstuk V van de AVG. Aangezien voor China geen door de Europese Commissie genomen adequaatheidsbesluit bestaat, waarin wordt besloten dat dit land een passend beschermingsniveau waarborgt, kan structurele doorgifte van persoonsgegevens alleen plaatsvinden voor zover er door de verwerkingsverantwoordelijke «passende waarborgen» worden geboden.
Het is aan de Autoriteit Persoonsgegevens (AP), de toezichthouder op de AVG, om erop toe te zien dat er passende waarborgen zijn getroffen. Als dit niet het geval is heeft de AP onder meer de bevoegdheid om boetes op te leggen, maar ook om de verwerking te verbieden.

Vraag 9

Klopt het dat de Belgische Staatsveiligheidsdienst al eerder publiekelijk heeft gewaarschuwd voor spionage via Chinese spionage, waaronder die van Xiaomi? Zo ja, hoe beoordeelt u dit en deelt u de mening dat deze waarschuwing zeer zorgelijk is?

Het klopt dat de Belgische Staatsveiligheid heeft gewaarschuwd voor potentiële Chinese spionagedreiging. Zoals ook staat beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3 en de jaarverslagen van de inlichtingen- en veiligheidsdiensten is toenemende afhankelijkheid van buitenlandse technologie een gegeven. Hierdoor bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen. Waar dit de nationale veiligheid raakt, wordt per geval afgewogen welke maatregelen proportioneel zijn om dit risico te beheersen. Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer technologie de Nederlandse vitale infrastructuur of gevoelige kennis en informatie raakt.

Vraag 10

In hoeverre is de huidige aangewezen toezichthouder in staat om te controleren of er censuursoftware op mobiele telefoons aanwezig is en of deze software daadwerkelijk actief is?

De toekomstige e-privacy verordening bevat regels over (de verwerking van persoonsgegevens bij) elektronische communicatie om te zorgen dat de persoonlijke levenssfeer wordt beschermd. Daarin wordt het controleren van de communicatie, ook door leveranciers van telefoons, verboden. Als de verordening van kracht wordt of voorafgaand daaraan de Telecommunicatiewet wordt aangepast conform het gestelde onder vraag 1, is er pas een aangewezen toezichthouder op dit punt.
Voor zover de vraag gaat over het in staat zijn om te controleren of er een betreffende functionaliteit op mobiele telefoons aanwezig is en of deze actief is, komt uit de genoemde onderzoeken bij vraag 1 naar voren dat dit het geval is. Uit die onderzoeken bleek dat de functionaliteit in de praktijk niet wordt toegepast.

Vraag 11

Hoe beoordeelt u de aanwezigheid van censuursoftware op Xiaomi-toestellen in het kader van een eerdere uitspraak, gedaan door de Algemene Inlichtingen- en Veiligheidsdienst, dat er sprake is van een «wereldwijde grootschalige vergaring van persoonsgegevens door Chinese actoren om profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken»?

De betreffende functionaliteit ziet op het detecteren en blokkeren van bepaalde termen. Deze functionaliteit heeft geen verband met grootschalige vergaring van persoonsgegevens. Zie het antwoord op vraag 1 ten aanzien van deze functionaliteit en het antwoord op vraag 8 ten aanzien van dataveiligheid.

Vraag 12

Deelt u de mening dat het zeer onwenselijk is dat ook de telefoons van Nederlandse gebruikers deze software kunnen bevatten en dat er een mogelijkheid is dat de censuursoftware wordt geactiveerd? Zo ja, bent u bereid een onafhankelijk onderzoek te laten uitvoeren door bijvoorbeeld het Agentschap Telecom en de Nationaal Coördinator Terrorismebestrijding en Veiligheid naar de mogelijke aanwezigheid van deze censuursoftware op Xiaomi-toestellen die in Nederland worden verkocht? Zo nee, waarom niet?

Ik zie geen noodzaak tot het doen van een aanvullend onderzoek naar de in het artikel genoemde software op Xiaomi-toestellen. Wel zal ik nader bezien of het doelmatig is om de Telecommunicatiewet op dit punt aan te passen. Zie hiervoor het antwoord op vraag 1.
Daarnaast is, zoals ook in de hoofdlijnenbrief digitalisering van 8 maart jl. aangegeven, digitaal bewustzijn noodzakelijk. We investeren samen met de ministeries van Justitie en Veiligheid en Binnenlandse Zaken en Koninkrijksrelaties in het vergroten van kennis onder burgers over digitale veiligheid en over technologische ontwikkelingen, zodat zij zich bewust zijn van de mogelijkheden, beperkingen, kansen en risico’s van technologie. Op de website veiliginternetten.nl wordt voorlichting en handelingsperspectief gegeven over het veilig gebruik van een apparaat.

Vraag 1

Wat vindt u van de stelling dat een interessante focus van onderzoek zou kunnen zijn dat de inlichtingen-en veiligheidsdiensten effectief hun wettelijk taak kunnen blijven uitvoeren zonder een achterdeur die versleutelde communicatie via OTT(over-the-top)-diensten onveilig maakt?1

Ik kan niet voor de inlichtingen- en veiligheidsdiensten (IenV-diensten) spreken, deze diensten vallen onder de portefeuille van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie. Met deze diensten wordt wel goed samengewerkt. Binnen de termijn die in vraag 6 is gesteld was het niet mogelijk om bij vragen 1 en 4 de toepassing op de IenV-diensten na afstemming met hen toe te voegen, aangezien het opsporings- en IenV domein verschillend zijn gereguleerd.
Op dit moment wordt onderzocht hoe de uitdagingen in de opsporing als gevolg van encryptie kunnen worden geadresseerd. Er is een inventarisatie gaande om de technische mogelijkheden voor rechtmatige toegang tot versleutelde informatie te onderzoeken, om vervolgens de voor- en nadelen van die mogelijkheden voor alle betrokken (zwaarwegende) belangen te analyseren.
Het doel van deze inventarisatie is om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien tot wetgeving wordt besloten wordt een duidelijke wettelijke basis voorgesteld die via een transparant wetgevingsproces aan uw Kamer wordt voorgelegd. Of en hoe dit exact vorm krijgt is afhankelijk van het EU-traject dat nu loopt. Een technische oplossing moet adequaat en evenwichtig zijn. Belangrijk hierbij zijn de principes van proportionaliteit en subsidiariteit. Ten eerste moet de technische oplossing proportioneel zijn en bijdragen aan een veilige maatschappij of de bescherming van kwetsbaren in onze samenleving. Het middel moet aanvaardbaar zijn, dit betekent dat er geen onverantwoorde beslissingen worden genomen wanneer het de (digitale) veiligheid van burgers, het bedrijfsleven en de overheid aangaat. Deze inventarisatie zal ik niet vooraf beperken, omdat alle mogelijkheden eerst in kaart gebracht moeten zijn voordat een zorgvuldige keuze voor eventuele maatregelen kan worden genomen.

Vraag 2

Zou u het onderzoek kunnen verbreden naar het onderzoeken van een grotere dreiging voor onze digitale veiligheid en verdienvermogen, namelijk het doorbreken van veilige versleutelde communicatie door nieuwe technologie zoals kwantumtechnologie in de nabije toekomst?

Zie het antwoord op vraag 3.

Vraag 3

Bent u het met de partijen eens dat het kwantumproof maken van onze communicatie en netwerken een urgente uitdaging is die nu moet worden aangepakt?

Het effect van kwantumtechnologie op de veiligheid van versleutelde communicatie past niet binnen de reikwijdte van de inventarisatie naar mogelijkheden en voor- en nadelen van de rechtmatige toegang tot versleutelde informatie. Eventuele dreigingen voor versleutelde communicatie is niet de focus van de inventarisatie die is gestart. Gegeven de complexiteit van de inventarisatie die in deze beantwoording wordt geschetst bestaat de voorkeur om de focus te behouden tot mogelijkheden voor rechtmatige toegang tot versleuteld bewijs.
Het NCSC adviseert organisaties nu al na te denken over de gevolgen van de komst van de kwantumcomputer voor hun organisatie en een actieplan op te stellen dat duidelijk maakt binnen welke tijdlijn er maatregelen genomen moeten worden.2 Gegevens die vandaag al bestaan en die ook na de komst van kwantumcomputers beschermd moeten blijven, moeten namelijk nu al aanvullend worden beschermd.
Versleuteling is van belang voor de veiligheid. Daarnaast is rechtmatige toegang tot versleutelde communicatie is ook van belang voor de veiligheid van de maatschappij en burgers doordat illegale inhoud en activiteiten beter worden onderkend, onderschept en verwijderd, en slachtofferschap wordt voorkomen of geminimaliseerd, ook in het digitale domein.
In mijn beantwoording leest u dat in de inventarisatie verschillende grote belangen worden meegewogen. Bijvoorbeeld, cybersecurity en de bescherming van fundamentele rechten zijn zwaarwegende onderdelen die worden meegenomen in afwegingen of maatregelen proportioneel zijn. Dit is ook vice versa van belang. Ook bij toekomstige technologieën vind ik een integrale benadering belangrijk en is het goed dat ook het opsporingsbelang wordt meegenomen.

Vraag 4

Ziet u interceptie van versleutelde communicatie via OTT-diensten als een nieuwe bevoegdheid voor de inlichtingen-en veiligheidsdiensten? Op welk artikel in de Wet op de inlichtingen-en veiligheidsdiensten 2017 baseert u zich?

In lijn met de beantwoording op vraag 1 relateer ik deze vraag aan de wettelijke bevoegdheden van de opsporingsdiensten en het Openbaar Ministerie. Hierbij moet onderscheid worden gemaakt tussen het Wetboek van Strafvordering (Sv) en de Telecommunicatiewet.
De in hoofdstuk 13 Telecommunicatiewet en onderliggende lagere regelgeving vastgelegde medewerkings- en ontsleutelverplichtingen zijn beperkt tot (klassieke) aanbieders van openbare telecommunicatiediensten en – netwerken. Aanbieders van OTT-communicatiediensten – nummeronafhankelijke interpersoonlijke communicatiedienten volgens de definitie van de Telecommunicatiewet – vallen niet onder deze verplichtingen. Ondanks het feit dat het de officier van justitie is toegestaan op basis van artikel 126m jo. 138g Sv, na een daartoe verkregen machtiging van de rechter-commissaris, een opsporingsambtenaar te bevelen versleutelde communicatie via OTT-communicatiediensten af te tappen kan.vanwege de ontbrekende medewerkings- en ontsleutelverplichtingen geen inzicht worden verkregen in de inhoud van de versleutelde communicatie.

Vraag 5

Wat is de huidige stand van zaken van het in de beantwoording genoemde EU traject met betrekking tot veilige digitale communicatie?

De Europese Commissie beraadt zich op dit moment op een «way forward» voor de inventarisatie naar rechtmatige toegang tot versleuteld bewijs en deze wordt in 2022 gepubliceerd. Dit doet zij op basis van beantwoorde vragenlijsten en de Commissie heeft enkele ambtelijke gesprekken georganiseerd. Uiteraard zal ik uw Kamer over de uitkomsten informeren.

Vraag 6

Kunt u deze vragen afzonderlijk beantwoorden voorafgaand het commissiedebat online veiligheid en cybersecurity op 7 april 2022?

Ja.

Vraag 1

Bent u bekend met het artikel «Niet thuis om een pakketje aan te nemen? PostNL laat geen briefje meer achter, maar mailt»?1

Vraag 2

Deelt u de mening dat het schrappen van papieren «niet-thuisberichtjes» tot problemen kan leiden voor mensen die niet van online diensten gebruik kunnen maken?

Vraag 3

Vindt u ook dat de gekozen oplossing, het versturen van een sms-bericht, tot problemen kan leiden voor mensen die geen mobiele telefoon hebben?

Vraag 4

Vindt u het daarom ook zorgwekkend dat grote groepen mensen hiermee nog verder op afstand komen te staan van de samenleving, doordat zij onvoldoende mogelijkheden hebben om gebruik te maken van online diensten en daardoor mogelijk geen pakketjes meer kunnen ontvangen?

Vraag 5

Bent u tevens van mening dat het ontvangen van pakketten een cruciale functie vervult voor veel mensen, zeker mensen die slecht ter been zijn?

Vraag 6

Bent u daarom ook van mening dat een bedrijf als PostNL ook een verantwoordelijkheid heeft om mensen die niet van online diensten gebruik kunnen maken nu en in de toekomst te ondersteunen?

Vraag 7

Deelt u daarom ook de mening dat PostNL er, in navolging van de aangenomen motie-Kathmann c.s.2, voor dient zorg te dragen dat er ten allen tijde een offline mogelijkheid beschikbaar dient te zijn?

Vraag 8

Welke mogelijkheden heeft u om van PostNL te verwachten dat niet-digivaardigen ook ondersteund worden?

Vraag 9

Bent u bereid om het probleem van niet-digivaardigen met PostNL te bespreken en gezamenlijk met hen tot een oplossing te komen voor mensen die van de afschaffing van de papieren «niet-thuisberichtjes» de dupe zijn?

Vraag 1

Bent u bekend met het artikel «Expats kick-off French legislative elections with online voting»?1

Vraag 2

Bent u bekend met het feit dat het bij de afgelopen parlementsverkiezingen voor Fransen die in het buitenland wonen, mogelijk is om digitaal te stemmen?

Vraag 3

Kunt u aangeven in welke andere landen binnen de EU het mogelijk is om digitaal te stemmen (voor inwoners die in het buitenland wonen)?

Vraag 4

Deelt u de mening dat digitaal stemmen voor Nederlanders buiten Nederland veel voordelen zou hebben, zoals gemak en de zekerheid dat de stem (op tijd) aankomt?

Vraag 5

Welke stappen zijn er sinds de Tweede Kamerverkiezingen van 2021 gezet om het digitaal stemmen (vanuit het buitenland) mogelijk te maken?

Vraag 6

Kunt u aangeven waarom het op dit moment nog niet mogelijk is om digitaal te stemmen voor Nederlanders in het buitenland? Wat zijn de grootste uitdagingen om dit mogelijk te maken?

Vraag 7

Hoe gaat Frankrijk om met deze zelfde uitdagingen? Waarom is het voor Fransen in het buitenland wel mogelijk om veilig digitaal te stemmen?

Vraag 8

Bent u bereid met uw Franse collega’s te spreken over digitaal stemmen, en informatie en ervaringen uit te wisselen?

Vraag 9

Welke inspanningen verricht u om het aantal geregistreerde stemgerechtigde Nederlanders in het buitenland te verhogen? Bent u bereid te informeren welke inspanningen Frankrijk hiertoe verricht?

Vraag 10

Gaat u onderzoeken of, mede op basis van de ervaringen in Frankrijk, digitaal stemmen mogelijk te maken is voor Nederlanders in het buitenland?

Vraag 1

Bent u bekend met het bericht «Directie IT-bedrijf Centric stapt op na conflict met eigenaar Sanderink»1?

Vraag 2

Kan het opstappen van de complete uitvoerende directie van het IT-bedrijf Centric, de onrust en het jarenlange interne conflict gevolgen hebben voor de continuïteit van de dienstverlening aan de rijksoverheid? Zo ja, welke gevolgen kan dit hebben voor de dienstverlening? Wilt u in uw beantwoording ook gemeenten meenemen, aangezien Centric een grote leverancier is voor gemeenten? Zo nee, waarom niet?

Vraag 1

Heeft u kennisgenomen van het opstappen van de top van Centric na een conflict met eigenaar Sanderink?1

Vraag 2

Heeft u kennisgenomen van het voornemen van de opgestapte bestuursleden naar de ondernemingskamer te stappen in verband met wanbeheer?

Vraag 3

Heeft u gezien dat DNB afscheid genomen heeft van Centric?

Vraag 4

Deelt u de mening dat er redenen van openbaar belang zijn een enquête te houden naar de onderneming Centric, aangezien er vele misstanden zijn, zoals o.a. opgetekend in het boek «Er is er hier maar een de baas, de ontspoorde macht van Gerard Sanderink» van Angelique Kunst?

Vraag 5

Bent u bereid aan de advocaat-generaal bij het gerechtshof te Amsterdam, die krachtens artikel 2:345 lid 2 BW de bevoegdheid heeft een enquête in te stellen om redenen van openbaar belang, mede te delen dat u die opvatting heeft?

Vraag 6

Kunt u deze vragen zo spoedig mogelijk beantwoorden?

Vraag 1

Klopt het dat het 2G en 3G netwerk in 2025 uitgeschakeld wordt en dat hiermee het niet meer mogelijk is om 2G en 3G te gebruiken om te bellen, maar alleen 4G of 5G?

Vraag 2

Heeft het kabinet invloed op het moment van uitschakeling van het netwerk? Zo nee, waarom niet?

Vraag 3

Wat zijn de concrete gevolgen voor burgers en bedrijven van het uitschakelen van 2/3G voor bellen en overig gebruik van de telefoon?

Vraag 4

Voor D66 is het belangrijk dat het bereiken van 112 niet afhankelijk is van welke toestel of welke provider iemand heeft. Is het bellen met 4/5G (VoLTE) even betrouwbaar als het regulier bellen zoals we deze nu kennen? Is het mogelijk/eenvoudig voor iedereen om met welke toestel dan ook, en met welke provider elkaar te bereiken?

Vraag 5

Wat zullen de verdere gevolgen zijn van deze ontwikkeling voor de bereikbaarheid van alarmnummer 112?

Vraag 6

Kunt u verder toelichten in hoeverre de techniek rondom VoLTE hierin een mogelijk rol kan spelen?

Vraag 7

Kunt u toelichten wat de rol van Europa en Nederland is bij het maken van goede standaarden voor VoLTE? Zoals in het verleden het GSM standaard tot stand is gekomen.

Vraag 8

Kunt u garanderen dat het in de toekomst niet uit moet maken welke provider je gebruikt om te bellen, zoals naar het 112 nummer? Zo nee, waarom niet? Bent u bereid zich in te zetten om dit mogelijk te maken?

Vraag 9

Bent u bereid deze vragen afzonderlijk te beantwoorden, tegelijkertijd met wanneer de aanvullende brief naar de Kamer wordt gestuurd?

Vraag 1

Bent u bekend met het bericht «KPN en gemeente komen er niet uit: mobiel bereik in Termunten blijft slecht»?1

Vraag 2

Kunt u zich de schriftelijke vragen van de leden Van den Berg en Kuik (beiden CDA) van 15 oktober 2020 herinneren naar aanleiding van het bericht «Termunten is slecht bereik zat: «We moeten op de dijk staan om te kunnen bellen»» van RTV Noord?2

Vraag 3

Kunt u aangeven welke acties er tussen 2020 en heden zijn ondernomen om het mobiel bereik in Termunten en Termunterzijl te verbeteren? Wilt u hierbij ook stilstaan bij uw eigen rol? Hoe heeft het Ministerie van Economische Zaken en Klimaat bijgedragen aan het oplossen van de bereikbaarheidsproblemen?

Vraag 4

Wat kunnen u en/of het Agentschap Telecom doen om de patstelling tussen de gemeente Eemsdelta en KPN te doorbreken, zodat inwoners van alle kernen verzekerd zijn van goed mobiel bereik, van voldoende niveau om in elk geval alarmnummer 112 te kunnen bellen? Bent u in ieder geval bereid op korte termijn in overleg te treden met de gemeente en met Monet, de branchevereniging van mobiele netwerkoperators?

Vraag 5

Welke signalen hebt u in het afgelopen jaar ontvangen over of uit gemeenten waar zich vergelijkbare dekkings-/bereikbaarheidsproblemen voordoen? Deelt u de mening dat goed mobiel bereik en snel internet een basisvoorziening zijn, waar elke Nederlander, ongeacht woonplaats, op zou moeten kunnen rekenen?

Vraag 6

Waarom hebt u de motie van de leden Inge van Dijk (CDA) en Rajkowski (VVD), die de regering verzoekt voor 1 januari 2022 met voorstellen te komen om de «witte gebieden» in Nederland te ontsluiten, zodat voldaan kan worden aan de ondergrens van mobiele bereikbaarheid, namelijk 112 te kunnen bellen, nog steeds niet uitgevoerd?3 Bent u bereid hier prioriteit aan te geven en ervoor te zorgen dat de motie voor Prinsjesdag 2022 is uitgevoerd en de Kamer is geïnformeerd?

Vraag 1

Bent u bekend met de uitzending van het tv-programma Kassa d.d. 23 mei 2022 over digitale toegankelijkheid?

Vraag 2

In hoeverre zijn de verhalen over websites en apps die niet toegankelijk zijn voor bijvoorbeeld mensen met een handicap, zoals in de uitzending naar voren kwamen, u bekend? Welke signalen ontvangt u hierover zelf en van wie? Herkent u dat Nederland steeds meer digitaliseert, maar dat de kloof tussen mensen die wel en die niet mee kunnen doen, zoals ouderen, mensen met een handicap of laaggeletterden, steeds groter wordt? Wat zijn hiervan, volgens u, de oorzaken?

Vraag 3

Wat vindt u ervan dat ondanks wetgeving, zoals het Tijdelijk besluit digitale toegankelijkheid overheid uit 2018, websites en apps van veel (semi-)overheidsinstellingen niet of onvoldoende digitaal toegankelijk zijn? Deelt u de mening dat het uitermate wrang is dat bijvoorbeeld een reisapp als Valys, die er is voor mensen met een handicap, niet goed werkt, juist voor mensen met een handicap? Welke acties onderneemt u momenteel om de (digitale) toegankelijkheid van overheden, en het bewustzijn hierover, te verbeteren, bijvoorbeeld door (lokale) overheden aan te moedigen om binnen hun organisaties iemand aan te stellen die zich hier op de werkvloer mee bezighoudt? Deelt u de mening dat extra inzet nodig is? Op welke manieren wordt hierbij gebruik gemaakt van kennis uit de praktijk, van ervaringsdeskundigen, zoals mensen met een handicap, die kunnen adviseren en helpen met testen?

Vraag 4

Welke bewindspersoon is verantwoordelijk voor een toegankelijke samenleving? Hoe zorgt deze bewindspersoon ervoor dat alle departementen hiermee aan de slag zijn en wetgeving vlot en integraal wordt in- en uitgevoerd?

Vraag 5

Hoe kunnen bedrijven worden geholpen en ondersteund om, vooruitlopend op de European Accessibility Act, hun websites, apps en digitale producten en diensten voor iedereen toegankelijk te maken? Welke mogelijkheden hebt u om een website als https://ismijnsitetoegankelijk.nl, een initiatief van MKB-Nederland, Stichting Accessibility en Thuiswinkel.org, onder de aandacht van het brede bedrijfsleven te brengen?

Vraag 6

Bent u bereid een regeringscommissaris voor toegankelijkheid te benoemen, iemand die toegankelijkheid een gezicht geeft en die zich ervoor gaat inzetten dat we allemaal mee kunnen doen in onze samenleving, zoals op een makkelijke manier gebruik maken van internet, van het openbaar vervoer, het binnengaan van gebouwen of het bezoeken van evenementen?

Vraag 1

Klopt het dat u in «Antwoord op vragen van het lid Van der Plas over het toenemende gebruik van Signal onder bewindspersonen en ambtenaren», antwoord 2, stelt dat het Rijksbreed beleid is om zo min mogelijk gebruik te maken van berichtenapps voor werkgerelateerde communicatie, dat het gebruik van deze apps bij bestuurlijke besluitvorming wordt ontraden en chatberichten over de bestuurlijke besluitvorming worden geborgd binnen de organisatie?1 Kunt u voor elk van de drie beleidspunten apart aangeven of de Minister-President hier in zijn berichtgedrag aan voldaan heeft? Zo ja, waarom wel? Zo nee, waarom niet?

Vraag 2

Klopt het dat de Minister-President de verwijderde berichten heeft doorgestuurd naar zijn ambtenaren? Hoe werden deze vervolgens verwerkt, gecentraliseerd en gearchiveerd? Kunt u hier toelichting op geven?

Vraag 3

Is het handelen van de Minister-President in lijn met de geest van het Rijksbrede beleid, met de geest van de Wet openbaarheid bestuur en met de geest van de uitspraak van de Raad van State uit 2019 (inzake de omgang met en het bewaren van chatberichten)?

Vraag 4

De Minister-President zegt enkel «onbelangrijke sms’jes» te hebben gewist; welk beoordelingskader is gebruikt om te beslissen wat belangrijk en onbelangrijk is?

Vraag 5

Deelt u de bezorgdheid dat er berichten over bestuurlijke besluitvorming verloren zijn gegaan door het bovenmatig verwijderen van de berichten op de telefoon van de Minister-President?

Vraag 6

Kunnen de berichten via de provider worden teruggehaald? Is dit juridisch mogelijk?

Vraag 7

Was u bij het opstellen van het antwoord op vraag 7 van de eerder aangehaalde schriftelijke vragen op de hoogte van het persoonlijk berichtenbeleid wat de Minister-President hanteerde? Heeft u hierover bij hem geïnformeerd? Zo niet, waarom, ondanks de Kamervragen, niet?

Vraag 8

Kunt u alle communicatie tussen het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en het Ministerie van Algemene Zaken over de beantwoording van de eerdere aangehaalde kamervragen delen met de Kamer?

Vraag 9

Waarom gebruikte de Minister-President nog een Nokia als er vele nieuwe communicatiemiddelen op de markt worden aangeboden en die middelen beter bestemd zijn om als gegevensdrager aan te sluiten op de Wet openbaarheid van bestuur? Is dit binnen het kabinet besproken?

Vraag 10

Kunt u per bewindspersoon een overzicht geven van welke mobiele telefoon zij gebruiken voor communicatie over bestuurlijke besluitvorming?

Vraag 11

Kunt u per Minister individueel een overzicht geven van het aantal verwijderde berichten van de eigen telefoon die relevant waren voor bestuurlijke besluitvorming? Zijn deze allemaal door ambtenaren gearchiveerd?

Vraag 12

Bent u bereid om het beleid ten aanzien van het verwijderen van SMS of ander digitaal berichtenverkeer binnen de rijksoverheid aan te scherpen?

Vraag 13

Is de aanvulling op de handleiding «Risico’s en maatregelen bewaren van chatberichten» zoals toegezegd in antwoord 3 op de bovengenoemde Kamervragen inmiddels Rijksbreed gecommuniceerd?

Vraag 14

Kunt u deze vragen elk afzonderlijk en voor dinsdag 24 mei 2022 beantwoorden?

Vraag 1

Heeft u kennisgenomen van het artikel «Ziekenhuizen voelen zich klemgezet door softwarebouwer»?1

Vraag 2

Deelt u de mening dat het ongezond is dat één bedrijf de markt van software voor ziekenhuizen op deze wijze domineert?

Vraag 3

Kunt u een overzicht geven van de bedragen die ziekenhuizen per jaar kwijt zijn aan softwareleveranciers, als het gaat om de aanschafkosten van nieuwe softwaresystemen én de jaarlijks terugkerende licentiekosten? Kan dit overzicht per ziekenhuis uitgesplitst worden, waarbij ook wordt vermeld met welke softwareleverancier betreffend ziekenhuis een contract heeft? Als dit overzicht per ziekenhuis niet mogelijk is, kunt u dan een inschatting geven van de totale kosten voor softwaresystemen in de ziekenhuiszorg in Nederland?

Vraag 4

Deelt u de mening dat softwareleveranciers voor ziekenhuizen geen tientallen procenten winstmarge zouden moeten maken, aangezien zij hun winst verdienen uit collectieve middelen? Zo ja, bent u bereid een maximale winstmarge wettelijk vast te leggen, zoals bijvoorbeeld mogelijk gemaakt zou worden met het voorgestelde amendement bij de Wet elektronische gegevensuitwisseling zorg (Wegiz) van het lid Van den Berg over een vergunningplicht voor systemen voor gegevensuitwisseling van ziekenhuizen? Zo nee, waarom niet?2

Vraag 5

Deelt u de mening dat de drempel voor ziekenhuizen om van softwareleverancier te wisselen zo laag mogelijk zou moeten zijn? Zo nee, waarom niet? Zo ja, bent u bereid wettelijk vast te leggen dat in contracten moet worden vastgelegd dat extractie van gegevens/dataportabiliteit gratis moet zijn, zoals wordt voorgesteld in het amendement bij de Wet elektronische gegevensuitwisseling zorg (Wegiz) van het lid Van den Berg over basiseisen voor inwisselbaarheid van informatietechnologieproducten of -diensten?3

Vraag 6

Op welke wijze denkt u de problemen op de markt van ziekenhuissoftware de komende tijd aan te kunnen pakken? Op welke wijze neemt u hierbij de oplossingsrichtingen mee die de Autoriteit Consument & Markt (ACM) eind 2021 heeft voorgesteld, te weten: toepassing van de mededingingsregels (1), samenwerking ziekenhuizen ter versterking van onderhandelingspositie (2) en samenwerking ICT-leveranciers ter bevordering van interoperabiliteit (3)?4

Vraag 7

Op welke wijze zou volgens u de Nederlandse softwaremarkt aantrekkelijker gemaakt kunnen worden voor nieuwe leveranciers? Ziet u daarin een rol voor de overheid?

Vraag 8

Klopt het dat het softwarebedrijf Chipsoft – ondanks dat er ongeveer zevenhonderd mensen werken – geen ondernemingsraad of ander medezeggenschapsorgaan heeft? Klopt het tevens dat Chipsoft geen raad van commissarissen heeft? Zo ja, overtreedt dit bedrijf daarmee volgens u de wet? Op welke wijze behoort hierop toegezien te worden en op welke wijze behoort hierop ingegrepen te worden?

Vraag 9

Kunt u deze vragen beantwoorden voor de behandeling van het wetsvoorstel Wet elektronische gegevensuitwisseling in de zorg (Wegiz)?

Vraag 1

Heeft u kennisgenomen van het artikel «Knip open voor Europese chips»?1

Vraag 2

Heeft u kennisgenomen van het feit dat wordt beschreven dat een forse bijdrage van overheden noodzakelijk is?

Vraag 3

Zijn er reeds gesprekken gevoerd met het kabinet over een eventuele bijdrage door de Nederlandse staat?

Vraag 4

Welke kansen liggen er voor Nederlandse fabrikanten en kennisinstellingen in de halfgeleidersector?

Vraag 5

Zijn er Nederlandse bedrijven en kennisinstellingen die kunnen dan wel gaan aanhaken bij de waardeketens die gecreëerd worden door de grote investeringen van Intel, de Europese Unie en derde lidstaten? Zo ja, op welke wijze zijn deze bedrijven in staat om mee te schalen naar de grote vraag aan chips en de daarmee gepaarde gaande investeringen? Wat zijn de belangrijkste knelpunten voor de bedrijven om tijdig en voldoende te kunnen opschalen?

Vraag 6

Welke rol en welk kabinetsbeleid is er om proactief onderdeel te zijn van de Europese Chips Act? Met andere woorden: hoe heeft het kabinet de Europese Chips Act vertaald naar Nederlands beleid en een Nederlands actieprogramma?

Vraag 7

Is het mogelijk om Nederland met zijn halfgeleiderwaardeketen stevig te laten aansluiten bij de Chips Act? Zo ja, wat is hierbij uw motivatie? Zo nee, welke mogelijkheden overweegt u om wel voldoende aansluiting te vinden?

Vraag 8

Nederland heeft een sterk, onderscheidend en concurrerend fotonica-ecosysteem. Hoe past de Nederlandse fotonicasector in het kabinetsbeleid en in de Chips Act?

Vraag 9

Wordt de fotonicasector ook gezien als «sensitieve technologie» dat van groot publiek en nationaal (veiligheids)belang is voor ons toekomstig verdienvermogen?

Vraag 10

Kunt u een prognose geven van het groeipotentieel van de Nederlandse halfgeleidersectorwaardeketen bij het behalen van de ambities van de Europese Chips Act, namelijk 20 procent in 2030? Kunt u dit ook aangeven voor de wereldwijde groei van de halfgeleidersector richting 1.000 miljard in 2030?

Vraag 11

Zijn de plannen die beschreven staan in het artikel onderdeel van een initatief in het kader van een Important Project of Common European Interest (IPCEI)?

Vraag 12

Hoe gaat de reservering van 230 miljoen euro door het kabinet aan IPCEI Micro-elektronica 2 besteed worden?

Vraag 13

Hoe groot en op welke manier zullen de Nederlandse bedrijven baat hebben bij de toekomstige investeringen vanuit Intel en de overheden?

Vraag 14

Is er een rol weggelegd voor de Nederlandse technische universiteiten?

Vraag 15

Bent u al in gesprek met Taiwan Semiconductor Manufacturing Company (TSMC) over een Europese megafabriek?

Vraag 16

Kunt u de vragen uiterlijk voor het rondetafelgesprek Europese Chips Act op 11 mei 2022 beantwoorden?

Vraag 1

Bent u bekend met het bericht «Intel kiest voor Duitsland als vestigingsplaats voor Europese megafabriek»?1

Ja.

Vraag 2

Hoe apprecieert u de ontwikkelingen van de bouw van een nieuwe megafabriek van Intel in Duitsland en het investeringsplan van 80 miljard voor de Europese chipproductie in het licht van de Europese ambities voor het chip-ecosysteem binnen Europa?

Het is een positief signaal voor de Europese Unie dat een belangrijke partij in de halfgeleiderindustrie zoals Intel bereid is omvangrijke investeringen te doen in Europa. Het kabinet ziet dit als een belangrijke stimulans voor de versterking van de Europese positie in de mondiale halfgeleiderindustrie. Het versterken van deze positie is onder andere van belang voor het behoud van strategische autonomie. Bovendien speelt deze sector een cruciale rol in de groene en digitale transities.
De halfgeleiderindustrie is heel sterk (mondiaal) verweven. Verschillende Europese bedrijven en kennisinstellingen zijn in dit internationale ecosysteem van elkaar afhankelijk en zijn in verschillende landen in Europa gevestigd. De Nederlandse halfgeleiderbedrijven maken hier integraal onderdeel van uit. Nederland heeft bijvoorbeeld een significant cluster op het gebied van apparatuur voor (zeer geavanceerde) halfgeleiderproductie. Intel heeft aangekondigd de nieuwste technieken te willen inzetten in hun fabriek. Door de internationale verwevenheid van deze industrie zullen de investeringen van Intel in Europa, ook positieve effecten hebben voor de Nederlandse bedrijven en daarmee de Nederlandse economie.

Vraag 3

Wat zijn de gevolgen voor het Nederlandse chip-ecosysteem en breder onze economie, nu Intel ervoor heeft gekozen haar nieuwe megafabriek in Duitsland te bouwen en als onderdeel van het investeringsplan bestaande activiteiten in Frankrijk, Ierland, Italië en Spanje uit te breiden en Nederland hierin geen rol heeft kunnen bemachtigen?

Zie antwoord vraag 2.

Vraag 4

Klopt het dat Nederland ook bereid was en inspanningen heeft geleverd om de Intel fabriek en andere onderdelen van het investeringsplan naar Nederland te halen? Kunt u dit proces toelichten? Zo nee, waarom niet?

Het kabinet gaat niet in op individuele gesprekken met bedrijven. Maar in algemene zin geldt dat het kabinet in nauw contact staat met het bedrijfsleven. Dat geldt ook ten aanzien van het aantrekken van investeringen in Nederland. De Netherlands Foreign Investment Agency (NFIA) speelt hierbij een belangrijke rol. In acquisitietrajecten wordt onder meer gesproken over de bedrijfspropositie en of dit aansluit bij het Nederlandse vestings- en investeringsbeleid, ook in relatie tot bredere maatschappelijke vraagstukken als klimaattransitie en ruimtelijke ordening.

Vraag 5

Kunt u aangeven welke oorzaken er in uw ogen voor hebben gezorgd dat, ondanks het feit dat Intel gesprekken heeft gevoerd met de Nederlandse overheid, Intel er niet voor heeft gekozen haar nieuwe fabriek of enige andere activiteiten in Nederland te vestigen? Zo nee, waarom niet?

Zie antwoord vraag 4.

Vraag 6

Op welke wijze beïnvloeden deze ontwikkelingen de ambities van het kabinet, gezien de grote bereidwilligheid van andere Europese overheden zoals die van Italië, Spanje, Polen en Duitsland om te investeren in dergelijke innovatieve ecosystemen zoals het chips-ecosysteem? Wat betekent dit bijvoorbeeld voor de ambitie om bij te dragen aan de Europese ambitie om strategische onafhankelijkheid te bereiken?

De recent door Intel aangekondigde investeringen versterken het Europese halfgeleider ecosysteem en verminderen de afhankelijkheid van chipproducenten buiten Europa. Dit is in lijn met de Nederlandse ambitie ten aanzien van de halfgeleidersector. Bovendien bieden de investeringen van Intel in productiecapaciteit voor chips tal van kansen voor onze maakindustrie die een belangrijke toeleverancier is voor dit soort fabrieken.
Nederland draagt op dit moment op verschillende manieren bij aan deze ambitie. De start hier van betrof het tekenen van de Declaration: A European Initiative on Processors and semiconductor technologies (7 december 2020).
Belangrijke voorbeelden van actieve Nederlandse overheidsbetrokkenheid zijn:
Daarnaast verwelkomt Nederland de recent verschenen Europese Chips Act (8 februari 2022), waarover uw Kamer op 25 maart jongstleden geïnformeerd is middels het BNC-fiche4.

Vraag 7

Ziet u ook kansen om met relevante Nederlandse bedrijven en (kennis)instellingen de samenwerking met het Europese chip-ecosysteem te intensiveren nu de chipfabriek zal worden gevestigd bij onze oosterburen? Zo ja, welke concrete kansen ziet u? Zo nee, waarom niet?

Ja, hier liggen kansen en mogelijkheden. Zoals eerder aangegeven is er een logische relatie met onze sterke positie in de machinebouw voor het productieproces van halfgeleiders, maar ook de sterke positie van Nederland op het gebied van kwantum- en fotonicatechnologie biedt mogelijkheden voor sterkere samenwerking.

Vraag 1

Wat vindt u van de stelling dat een interessante focus van onderzoek zou kunnen zijn dat de inlichtingen-en veiligheidsdiensten effectief hun wettelijk taak kunnen blijven uitvoeren zonder een achterdeur die versleutelde communicatie via OTT(over-the-top)-diensten onveilig maakt?1

Ik kan niet voor de inlichtingen- en veiligheidsdiensten (IenV-diensten) spreken, deze diensten vallen onder de portefeuille van de ministers van Binnenlandse Zaken en Koninkrijksrelaties en Defensie. Met deze diensten wordt wel goed samengewerkt. Binnen de termijn die in vraag 6 is gesteld was het niet mogelijk om bij vragen 1 en 4 de toepassing op de IenV-diensten na afstemming met hen toe te voegen, aangezien het opsporings- en IenV domein verschillend zijn gereguleerd.
Op dit moment wordt onderzocht hoe de uitdagingen in de opsporing als gevolg van encryptie kunnen worden geadresseerd. Er is een inventarisatie gaande om de technische mogelijkheden voor rechtmatige toegang tot versleutelde informatie te onderzoeken, om vervolgens de voor- en nadelen van die mogelijkheden voor alle betrokken (zwaarwegende) belangen te analyseren.
Het doel van deze inventarisatie is om geïnformeerde en zorgvuldige besluitvorming mogelijk te maken door dit kabinet en uw Kamer. Indien tot wetgeving wordt besloten wordt een duidelijke wettelijke basis voorgesteld die via een transparant wetgevingsproces aan uw Kamer wordt voorgelegd. Of en hoe dit exact vorm krijgt is afhankelijk van het EU-traject dat nu loopt. Een technische oplossing moet adequaat en evenwichtig zijn. Belangrijk hierbij zijn de principes van proportionaliteit en subsidiariteit. Ten eerste moet de technische oplossing proportioneel zijn en bijdragen aan een veilige maatschappij of de bescherming van kwetsbaren in onze samenleving. Het middel moet aanvaardbaar zijn, dit betekent dat er geen onverantwoorde beslissingen worden genomen wanneer het de (digitale) veiligheid van burgers, het bedrijfsleven en de overheid aangaat. Deze inventarisatie zal ik niet vooraf beperken, omdat alle mogelijkheden eerst in kaart gebracht moeten zijn voordat een zorgvuldige keuze voor eventuele maatregelen kan worden genomen.

Vraag 2

Zou u het onderzoek kunnen verbreden naar het onderzoeken van een grotere dreiging voor onze digitale veiligheid en verdienvermogen, namelijk het doorbreken van veilige versleutelde communicatie door nieuwe technologie zoals kwantumtechnologie in de nabije toekomst?

Zie het antwoord op vraag 3.

Vraag 3

Bent u het met de partijen eens dat het kwantumproof maken van onze communicatie en netwerken een urgente uitdaging is die nu moet worden aangepakt?

Het effect van kwantumtechnologie op de veiligheid van versleutelde communicatie past niet binnen de reikwijdte van de inventarisatie naar mogelijkheden en voor- en nadelen van de rechtmatige toegang tot versleutelde informatie. Eventuele dreigingen voor versleutelde communicatie is niet de focus van de inventarisatie die is gestart. Gegeven de complexiteit van de inventarisatie die in deze beantwoording wordt geschetst bestaat de voorkeur om de focus te behouden tot mogelijkheden voor rechtmatige toegang tot versleuteld bewijs.
Het NCSC adviseert organisaties nu al na te denken over de gevolgen van de komst van de kwantumcomputer voor hun organisatie en een actieplan op te stellen dat duidelijk maakt binnen welke tijdlijn er maatregelen genomen moeten worden.2 Gegevens die vandaag al bestaan en die ook na de komst van kwantumcomputers beschermd moeten blijven, moeten namelijk nu al aanvullend worden beschermd.
Versleuteling is van belang voor de veiligheid. Daarnaast is rechtmatige toegang tot versleutelde communicatie is ook van belang voor de veiligheid van de maatschappij en burgers doordat illegale inhoud en activiteiten beter worden onderkend, onderschept en verwijderd, en slachtofferschap wordt voorkomen of geminimaliseerd, ook in het digitale domein.
In mijn beantwoording leest u dat in de inventarisatie verschillende grote belangen worden meegewogen. Bijvoorbeeld, cybersecurity en de bescherming van fundamentele rechten zijn zwaarwegende onderdelen die worden meegenomen in afwegingen of maatregelen proportioneel zijn. Dit is ook vice versa van belang. Ook bij toekomstige technologieën vind ik een integrale benadering belangrijk en is het goed dat ook het opsporingsbelang wordt meegenomen.

Vraag 4

Ziet u interceptie van versleutelde communicatie via OTT-diensten als een nieuwe bevoegdheid voor de inlichtingen-en veiligheidsdiensten? Op welk artikel in de Wet op de inlichtingen-en veiligheidsdiensten 2017 baseert u zich?

In lijn met de beantwoording op vraag 1 relateer ik deze vraag aan de wettelijke bevoegdheden van de opsporingsdiensten en het Openbaar Ministerie. Hierbij moet onderscheid worden gemaakt tussen het Wetboek van Strafvordering (Sv) en de Telecommunicatiewet.
De in hoofdstuk 13 Telecommunicatiewet en onderliggende lagere regelgeving vastgelegde medewerkings- en ontsleutelverplichtingen zijn beperkt tot (klassieke) aanbieders van openbare telecommunicatiediensten en – netwerken. Aanbieders van OTT-communicatiediensten – nummeronafhankelijke interpersoonlijke communicatiedienten volgens de definitie van de Telecommunicatiewet – vallen niet onder deze verplichtingen. Ondanks het feit dat het de officier van justitie is toegestaan op basis van artikel 126m jo. 138g Sv, na een daartoe verkregen machtiging van de rechter-commissaris, een opsporingsambtenaar te bevelen versleutelde communicatie via OTT-communicatiediensten af te tappen kan.vanwege de ontbrekende medewerkings- en ontsleutelverplichtingen geen inzicht worden verkregen in de inhoud van de versleutelde communicatie.

Vraag 5

Wat is de huidige stand van zaken van het in de beantwoording genoemde EU traject met betrekking tot veilige digitale communicatie?

De Europese Commissie beraadt zich op dit moment op een «way forward» voor de inventarisatie naar rechtmatige toegang tot versleuteld bewijs en deze wordt in 2022 gepubliceerd. Dit doet zij op basis van beantwoorde vragenlijsten en de Commissie heeft enkele ambtelijke gesprekken georganiseerd. Uiteraard zal ik uw Kamer over de uitkomsten informeren.

Vraag 6

Kunt u deze vragen afzonderlijk beantwoorden voorafgaand het commissiedebat online veiligheid en cybersecurity op 7 april 2022?

Ja.

Vraag 1

Heeft u kennisgenomen van het artikel «In Kattendijke heeft niemand goed telefoonbereik, dorp smeekt gemeente om hulp»?1

Vraag 2

Kunt u zich de eerdere schriftelijke vragen over de telefonische bereikbaarheid in Overijssel herinneren?2

Vraag 3

Bent u bekend met de problemen met het telefoonbereik in het dorp Kattendijke? Hebt u hierover eerder signalen ontvangen en, indien ja, welke?

Vraag 4

Klopt het dat een bewoner van Kattendijke vorig jaar is overleden aan een hartstilstand, nadat vanwege slecht telefoonbereik noodberichten niet werden verzonden en hulp te laat kwam? Indien ja, deelt u de mening dat dit zeer ernstig respectievelijk zorgwekkend is en dat onmiddellijke actie noodzakelijk is?

Vraag 5

Deelt u de mening dat goed telefoonbereik en het te allen tijde overal in Nederland kunnen bereiken van hulpdiensten een basisvoorziening is, die in alle regio’s op orde moet zijn?

Vraag 6

Bent u bereid om met de gemeente Goes en/of telecomaanbieder KPN in contact te treden om te informeren wat u, als voor telecom verantwoordelijk bewindspersoon, kunt bijdragen om het telefoonbereik in Kattendijke zo snel mogelijk te verbeteren?

Vraag 7

Zijn u nog andere plaatsen in Nederland bekend waar het telefoonbereik op dit moment dusdanig slecht is dat levensbedreigende situaties ontstaan? Indien ja, welke plaatsen zijn dat en welke acties onderneemt u om deze bereikbaarheidsproblemen op te lossen?

Vraag 8

Wanneer komt de uitvoering van de motie-Inge van Dijk/Rajkowski over het ontsluiten van de «witte gebieden» naar de Kamer?3 Deelt u onze mening dat dit geen langer uitstel meer kan dulden?

Vraag 1

Bent u bekend met het bericht «Omstreden Chinese camera's hangen overal in Nederland, ook bij ministeries»?1

Vraag 2

Klopt het dat het gaat om camera’s van de Chinese merken Hikvision en Dahua en dat zij onder andere overheidsgebouwen in beeld brengen? Zo ja, om hoeveel camera’s gaat het? Waar staan deze camera’s? Staan deze camera’s ook voor overheidsgebouwen waarbij anonimiteit belangrijk kan zijn zoals bij defensie en de inlichtingendiensten?

Vraag 3

De politie heeft inmiddels bevestigd dat er vorig jaar bijna 700 camera’s van Dahua zijn aangeschaft2; klopt dit? Zo ja, was de politie zich al bewust van de veiligheidsrisico’s bij de aanschaf van deze camera’s? Zo ja, waarom zijn dan toch deze camera’s aangeschaft? Zo nee, kunt u een tijdlijn schetsen van de aanschaf van Chinese camera’s door de politie van de afgelopen jaren? Zo nee, waarom niet?

Vraag 4

In hoeverre lagen bepaalde productspecificaties zoals de prijs en de veiligheid ten grondslag aan het besluit om camera’s van Hikvision en Dahua aan te schaffen en te plaatsen bij overheidsgebouwen?

Vraag 5

Aan welke eisen, die betrekking hebben op cyberspionage, wordt getoetst bij de aanschaf van camera’s bij overheidsgebouwen? Voldoen de camera’s van Hikvision en Dahua aan deze eisen?

Vraag 6

Was bij het moment van aankoop ook al bekend dat China eventueel een achterdeur in een camerasysteem van Hikvision of Dahua zou kunnen bouwen? Zo ja, welke maatregelen zijn hiertegen getroffen? Zo nee, op basis waarvan is de inschatting gemaakt dat het veilig was om deze camera’s aan te schaffen?

Vraag 7

Is het technisch mogelijk voor China om mee te kijken, live of achteraf? Zo ja, hoe dan? Zo nee, is die mogelijkheid er helemaal niet of is hij sofwarematig dichtgezet?

Vraag 8

Hoe groot acht de Minister de kans dat China meekijkt of mee heeft gekeken via deze camera’s? Op basis waarvan maakt de Minister deze inschatting?

Vraag 9

In de Verenigde Staten is de inzet van Hikvision- en Dahua-camera’s bij overheidsgebouwen verboden. Daarnaast heeft het Europees parlement eerder besloten om camera’s van Hikvision niet meer te gebruiken. Waarom heeft Nederland hier nog niet voor gekozen?

Vraag 10

Deelt u de mening dat bedrijven uit staten die een offensief cyberprogramma tegen Nederland uitvoeren niet geschikt zijn om camera’s te leveren die zijn opgesteld bij organisaties die een aantrekkelijk doelwit van een dergelijk offensief programma vormen?

Vraag 11

Zijn er Europese alternatieven in de markt? Zo, ja bent u het eens met het standpunt dat het verstandig kan zijn om die in te zetten? Zo nee, bent u het ermee eens dat het wenselijk is dat er Europese alternatieven zijn, ook op het gebied van technologie?

Vraag 12

Bent u het ermee eens dat we de cyberdreiging vanuit China serieus moeten nemen en daarom kritisch moeten kijken naar de aanschaf en inzet van niet Europese hardware en software voor gevoelige zaken zoals het filmen van overheidsgebouwen? Zo ja, welke stappen gaat u ondernemen? Zo nee, waarom niet?

Vraag 13

Hoe verhoudt het antwoord op de Kamervragen van het lid van Helvert (Aanhangsel Handelingen II, vergaderjaar 2020–2021, nr 2310), die de Kamer zijn toegezonden op 13 april 2021 (waarin staat dat het kabinet de Europese Commissie, de Europese Dienst voor Extern Optreden (EDEO) en het Europees parlement heeft gewezen op de kwetsbaarheid van het gebruik van Hikvision-camera’s) zich tot het gebruik van camera’s van dit bedrijf door Nederlandse ministeries zelf? Zou het kabinet deze waarschuwing niet ook aan zichzelf moeten richten?

Vraag 14

Kunt u uitsluiten dat deze camera’s een veiligheidsdreiging vormen voor de Oeigoerse diaspora in Nederland? Welke veiligheidsmaatregelen heeft u hiertoe genomen of bent u voornemens te nemen?

Vraag 15

Bent u bekend met het feit dat de Amerikaanse overheid heeft verboden te investeren in Hikvision vanwege de banden van het bedrijf met het Chinese leger? Heeft u hierover contact gehad met Amerika, met name in het kader van mogelijke veiligheidsdreigingen? Zo nee, bent u alsnog bereid dit te doen?

Vraag 16

Bent u bereid om met China in gesprek te treden over het belang van privacy- en veiligheidsstandaarden in technologie en dat toegang van de Chinese staat tot gevoelige data niet acceptabel is?

Vraag 1

Hoe oordeelt u over dit bericht? Kunt u daarbij ingaan op het feit dat Amerikaanse inlichtingendiensten Microsoft en andere Amerikaanse clouddiensten kunnen dwingen om op basis van wetgeving data van Nederlandse burgers te overhandigen?1

Vraag 2

Deelt u de mening dat het gebruik van Amerikaanse clouddiensten zoals Microsoft een inbreuk op de privacy van de Nederlandse burgers tot gevolg kan hebben zoals ook omschreven in het Schrems arrest van het Europese Hof van Justitie?2

Vraag 3

Deelt u daarom de mening, ook van Privacy Company, dat het gebruik van Amerikaanse clouddiensten bij overheidssystemen en andere gevoelige sectoren als universiteiten niet gewenst is wanneer dit over de uitwisseling of opslag van gevoelige ofwel bijzondere persoonsgegevens gaat? Zo ja, kunt u aangeven welke concrete maatregelen u neemt om dit gebruik te verminderen en daarbij specifiek ingaan op de inzet van versleuteling? Zo nee, kunt u verder uitweiden waarom het bovengenoemde niet weg te nemen risico wel toelaatbaar zou zijn?

Vraag 4

Kunt u uitweiden over de verschillende overwegingen wat betreft de voor- en nadelen van het gebruik van niet-Europese clouddiensten bij overheidssystemen en andere gevoelige sectoren voor de uitwisseling of opslag van gevoelige of bijzondere persoonsgegevens?

Vraag 5

Zijn de juridische mogelijkheden voor oplossingen voor het Schrems arrest voldoende verkend?

Vraag 6

In hoeverre helpt de verdere ontwikkeling van het GAIA-X project om de technologische autonomie van Europa te bevorderen? Welke risico’s zijn er dat Amerikaanse cloudbedrijven diensten leveren binnen het GAIA-X project en zo alsnog de Europese technologische autonomie beperken? Welke invloed heeft u hierop?

Vraag 7

Kunt u een update geven over de huidige mogelijkheden wat betreft Europese versleuteling van clouddiensten die ervoor zouden kunnen zorgen dat Amerikaanse inlichtingendiensten niet via niet-Europese clouddiensten zoals Microsoft bij de uitwisseling of opslag van gevoelige ofwel bijzondere persoonsgegevens van Europese burgers zouden kunnen komen? Hoe draagt het GAIA-X project hier verder aan bij?

Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het artikel «Mogelijke betalingen aan IS, corruptie en fraude door telecomgigant Ericsson in Irak»?1

Vraag 2

Deelt u de mening dat het zorgelijk is dat een bedrijf dat in Nederland actief is en waarmee KPN zaken doet, mogelijk terrorisme financiert?

Vraag 3

Deelt u de mening dat door nationale IMVO-wetgeving die bedrijven verplicht onderzoek te doen naar misstanden in hun productieketen, dit soort misstanden, waarbij Nederland indirect bijdraagt aan terrorisme, voorkomen kunnen worden?

Vraag 4

Kunt u, gezien het feit dat zakendoen met Huawei niet wenselijk is door de vrees voor spionage van Chinese veiligheidsdiensten, aangeven wat naast Huawei en Ericsson alternatieve bedrijven zouden kunnen zijn om technologie voor 5G te leveren aan onze telecomproviders in Nederland?

Vraag 5

Welke consequenties zullen er voor KPN gelden vanuit het Ministerie van Economische Zaken naar aanleiding van het genoemde artikel? Bent u bereid om KPN op te roepen duidelijke voorwaarden te stellen aan de verdere toekomstige samenwerking met Ericsson?

Vraag 6

Heeft de Minister van Buitenlandse Zaken reeds contact gehad met de Zweedse Minister van Buitenlandse zaken en de Minister van Economische Zaken om met hen te bespreken wat zij gaan doen om te zorgen dat Ericsson zijn zaken op orde krijgt en dit soort praktijken in de toekomst voorkomen kunnen worden?

Vraag 1

Kunt u nader toelichten waarom u bij de doorontwikkeling, borging en het in beheer nemen van de corona-applicaties geen behoefte meer heeft aan (on)gevraagd advies van de Begeleidingscommissie Digitale Ondersteuning Bestrijding COVID-19, zoals aangekondigd in de stand van zakenbrief van 15 februari 2022?1

Zoals in de beantwoording op eerder door u gestelde vragen geschreven, is de Begeleidingscommissie Digitale Ondersteuning Bestrijding COVID-19 (DOBC) ten tijde van de realisatie van CoronaMelder ingesteld om de toenmalig Minister van VWS te adviseren over de technische ontwikkeling van de destijds nieuwe applicaties CoronaMelder, CoronaCheck en GGD Contact. Op dit moment kijken wij uit naar de volgende fase van de gehele pandemiebestrijding; de focus van digitale ondersteuningsmiddelen is hierin verschoven naar het doorontwikkelen, borgen en in beheer nemen van deze instrumenten. In deze fase acht ik de Begeleidingscommissie DOBC niet meer noodzakelijk voor de bestrijding van COVID-19. Voor zover nog multidisciplinair advies nodig zou blijken zal ik me hiervoor wenden tot andere reeds bestaande gremia, zoals de Taskforce DOBC en Gedragswetenschappen.

Vraag 2

Waarom wilt u in 2022 wel bijna 30 miljoen investeren in de doorontwikkeling van de corona-apps, maar wilt u hierover geen onafhankelijk advies meer van de experts van de begeleidingscommissie?2

Mijn eventuele nog volgende behoefte aan onafhankelijk advies over de doorontwikkeling van corona-apps staat los van het aanvullend aangevraagde budget van 29,4 miljoen euro. In afwachting van de ontwikkeling van de pandemie zijn door mijn ambtsvoorganger in 2021 bewust minder te verwachten kosten voor digitale ondersteuning bij COVID-19 in de begroting opgenomen. Het aanvullende budget is niet alleen bestemd voor beheer en doorontwikkeling, maar ook voor security en inhuur van personeel en expertise voor alle tot nu toe gerealiseerde digitale ondersteuningsmiddelen in het kader van de pandemie. Het gaat hier om onder andere CoronaMelder, CoronaCheck, GGD Contact en de daarbij behorende portalen en helpdesks, maar daarnaast ook om de systemen voor bijvoorbeeld de uitgifte van papieren bewijzen bij de zorgverlener of verzending hiervan per post en de vaccinatieregistratie door ziekenhuizen.

Vraag 3

Hoe verhoudt uw besluit zich tot de wens van de Kamer en uzelf dat het gebruik van de corona-apps zorgvuldig verloopt en grondig getoetst moet worden aan harde eisen op het gebied van informatieveiligheid, privacy, grondrechten, nationale veiligheid en toegankelijkheid?3

Zoals eerder toegezegd aan en mede op wens van uw Kamer4 zijn de digitale ondersteuningsmiddelen voor COVID-19 samen met een bredere community van deskundigen ontwikkeld in volledige transparantie, volgens de principes van open source en met de hoogste kwaliteitseisen aan toegankelijkheid, privacy en security. Al vanaf de ontwerpfase wordt daarbij nagedacht over gegevensbescherming en informatiebeveiliging gericht op het veilig toepassen van de digitale hulpmiddelen, alsook het minimaliseren van de risico’s voor misbruik en fraude5; privacy en security by designdus. Dit wordt continu gemonitord en getoetst bijvoorbeeld middels evaluatieonderzoek. Niet alleen ten tijde van de ontwikkeling, maar ook nu zijn hier nog steeds (externe) experts van binnen en buiten de overheid op genoemde gebieden bij betrokken. Bovendien kan ik – zoals gezegd – mocht het alsnog nodig blijken nog altijd een beroep doen op multidisciplinair advies van andere adviesgremia.

Vraag 4

Hoe verhoudt uw besluit om de begeleidingscommissie op te heffen zich tot de analyse van de Onderzoeksraad voor Veiligheid (OVV) ten aanzien van het belang van controlemechanismen en checks and balances bij besluitvorming in de coronacrisis: «Dergelijke procedures zien erop toe dat de besluitvorming ordentelijk en op basis van een breed afgewogen advisering plaatsvindt. De controlemechanismen in het systeem behoeden crisisteams voor valkuilen zoals eenzijdige of disproportionele besluitvorming en zijn behulpzaam om te reflecteren op de vraag of de crisisorganisatie als geheel nog de juiste besluiten neemt»?4

Ik hecht – zoals ook in het OVV rapport geadviseerd – waarde aan breed afgewogen advisering bij de (door)ontwikkeling, borging en het in beheer nemen van de digitale ondersteuningsmiddelen bij COVID-19. Ook na het beëindigen van de Begeleidingscommissie DOBC, kan ik voor onafhankelijk en multidisciplinair advies nog een beroep doen op andere gremia, zoals de Taskforce DOBC en -Gedragswetenschappen. Mocht zich alsnog een adviesvraag voordoen, dan zal ik van deze gremia gebruikmaken.

Vraag 5

Heeft u dit besluit in overleg met de begeleidingscommissie genomen? Was de begeleidingscommissie het eens met dit besluit?

Mijn ambtsvoorganger heeft de Begeleidingscommissie, als ook uw Kamer7, in juni 2021 al geïnformeerd dat het overgaan in een nieuwe fase van de pandemie zou kunnen leiden tot een aanpassing van de inzet van de Begeleidingscommissie. In december 2021 zijn zij nogmaals op de hoogte gesteld over het voornemen om de opdrachtomschrijving te wijzigen naar het bieden van gevraagd advies over de technische ontwikkeling en inzet van CoronaMelder, CoronaCheck en GGD Contact. Hierover is het gesprek gevoerd waarbij de Begeleidingscommissie te kennen heeft gegeven niet akkoord te zullen gaan met dit voornemen. Ik heb vervolgens de inzet van alle bestaande adviesgremia heroverwogen en afgezet tegen de fase waar de pandemie zich momenteel in bevindt. Hierop heb ik geconstateerd dat de Begeleidingscommissie DOBC niet meer noodzakelijk is in deze fase van de bestrijding van COVID-19, waarop ik heb besloten deze te beëindigen.

Vraag 6

Kunt u de mailwisselingen en briefwisseling met de commissie van de afgelopen maand openbaar maken? Was er sprake van constructief overleg?

Ik ben bereid de door mijn ambtsvoorganger aan de Begeleidingscommissie DOBC gestuurde brieven van juni en december 2021, alsmede de door mij verstuurde brief van 8 februari jl. met uw Kamer te delen. Deze zijn als bijlage8 bij deze beantwoording toegevoegd. Aan deze brieven zijn verschillende gesprekken met een afvaardiging van de Begeleidingscommissie DOBC voorafgegaan.

Vraag 7

Heeft uw besluit te maken met kritiek van leden van de begeleidingscommissie, dat door hen uitgebrachte adviezen die politiek gevoelig liggen (te) laat naar de Kamer werden gestuurd, waardoor de Kamer een mogelijkheid wordt ontnomen om zich volledig te kunnen informeren?

Ik herken mij niet in het bericht dat adviezen pas na afloop van het debat aan de Tweede Kamer worden aangeboden. Het is gebruikelijk om adviezen van de Begeleidingscommissie DOBC – voorzien van een beleidsreactie – met de eerstvolgende Stand van zakenbrief COVID-19 te versturen. Vanwege de timing van een advies of omdat meer tijd noodzakelijk was om inhoudelijk zorgvuldig te kunnen reageren, is het enkele keren voorgekomen dat het advies met een latere brief is meegestuurd. Politieke overwegingen spelen geen rol bij het moment van verzenden van de adviezen en ook het besluit de Begeleidingscommissie te beëindigen staat hier los van.

Vraag 8

Kunt u een overzicht geven van alle adviezen die de commissie heeft opgesteld en de reacties die u daarop gegeven heeft?

Ja, dat kan ik. De Begeleidingscommissie heeft in totaal 33 adviezen gegeven. Deze zijn, inclusief een reactie hierop, respectievelijk met de volgende brieven aan uw Kamer toegezonden: Kamerbrief 24 juni 2020, Kamerbrief 16 juli 2020, Kamerbrief 17 augustus 2020, Kamerbrief 28 augustus 2020, Kamerbrief 8 oktober 2020, Kamerbrief 17 november 2020, Kamerbrief 2 februari 2021, Kamerbrief 23 februari 2021, Kamerbrief 23 maart 2021, Kamerbrief 28 mei 2021, Kamerbrief 18 juni 2021, Kamerbrief 13 augustus 2021, Kamerbrief 2 november 2021, Kamerbrief 14 december 2021 en Kamerbrief 21 december 2021 (reactie op motie Den Haan c.s.).9
Adviezen 12 en 14 van de Begeleidingscommissie zijn, in tegenstelling tot alle andere adviezen, enkel online gepubliceerd op rijksoverheid.nl10. Dit omdat de betreffende adviezen buiten de bedoelde scope van de opdracht als ook mijn ministerie lagen. De pas ontvangen adviezen 31, 32 en 33 zal ik met een volgende stand van zaken COVID-19 brief aan uw Kamer toezenden, alsmede ook mijn reactie hierop.

Vraag 9

Bent u bereid om uw besluit om de commissie op te heffen, terug te draaien?

Ik sta – zoals toegelicht in eerdere vragen – achter mijn besluit om de Begeleidingscommissie DOBC te beëindigen en ben niet bereid dit terug te draaien.

Vraag 10

Bent u bereid om de begeleidingscommissie om advies te vragen over de uitfasering van de corona-apps CoronaMelder en CoronaCheck?

Mijn ambtsvoorganger heeft de Begeleidingscommissie DOBC in een eerder stadium al gevraagd hierover te adviseren, waarop de commissie heeft aangegeven hier nog niet op in te willen gaan. De commissie heeft mij ter afsluiting wel nog enkele adviezen doen toekomen waarin diverse thema’s onder de aandacht worden gebracht, ook in het kader van pandemische paraatheid in de toekomst. Dit advies zal ik u Kamer spoedig doen toekomen. Indien aan de orde zal ik mij voor advies over de afbouw en mogelijk toekomstige uitfasering van de corona-apps wenden tot de genoemde Taskforces.

Vraag 11

Welke andere gremia kunnen op dit moment gevraagd of ongevraagd advies uitbrengen over de (door)ontwikkeling en het gebruik van de corona-apps?

Zoals ook in een eerdere kamerbrief geschreven zal ik mij in het vervolg voor multidisciplinair advies over de doorontwikkeling en het in beheer nemen van de tot nu toe gerealiseerde digitale ondersteuningsmiddelen wenden tot de reeds bestaande Taskforce DOBC en Taskforce Gedragswetenschappen.11 Deze gremia zijn in mei 2020 op verzoek van mijn ambtsvoorganger ingesteld tevens met als opdracht vanuit wetenschappelijk perspectief en expertise te adviseren over de digitale ondersteuningsmiddelen.
Uitgangspunt bij de bouw van onder andere CoronaMelder en CoronaCheck was bovendien een zo groot mogelijke transparantie via open source ontwikkeling. Geïnteresseerden zijn en worden nog steeds via bijvoorbeeld de online community uitgenodigd mee te kijken en denken tijdens het proces van doorontwikkeling. Dit heeft in de praktijk meermaals tot nadere gesprekken en aanpassingen geleid in de corona-apps. Dit is een werkwijze die momenteel wordt gehanteerd en waarop ik ook in de komende periode wil blijven inzetten.

Vraag 1

Bent u bekend met het bericht «Online criminelen bestoken de wereld met cyberaanvallen vanuit Nederland» en de bijbehorende radioreportage «De makelaars van de cybercrime»?1

Ja.

Vraag 2

Herkent u de berichtgeving over cyberaanvallen via Nederlandse servers, mogelijk gemaakt door foute tussenpartijen uit het buitenland die deze serverruimte doorverhuren aan criminelen? Richten deze aanvallen zich vooral tegen bedrijven of in dezelfde mate tegen overheden en particulieren? Zijn er patronen in deze aanvallen te ontdekken, bijvoorbeeld in het type bedrijven waar criminelen het op gemunt hebben? Wat is u bekend over de aard en ernst van dit probleem? Bijvoorbeeld over de omvang van de aangerichte schade en het aantal aanvallen dat maandelijks plaatsvindt? Wordt dit bijgehouden en door wie? Ziet u het aantal aanvallen toenemen? Kunt u alle beschikbare informatie hieromtrent met de Kamer delen, eventueel in een vertrouwelijke technische briefing? Zijn met de door de politie samengestelde lijst alle foute tussenpartijen voldoende in beeld om te kunnen aanpakken? Gebeurt dit ook?

Het is bekend dat Nederlandse servers en infrastructuur misbruikt worden door criminelen voor het plegen van strafbare feiten, zoals ransomware-aanvallen. Het beeld van de politie is dat ransomware-aanvallen met name gericht zijn op het MKB en grote bedrijven. Hierin zijn patronen te herkennen, waarbij ongerichte aanvallen met name binnen het MKB voorkomen door het gebruik van Ransomware-as-a-service.2 De meer gerichte aanvallen zien op grote organisaties, waarbij maatwerk wordt verricht om tot maximaal financieel gewin te komen.3 Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, ook op basis van mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat ook de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de 200 aangiftes van ransomware ontvangt. De aangiftebereidheid bij cybercrimedelicten is echter laag, wat met name geldt voor ransomware. Het aantal aangiften is daarom geen goede weerspiegeling van de omvang van de problematiek. Ransomware-aanvallen kunnen grote maatschappelijke en economische impact hebben. Het Cybersecuritybeeld Nederland (CSBN) 2021 stelt dat ransomware een risico vormt voor de nationale veiligheid. Indien uw Kamer verzoekt om een technische briefing kan daarin worden voorzien.
Voor meer inzicht in de acties van de politie omtrent het delen van de lijst met hosting-resellers verwijs ik u naar de beantwoording van de Kamervragen van het lid Rajkowski over hetzelfde artikel.4 Naar aanleiding van deze beantwoording heeft DCC laten weten dat een aantal leden met bepaalde klanten geen zaken meer doet.5

Vraag 3

Kunt u uiteenzetten hoe deze criminelen precies te werk (kunnen) gaan? Welke mogelijkheden zijn er op dit moment om deze specifieke vorm van cybercriminaliteit te verhinderen c.q. aan te pakken? Hoe vaak worden de internetcriminelen in kwestie en hun helpers opgespoord, aangehouden en vervolgd? Zijn er factoren die dit bemoeilijken? Wilt u een overzicht geven van alle wet- en regelgeving die hier van toepassing is? Wat zijn thans belemmeringen, zowel nationaal als Europees of internationaal, om dergelijke cyberaanvallen effectief te bestrijden, zoals juridische obstakels, een gebrek aan samenwerking of capaciteitsproblemen? Welke partijen, in binnen- en buitenland, zijn nodig om dit probleem te helpen aanpakken? Hoe verloopt nu de samenwerking tussen deze partijen?

In het Cybersecurity Beeld Nederland (CSBN) 2021 zijn de verschillende fasen in het delictsproces van ransomware beschreven. Kortweg bestaat een ransomware-aanval uit het verkrijgen van initiële toegang tot een ICT-netwerk, het consolideren van de positie, het wegsluizen van informatie, het inzetten van ransomware en de financiële afhandeling. In het CSBN 2021 wordt hier dieper op ingegaan.6 Het effectief tegengaan van ransomware vraagt meerdere soorten maatregelen. Zo is het belangrijk om ransomware te voorkomen, doordat bedrijven en organisaties de juiste preventieve maatregelen nemen. Zie hiervoor ook vraag 5. Daarnaast heeft de politie de Ransomware Taskforce opgericht, die proactief onderzoek doet naar het hele criminele ecosysteem rondom ransomware. Het doel is om schade en slachtoffers te voorkomen, het criminele proces te verstoren en daders op te sporen.
Het opsporen van verdachten van cybercrime is echter complex, zie hierover ook de brief die eerder naar uw Kamer is gestuurd over de dilemma’s die de politie en het OM tegenkomen bij opsporing in het digitale domein.7 Daders hoeven zich niet in Nederland te bevinden, verdachten kunnen met technische mogelijkheden hun identiteit en locatie gemakkelijk afschermen en het internet is grenzeloos. Internationale samenwerking is daarom belangrijk, hetgeen ook blijkt uit de internationale actie waarbij een ransomware-bende is opgepakt.8 De politie neemt onder andere deel in de Joint Cybercrime Action Taskforce van Europol. Om de grensoverschrijdende opsporing in het digitale domein te versterken heeft Nederland de afgelopen jaren actief deelgenomen aan de gesprekken over de E-Evidence verordening van de EU en over het tweede protocol bij het Cybercrimeverdrag in het kader van de Raad van Europa. Het concept protocol is goedgekeurd in 2021. Na goedkeuring op politiek niveau en ratificatie zal snellere en meer efficiënte samenwerking in opsporingsonderzoeken mogelijk zijn.
Zoals eerder vermeld in de beantwoording van Kamervragen van het lid Van Raak, is het niet bekend hoeveel veroordelingen voor ransomware er precies zijn geweest.9 Ransomware aanvallen zijn niet onder één specifiek wetsartikel te scharen en worden niet als zodanig geregistreerd door het OM en de Raad voor de rechtspraak. Ook gaat het vaak om buitenlandse daders.

Vraag 4

Klopt het dat cybercriminelen hun illegale activiteiten graag via Nederland ontplooien vanwege de goede digitale infrastructuur hier? Welke (nationale) maatregelen gaat u nemen om van deze status af te komen? Staat dit onderwerp ook op de Europese agenda? Bent u bereid het bij de eerstvolgende gelegenheid (weer) te agenderen?

Nederlandse hostingdiensten worden inderdaad misbruikt voor het plegen van cybercrime en andere vormen van online criminaliteit, via malafide hostingbedrijven, maar ook via hostingbedrijven die zich daar niet van bewust zijn. De hostingsector heeft daarom zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief10 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact. Daarnaast is in 2020 het Anti Abuse Netwerk (AAN) opgericht. Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Tot slot richten het OM en de politie zich binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Echter, hostingproviders zijn op basis van de huidige wet- en regelgeving onder voorwaarden niet strafrechtelijk aansprakelijk voor hetgeen zich op hun netwerken bevindt. Zie hiervoor ook de beantwoording van eerdere Kamervragen van het lid Van Nispen.11
In EU-verband is de triloog-fase van de Digital Services Act begonnen. Deze conceptverordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
Het belang van een schoon en veilig internet en de rol die tussenpersonen zoals hostingproviders hierin spelen, is groot en zal steeds in EU-verband benadrukt worden.

Vraag 5

Op welke wijze(n) staat u bedrijven en overheden bij om weerbaar te worden tegen cybercriminaliteit en wordt ondersteuning en nazorg geboden als zich een aanval heeft voorgedaan? Hoe is geborgd dat uit iedere (poging tot een) cyberaanval lessen worden getrokken om volgende aanvallen te voorkomen c.q. af te slaan? Waar is bij bedrijven en overheden behoefte aan? Indien u dit niet weet, wilt u dit nagaan via bijvoorbeeld een uitvraag bij de VNG of ondernemersorganisaties?

Het is wenselijk om slachtofferschap van cybercriminaliteit, zoals ransomware-aanvallen, bij bedrijven te voorkomen. Bedrijven zijn verantwoordelijk voor hun eigen cybersecurity en moeten hiervoor de juiste maatregelen treffen. De overheid kan daarbij ondersteuning bieden. Daarom biedt het Digital Trust Center (DTC) van het Ministerie van EZK verschillende kennisproducten aan om de cyberweerbaarheid van bedrijven te vergroten. Deze bevatten adviezen voor ondernemers om besmetting met ransomware te voorkomen en adequaat te reageren als het toch gebeurt. Het DTC biedt ook een basisscan aan, zodat bedrijven hun cyberweerbaarheid kunnen testen. Met het delen van verhalen van ondernemers die slachtoffer zijn geworden van ransomware probeert het DTC bedrijven en ondernemers te wijzen op de risico’s. Ook is het DTC begonnen met het waarschuwen van individuele bedrijven bij ernstige cyberdreigingen. Inmiddels zijn er al meer dan 300 bedrijven gewaarschuwd.
Het Nationaal Cyber Security Centrum (NCSC) informeert organisaties in de vitale sectoren en de rijksoverheid proactief over digitale dreigingen en levert hen bijstand bij incidenten. Ook deelt het NCSC informatie over digitale dreigingen en incidenten via aangewezen schakelorganisaties in het Landelijk Dekkend Stelsel van cybersecuritysamenwerkingsverbanden. Het NCSC werkt bovendien samen met vitale én niet-vitale organisaties die kunnen bijdragen aan het versterken van het actuele situationeel beeld, onder andere op het gebied van ransomware dreigingen. Zo wordt er samengewerkt met securityleveranciers, multinationals en onderzoekers zoals het Dutch Institute for Vulnerability Disclosure (DIVD). In dit kader werken het DTC en het NCSC nauw samen.
De moties Ephraim12 en Hermans13 verzoeken de regering om te komen met een voorlichtingsplan voor ondernemers ten aanzien van de risico's van cybercrime en concrete maatregelen om ondernemers beter te beschermen tegen digitale dreigingen en cybercriminelen. Bij de uitvoering van deze moties worden de behoeften die er op dit vlak bij organisaties zijn meegenomen.
Het Ministerie van BZK ziet het als haar taak kaderstellend, ondersteunend, en waar nodig aanjagend te zijn naar alle overheidslagen. Daartoe stelt het Ministerie van BZK randvoorwaarden op, zoals met de Baseline Informatieveiligheid Overheid (BIO). De BIO geldt overheidsbreed als het minimumkader voor informatieveiligheid. De individuele overheidsorganisaties moeten hun informatiebeveiliging primair zelf op orde hebben en houden, waarbij zij ondersteund worden door hun koepelorganisaties. Zo ondersteunt de VNG gemeentebestuurders met de Agenda Digitale Veiligheid. Begin 2021 werd de Resolutie Digitale Veiligheid 14 vastgesteld, waaraan gemeenten zich gecommitteerd hebben. Hierin wordt de noodzaak onderstreept dat gemeenten hun digitale weerbaarheid versterken. Daarnaast worden gemeenten ondersteund door de Informatiebeveiligingsdienst (IBD), die actuele producten en diensten ter ondersteuning van de BIO aanbiedt en het programma Verhogen Digitale Weerbaarheid verzorgt. Ook is de IBD de sectorale CERT/CSIRT15 voor Nederlandse gemeenten, die crisismanagementteams ondersteunt in het geval van incidenten. Het Ministerie van BZK werkt hierbij samen met de VNG en de IBD.
Ook ondersteunt het Ministerie van BZK het delen van informatie met alle overheden via een bijdrage aan het Centrum voor Informatiebeveiliging en Privacybescherming (CIP).16 Zie hiervoor ook de beantwoording van schriftelijke vragen van het lid Kathmann.17 Verder wordt jaarlijks in oktober–de maand van cybersecurity- de overheidsbrede cyberoefening georganiseerd.18 Deze oefening, die is bedoeld voor Rijks- en uitvoeringsorganisaties, provincies, gemeenten en waterschappen en laat zich ieder jaar inspireren door recente en actuele dreigingen en cyberaanvallen. Naast deze oefening zijn er webinars, die men ook kan terugkijken.19 Speciaal voor gemeenten zijn een drietal cyberoefenpakketten ontwikkeld door het Instituut voor Veiligheids- en Crisismanagement. Deze zijn online raadpleegbaar en gratis af te nemen voor alle gemeenten.20
Tot slot bevat de I-strategie 2021 – 2025 voor de rijksoverheid een stevige inzet op het thema digitale weerbaarheid, die ook de weerbaarheid tegen ransomware zal verhogen, onder meer via kennisproducten. De bijbehorende roadmap wordt voor de zomer aan uw Kamer gestuurd door de Staatssecretaris van BZK.

Vraag 6

Kunt u per volgende afspraak uit het coalitieakkoord Omzien naar elkaar, vooruitkijken naar de toekomst aangeven hoe en op welke termijn het kabinet hier uitwerking aan gaat geven (pag.2?

Het coalitieakkoord wordt nog uitgewerkt. De hoofdlijnenbrief Justitie en Veiligheid van 9 februari jl. toont een eerste overzicht van de maatregelen die voortvloeien uit het coalitieakkoord.22 Sinds 2018 is de Kamer jaarlijks geïnformeerd over de integrale aanpak van cybercrime.23 Deze aanpak bestaat uit vier pijlers, namelijk preventie, slachtofferondersteuning, wetenschappelijk onderzoek en opsporing, vervolging en verstoring. De mate waarin het beleid en de strafrechtsketen kan worden versterkt om cybercriminaliteit, waaronder ransomware, aan te pakken, is mede afhankelijk van de uitkomst van de uitwerking van het coalitieakkoord en het beschikbaar komen van middelen voor cybercrime.
Ten aanzien van de slagkracht van de inlichtingendiensten verwijs ik naar de brief van 24 februari 2022 van de Minister van Binnenlandse Zaken en Koninkrijksrelaties aan uw Kamer over de impact van het coalitieakkoord en de stand van zaken wijziging Wiv 2017.
Tot slot zet de hoofdlijnenbrief digitalisering24 van 8 maart jl. van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering, de Minister van Justitie en Veiligheid, de Minister van Economische Zaken en Klimaat en de Minister voor Rechtsbescherming de ambities en doelen uiteen voor de digitale transitie van onze samenleving. Dit gebeurt langs vier thema’s, te weten: het digitale fundament, de digitale overheid, de digitale samenleving en de digitale economie. Deze brief benoemt ook de inzet op Europees verband op het gebied van digitalisering, zoals AI en digitale identiteit. De hoofdlijnenbrief is het startpunt voor de kabinetsbrede werkagenda digitalisering. Deze wordt de komende maanden geconcretiseerd met alle betrokken departementen, belanghebbenden uit de samenleving, wetenschap en bedrijfsleven, en medeoverheden. Ook wordt deze besproken met Europese partners.

Vraag 1

Bent u bekend met het bericht van BNR «Cyberaanval Oekraïne verliep via Nederland»?1

Ja.

Vraag 2

Hoe oordeelt u over dit bericht?

Nederland heeft een relatief grote hosting sector. Dit heeft te maken met de uitstekende digitale infrastructuur waarover Nederland beschikt: het internet is hier van hoge kwaliteit, snel en goedkoop. Zowel nationaal als internationaal maken personen, bedrijven en organisaties gebruik van de diensten die deze hosting bedrijven aanbieden. Helaas maken ook kwaadwillende actoren (criminelen en staten) misbruik van Nederlandse hosting providers.

Vraag 3

Van wat voor aanval was hier sprake? Klopt het dat een DdoS-aanval werd gecombineerd met een desinformatieaanval?

Op 15 februari 2022 vonden diverse digitale aanvallen op verschillende doelwitten in Oekraïne plaats. Het ging onder andere om DDoS-aanvallen (Distributed Denial of Service) die ingezet worden om de capaciteit van online diensten of de ondersteunende servers en netwerkapparatuur te raken. Het Oekraïense Ministerie van Defensie en twee nationale banken in Oekraïne werden getroffen. Op 15 februari 2022 vond ook een sms-campagne plaats, met de boodschap dat geldautomaten technische storingen zouden hebben. Officiële kanalen in Oekraïne geven aan dat dit desinformatie was. Er zou geen sprake zijn van dergelijke storingen.

Vraag 4

Hoeveel cyberaanvallen zijn er op Oekraïne geweest sinds het uitbreken van de oorlog in 2014?

Dit valt niet te zeggen. Oekraïne vormt namelijk al vele jaren doelwit van Russische cyberoperaties. De afgelopen maand zijn de digitale aanvallen op Oekraïne veel in het nieuws geweest. Op de website van het Nationaal Cyber Security Centrum (NCSC) is een tijdlijn terug te vinden met digitale aanvallen in relatie tot de huidige spanningen tussen Rusland en Oekraïne: Digitale aanvallen Oekraïne: een tijdlijn | Nieuwsbericht | Nationaal Cyber Security Centrum (ncsc.nl)

Vraag 5

Hoeveel van deze aanvallen liepen via Nederland?

Dit valt niet te zeggen. Dergelijke digitale aanvallen worden uitgevoerd vanuit command and control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers voor dergelijke malafide doeleinden worden ingezet. Voor elke aanval zou specifiek technisch onderzoek nodig zijn om te achterhalen via welke servers een aanval is uitgevoerd. Dergelijk technisch onderzoek is niet bij elke aanval mogelijk, vanwege de capaciteit die dit kost en het aantal (pogingen tot) aanvallen.

Vraag 6

Welke risico’s loopt Nederland in het geval een cyberaanval via Nederlandse servers loopt?

Zoals aangegeven in het antwoord op vraag 5 kunnen command and control servers geografisch overal ter wereld staan, ook in Nederland. Misbruik van Nederlandse infrastructuur bij het uitvoeren van digitale aanvallen komt vaker voor. Deze vorm van misbruik kan het internationale imago van Nederland schaden en slecht zijn voor bondgenootschappelijke belangen en de integriteit van de Nederlandse ICT-infrastructuur. Ook kunnen Nederlandse organisaties geraakt worden door eventuele tegenacties, zoals het uit de lucht halen van misbruikte infrastructuur door landen die door een digitale aanval getroffen zijn. Ook kunnen bedrijven waarvan IT apparatuur onbewust deel uitmaakt van een DDoS aanval daar beschikbaarheidsproblemen door ervaren. Er kunnen verbindingsproblemen optreden en ook kan een internet provider de verbinding afsluiten.
Nederland komt alleen als doelwit in beeld als onderdeel van EU/NAVO, wanneer er escalatie op mondiaal niveau plaatsvindt. Ook als Nederland niet primair doelwit is, blijft het risico van nevenschade bestaan. Dit is bijvoorbeeld het geval wanneer gebruikte malware «wormable»2 is, met als bekendste voorbeeld NotPetya 20173. Op dit moment zijn er voor zover bekend geen incidenten op dit vlak.
Het NCSC heeft op dit moment geen indicaties dat de aanvallen gevolgen hebben gehad voor Nederlandse belangen of organisaties. Ook zijn er op dit moment nog altijd geen indicaties bekend van grootschalige of ongecontroleerde verspreiding van malware buiten Oekraïne of van andere digitale incidenten met impact op Nederlandse belangen.

Vraag 7

Wat doet Nederland om deze aanvallen te stuiten?

Om aanvallen te stoppen kan, zodra duidelijk is om welke partij het gaat, een vordering of bevel worden uitgevaardigd naar de hoster om de server van de betreffende malafide afnemer offline te brengen. In de praktijk is een andere route gebruikelijk, waarbij een «notice and take down» (NTD)-verzoek naar de betreffende hoster wordt gestuurd met de mededeling dat er binnen zijn netwerk sprake is van onrechtmatige handelingen van een of meer afnemers van diens diensten.
Het NCSC heeft primair tot taak om organisaties die deel uitmaken van de rijksoverheid en vitale aanbieders bijstand te verlenen bij digitale dreigingen en incidenten. Daarnaast heeft het NCSC ook als taak het informeren van andere organisaties over dergelijke dreigingen en incidenten betreffende de rijksoverheid en vitale aanbieders. In het kader daarvan werkt het NCSC samen met andere veiligheidspartners in binnen- en buitenland, waaronder de samenwerking in de Cyber Intel/info Cel (CIIC), waarin NCSC, AIVD, MIVD, de politie en het OM informatie over cyberdreigingen en -incidenten bijeenbrengen en medewerkers van die organisaties die informatie gezamenlijk beoordelen ten behoeve van het versterken van het landelijk situationeel beeld en het bieden van handelingsperspectief aan belanghebbende partijen.
De AIVD en de MIVD doen onderzoek naar de dreiging die uitgaat van landen met een offensief cyberprogramma gericht tegen Nederland of Nederlandse belangen. Deze landen maken gebruik van veel verschillende digitale infrastructuur, waaronder die van Nederland, en wisselen daar snel tussen. Het onderzoek van de diensten is er onder andere op gericht om misbruik van Nederlandse infrastructuur te onderkennen.
Zoals eerder gemeld, wordt gewerkt aan een oplossing voor de knelpunten in het cyberdomein die de diensten ondervinden. De Ministers van Defensie en van Binnenlandse Zaken en Koninkrijksrelaties zullen, daarbij de motie van de heer Van der Staaij indachtig, zo snel mogelijk met een wetsvoorstel komen.4
Momenteel bezien het NCSC en het Digital Trust Center (DTC) samen met de hosting sector in de Anti-Abuse Network coalitie waar het mogelijk is om in ruimere mate informatie over kwetsbaarheden te delen. Daarnaast wordt binnen de genoemde sector het Clean Networks initiatief ontwikkeld, waarin van hosters wordt gevraagd zich in te spannen om hun netwerken schoon te houden van onrechtmatigheid door zich op private informatiebronnen, zoals die van de stichting Nationale Beheersorganisatie Internet Providers (NBIP), aan te sluiten.
Met betrekking tot DDoS aanvallen zet het Ministerie van Economische Zaken en Klimaat (EZK), en in het bijzonder het DTC, voornamelijk in op preventieve maatregelen die bijdragen aan het voorkomen dat IT-apparatuur, vaak onbewust, deel kan uitmaken aan een DDoS aanval. Het tijdig installeren van beveiligingsupdates is hierbij cruciaal. Het DTC heeft het belang van updaten opgenomen in de 5 Basisprincipes van veilig digitaal ondernemen en informeert de doelgroep van het niet-vitale bedrijfsleven wanneer belangrijke updates beschikbaar zijn in relatie tot ernstige beveiligingsproblemen. Ook IoT-apparaten (Internet of Things) worden ingezet om deel uit te maken van een DDoS aanval. Door de toename van IoT-apparatuur zet het Ministerie van EZK in op updaten middels de «doe je update» campagne. Deze campagne is met name gericht op consumenten zodat zij zich ook bewust zijn van de risico’s en de noodzaak om IoT apparaten zoals routers, camera’s en printers up-to-date te houden.

Vraag 8

Loopt Nederland meer risico voor cyberaanvallen, omdat het een hubfunctie heeft voor digitaal verkeer van grote delen van Europa?

Dit is op voorhand niet te zeggen. Er zijn geen aanwijzingen dat het gebruik van infrastructuur/servers in Nederland berust op een bepaalde strategische keuze van een kwaadwillende actor. Nederland is niet het enige Europese land met een goede infrastructuur, betrouwbare verbindingen en een grote hosting-sector die dit predicaat opeist. Het is niet duidelijk welke strategische afwegingen digitale aanvallers maken om de keuze te maken voor Nederland ten opzichte van andere landen met een eveneens uitstekende ICT-infrastructuur en hubfunctie.
Zie ook het antwoord op vraag 6.

Vraag 9

Is er een link te leggen tussen deze cyberaanvallen en de digitale steun die Nederland heeft aangeboden aan Oekraïne?

Het is te voorbarig om een dergelijke link te leggen wanneer attributie uitsluitend gebaseerd lijkt te zijn op het feit dat de tijdsspanne tussen de twee gebeurtenissen beperkt is.5 Het is bijvoorbeeld niet te zeggen wie precies de servers heeft gehuurd voor de genoemde activiteiten.

Vraag 10

Zijn er, naast de cyberaanvallen op Oekraïne via Nederland, ook andere landen die periodiek worden aangevallen via Nederland?

Zoals aangegeven in het antwoord op vraag 5 en 6 worden dit soort digitale aanvallen uitgevoerd vanuit command en control servers. Deze staan wereldwijd in datacenters, waaronder ook in Nederland. Voor datacenters is het vrijwel onmogelijk om te controleren welke servers in Nederland worden ingezet voor dergelijke malafide doeleinden en richting welke landen.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Criminelen gebruiken foute hostingbedrijven voor activiteiten vanuit Nederland»?1

Ja.

Vraag 2

In november waarschuwde de politie al voor 70 mogelijk malafide bedrijven die serverruimte doorverhuren aan criminelen, waar komen deze malafide bedrijven vandaan? Welke acties zijn daarna ondernomen tegen deze malafide bedrijven?

De politie geeft aan dat het om buitenlandse bedrijven gaat die gebruik maken van de Nederlandse infrastructuur. Bedrijven die serverruimte doorverhuren worden «resellers» genoemd. Deze resellers huren serverruimte van een in Nederland gevestigde hostingprovider, waarna ze deze doorverhuren aan een klant. Deze klanten kunnen personen zijn die een reguliere website willen laten draaien, maar dit kunnen ook cybercriminelen zijn die de zich in Nederland bevindende server misbruiken voor strafbare feiten. Op basis van openbaar toegankelijke informatie, zoals bepaalde internetfora, heeft de politie een lijst opgesteld van resellers die vaak laten doorschemeren of openlijk toegeven dat zij diensten leveren aan criminelen. Deze lijst is gedeeld met de leden van de brancheorganisatie van hostingproviders, de Dutch Cloud Community (DCC). Aan hen is gevraagd of zij deze resellers in hun klantenbestand hebben. Het is aan deze hostingproviders om eventueel actie te ondernemen op basis van deze lijst.

Vraag 3

Welke acties hebben hostingbedrijven uitgevoerd nadat de politie deze waarschuwing heeft verstuurd? Heeft de politie contact gehouden met de hostingbedrijven om te checken of hostingbedrijven wat met deze waarschuwing hebben gedaan?

De politie heeft DCC gevraagd naar hun ervaring met deze actie. DCC heeft aangegeven dat zij en haar leden overwegend positief zijn, met name over het feit dat de politie een dergelijke lijst heeft opgesteld en als waarschuwing heeft gedeeld. De hostingproviders hebben geen mededelingen gedaan over het al dan niet handelen naar aanleiding van de lijst.

Vraag 4

Zijn de tientallen criminele activiteiten die afgelopen maanden via de netwerken van bedrijven zijn ondernomen, zoals blijkt uit het onderzoek van Pointer en Spamhaus, bekend bij de politie? Zo ja, welke acties zijn hiertegen ondernomen?

Het feit dat misbruik wordt gemaakt van de Nederlandse infrastructuur is al langere tijd bekend bij de politie. De politie richt zicht binnen de opsporingsonderzoeken die zij uitvoeren onder meer op hostingbedrijven die bewust criminaliteit faciliteren. Daarop zijn reeds meerdere strafzaken gestart. Zoals ook in de beantwoording van Kamervragen van het lid Van Nispen2 is aangegeven, is het strafrechtelijk vervolgen van hostingproviders lastig. Het opsporen en vervolgen van buitenlandse resellers is mogelijk nog complexer indien hiervoor samenwerking nodig is met een land waarmee Nederland geen of geen goede rechtshulprelatie heeft. De politie en het OM werken daarom niet alleen aan opsporing en vervolging, maar bijvoorbeeld ook aan slachtoffernotificatie en samenwerking met private partijen om de criminele activiteiten te verstoren.

Vraag 5

Om wat voor type criminele activiteiten gaat het in deze gevallen? Kunt u een inschatting maken van de schade die is toegebracht door de criminelen?

De politie geeft aan dat de resellers verschillende typen cyberdelicten faciliteren, zoals computervredebreuk, phishing-campagnes en ransomware-aanvallen. Vanwege het ontbreken van kwantitatieve gegevens en de lage aangiftebereidheid van cybercrimedelicten is een betrouwbare inschatting van de schade niet beschikbaar.

Vraag 6

Op welke manier werken hostingbedrijven en de politie samen om dit soort praktijken te voorkomen? Kan deze samenwerking verstevigd worden? Is het op een directe, dan wel indirecte manier mogelijk om hostingbedrijven aansprakelijk te stellen voor het verhuren van serverruimte aan malafide bedrijven?

De politie is deelnemer aan het Anti Abuse Netwerk (AAN). Deze coalitie van publieke en private partijen zet zich in voor de bestrijding van misbruik van de technische infrastructuur. Daarnaast wordt in individuele opsporingsonderzoeken waar nodig in contact getreden met hostingproviders.
In de huidige situatie zijn hostingproviders op grond van Europese regelgeving en de Nederlandse implementatie daarvan onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten, waaronder (klanten van) resellers. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commerce-richtlijn, is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijk materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) gegevens ontoegankelijk moeten maken. Een bevel om een dienst ontoegankelijk te maken is gericht op individuele inhoud en niet op de hostingprovider als zodanig. Het voorkomt niet dat een hostingprovider opnieuw (dezelfde) klanten toelaat die wederrechtelijk materiaal plaatsen op de servers van de hostingproviders.

Vraag 7

Bent u het ermee eens dat het niet uit te leggen is dat via Nederlandse servers buitenlandse criminelen makkelijk hun gang kunnen gaan om vervolgens ernstige criminele activiteiten te plegen? Op welke manier kunt u ervoor zorgen dat malafide bedrijven minder kans krijgen om serverruimte van Nederlandse hostingbedrijven te kopen?

Het is belangrijk om ervoor te zorgen dat het Nederlandse netwerk veilig is en niet misbruikt wordt door criminelen. Momenteel is in EU-verband de triloog-fase van de Digital Services Act begonnen. Deze verordening dient onder meer ter vernieuwing van de huidige E-Commerce richtlijn. In het voorstel worden hostingaanbieders onder andere verplicht een toegankelijk notificatie-mechanisme in te stellen waarbij illegale inhoud gemeld kan worden en wordt verduidelijkt dat hostingproviders hun beperking van aansprakelijkheid kunnen verliezen wanneer zij na een melding van illegale inhoud deze niet prompt verwijderen of ontoegankelijk maken. Het kabinet steunt de invoering van deze maatregelen.
De hostingsector heeft zelf reeds initiatieven ontplooid om het misbruik van Nederlandse netwerken tegen te gaan, zoals het eerdergenoemde Anti-Abuse Netwerk. Daarnaast heeft de hostingsector zelf een gedragscode «abuse-bestrijding» ontwikkeld, die als doel heeft het schoon en veilig houden van het Nederlandse internet. Hierin is ook opgenomen dat hosters hun klanten kennen. Verder deelt het Clean Networks Initiatief3 onder deelnemers geautomatiseerd actuele informatie over kwetsbaarheden en misbruik in de systemen van alle deelnemers, geprioriteerd op basis van urgentie en impact.