Vraag 1

Bent u bekend met signalen dat het systeem van de Dienst Uitvoering Onderwijs (DUO) «instabiel» is als het gaat om het afgeven van ouderverklaringen voor de aanvraag van het stichten van een nieuwe school in het primair- of voortgezet onderwijs? Zo ja, om hoeveel signalen gaat dit en wat is hierbij de oorzaak?1

Ik ben ermee bekend dat er door sommige ouders problemen zijn ervaren in het afgeven van ouderverklaringen. Één ouder heeft daarover rechtstreeks bij DUO een melding gedaan. Deze ouder kon geen ouderverklaring afgeven omdat het betreffende kind buiten het (geografische) voedingsgebied viel. Dit is ook aan de ouder toegelicht. Daarnaast zijn er door of namens 6 initiatiefnemers (uit Kerkrade, Utrecht, Den Haag, Maastricht en IJsselstein) 11 vragen gesteld over de beschikbaarheid van het systeem bij DUO. Ruim de helft is terug te leiden naar een storing op 18 juli op het portaal van DUO. Eén vraag had te maken met een ouder die moeite had met inloggen bij DigiD. Door de gemeente Kerkrade zijn daarnaast nog negen schermafbeeldingen gedeeld van foutmeldingen. In acht van deze gevallen ging het om trage laadtijden bij DUO wat uiteindelijk leidt tot een foutmelding (zie ook het antwoord op vraag 2) en in één geval om problemen met de DigiD instellingen bij de ouder zelf.

Vraag 2

Klopt het dat tijdens het inloggen op Mijn Duo met DigiD het veelvuldig voorkomt dat ouders te maken krijgen met een foutmelding bij het invullen van de ouderverklaring zelf? Zo ja, welke stappen heeft u ondernomen om dit te verhelpen?

Ten opzichte van de bijna 3000 ouderverklaringen die tot nu toe met succes zijn afgegeven, is het in antwoord 1 genoemde aantal beperkt. Een grote groep ouders (ook bijna 3000) heeft echter te maken gehad met een «functionele melding». Deze groep voldoet niet aan de voorwaarden voor het afgeven van een ouderverklaring, zoals het hebben van een kind in de juiste leeftijdscategorie of woonachtig zijn in het wettelijke voedingsgebied van het initiatief. Mogelijk hebben de ervaringen van deze groep het beeld versterkt dat er iets technisch fout gaat. Verder is er eind augustus een storing van twee dagen geweest in MijnDUO en functioneert het systeem sindsdien minder snel dan de bedoeling is. De problemen betroffen het gehele particuliere portaal en zorgden ervoor dat ouders soms minder snel een ouderverklaring konden afgeven. Op dit moment ervaren ouders die een verklaring willen afgeven nagenoeg geen last meer van de effecten van de storing. De exacte bronoorzaak van de storing eind augustus is helaas nog steeds niet gevonden, maar er wordt alles aan gedaan om in de onderliggende infrastructuur de oorzaak te vinden. Ouders die toch problemen ondervinden kunnen contact opnemen met het telefoonnummer dat op site staat waar zij hun verklaring moeten afgeven. DUO kan desgewenst ouders helpen bij het invullen van de verklaring.

Vraag 3

Op welke manier zijn DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap aan de slag gegaan met de problemen, die onder andere de gemeente Kerkrade heeft gemeld, als het gaat om het aanmelden van ouderverklaringen? Wat hebben DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap concreet met deze signalen gedaan en op welke manier hebben zij dit teruggekoppeld aan de melders?

DUO heeft gesprekken gevoerd met de melders. In die gesprekken is samen bekeken waar de ervaren problemen vandaan kwamen. DUO heeft testen gedaan en in de systemen onderzocht of, en zo ja, welke problemen er zijn geweest en gemeld. De uitkomsten hiervan zijn verteld aan de melders. Met de gemeente Kerkrade specifiek is zowel voor als na de brief die de burgemeester uw Kamer gestuurd heeft veelvuldig contact geweest.

Vraag 4

Is het mogelijk om ouderverklaringen ook op een andere manier te verzamelen, bijvoorbeeld op papier via een notaris? Zo nee, waarom niet?

Bij het opstellen en de behandeling van de wet is om de volgende redenen gekozen voor de huidige systematiek van indienen van ouderverklaringen. Aan de ene kant bevordert DigiD de betrouwbaarheid en voorspellende waarde van de ouderverklaringen, omdat ouders niet zomaar hun verklaring kunnen afgeven en een initiatiefnemer bij wijze van spreken langs de deuren kan gaan voor handtekeningen. Aan de andere kant worden ouders niet onnodig gedwongen tot handelingen die voor het afgeven van de verklaring zelf niet ter zake doen, waarvan wel sprake zou zijn bij papieren ouderverklaringen. In het wetsvoorstel «Naar een flexibeler scholenbestand» uit 2000 werd voorgesteld om belangstellende ouders de ouderverklaring bij het gemeentehuis te laten indienen in aanwezigheid van een ambtenaar van de burgerlijke stand. Ten tijde van dit wetsvoorstel waren de digitale mogelijkheden beperkt en was deze constructie nodig om de betrouwbaarheid van de verklaring te vergroten. De Raad van State merkte hierover destijds op dat dit tijdsintensief en duur is. De huidige digitale mogelijkheden maken het mogelijk een unieke ouderverklaring online in een beveiligde omgeving af te geven en te verifiëren. Door gebruik te maken van DigiD wordt optimaal gebruik gemaakt van de bestaande digitale infrastructuur tussen burgers en overheid, waarmee de uitvoeringskosten en de lasten voor de burger beperkt worden. Daarnaast is de privacy van de burger er niet bij gebaat als initiatiefnemers lijsten onder zich hebben met meerdere persoonsgegevens van ouders en leerlingen. Ik vind dit daarom geen wenselijke optie.

Vraag 5

Klopt het dat DUO in reactie op klachten van inwoners aangeeft dat inwoners in het geval van een foutmelding zelf een administratie moeten bijhouden van de devices of verbindingen? Waarom neemt DUO hier zelf niet meer verantwoordelijkheid in?

Het klopt dat DUO in de gesprekken met één initiatief heeft gevraagd om zo concreet mogelijke informatie over de foutmelding, omdat DUO in de eigen systemen geen fouten zag die te relateren waren aan de klachten en toen ook nog geen signalen had van problemen bij andere initiatieven. DUO vraagt dus alleen om een administratie bij te houden van de problemen die worden ondervonden als laatste mogelijkheid om het probleem te onderzoeken en te voorzien van een oplossing.

Vraag 6

Wat betekenen de problemen bij DUO bij het afgeven van ouderverklaringen voor de deadline van 15 oktober 2021 voor het schooljaar 2023–2024? Is het mogelijk om gemeenten, die evident te maken kregen met foutmeldingen bij het aanleveren van ouderverklaringen, hierbij extra tijd te geven voor het verzamelen van voldoende ouderverklaringen?

Zoals gezegd is het aantal technische foutmeldingen op dit moment zeer beperkt. Tussen 7 en 20 september zijn bijna 2000 ouderverklaringen verstrekt. Dit is een grote toename, ook ten opzichte van de periode voordat er een storing plaatsvond bij MijnDUO. Ik vind het op basis hiervan een te grote ingreep om de wettelijke termijn voor het afgeven van ouderverklaringen op te rekken. Ouders die een initiatief willen steunen hebben hier nog enkele weken de tijd voor. Ik volg de ontwikkelingen rondom MijnDUO nauwgezet, net als het contact tussen DUO en de melders, en grijp in waar nodig.

Vraag 7

Kunnen deze vragen beantwoord worden voor het commissiedebat Digitalisering in het onderwijs van 30 september 2021?

Ja.

Vraag 1

Bent u bekend met het bericht ««Clearview AI Offered Free Facial Recognition Trials To Police All Around The World»«?1

Ja.

Vraag 2

Herinnert u zich dat u in maart 2020 in antwoorden op Kamervragen van het lid Verhoeven aangaf dat: «voor zover ik heb kunnen nagaan werken er geen Nederlandse opsporingsdiensten samen met Clearview»?2

Ja.

Vraag 3

Herinnert u zich de antwoorden van de Minister van Justitie en Veiligheid op Kamervragen van het lid Buitenweg (Groenlinks) waarin de Minister stelde dat: «ik heb mij reeds enkele weken geleden, toen op het internet de eerste melding werd gemaakt van Clearview in relatie tot de Nederlandse politie, laten informeren door de politie. Zij zijn niet centraal benaderd door Clearview, zijn niet op de hoogte van contacten met dat bedrijf, en hebben geen producten afgenomen.»3

Ja.

Vraag 4

Hoe verklaart u dat volgens nieuw onderzoek op basis van interne data van Clearview AI blijkt dat de Nationale Politie tussen de 51 en 100 keer gebruik heeft gemaakt van Clearview AI?

De logbestanden waar BuzzFeed News naar verwijst dateren van vóór februari 2020. Dat geldt ook voor de uitgelekte klantenlijst waar BuzzFeed News eerder een artikel over schreef en waar u in maart 2020 schriftelijke vragen over heeft gesteld.
In de publicatie van BuzzFeed News wordt aangehaald dat in de gelekte data van Clearview bevragingen zijn geregistreerd met als aanvrager iemand die geassocieerd wordt met het «National Police Corps». Bij uitvraag binnen de politie is hiervan niet gebleken. BuzzFeed News heeft geen nadere informatie verstrekt die zeer gericht navragen mogelijk maakt.
In het artikel in BuzzFeed News wordt verwezen naar een bijeenkomst bij Europol eind 2019, waar testaccounts beschikbaar zijn gesteld. Op navraag is niet gebleken dat door medewerkers van de Nederlandse politie op of naar aanleiding hiervan gebruik is gemaakt van een testaccount.
In antwoord op de eerder gestelde schriftelijke vragen gaf de Minister van Justitie en Veiligheid aan dat de politie niet centraal is benaderd door Clearview, niet op de hoogte is van contacten met dat bedrijf, en met dat bedrijf geen relatie is aangegaan om daarvan producten af te nemen. De politie heeft in haar reactie aan de Volkskrant naar aanleiding van dit bericht van BuzzFeed News, maar ook naar aanleiding van deze set Kamervragen, wederom benadrukt dat de politie niet met Clearview werkt en dit ook niet van plan is.
De enige applicatie die de politie gebruikt waarin biometrische gezichtsherkenningstechnologie wordt toegepast is Catch. De politie heeft een interne beleidslijn die het inzetten van andere toepassingen van gezichtsherkenningstechnologie in de operationele processen van de politie verbiedt, tenzij er tevoren een positief advies is op basis van een juridisch ethische toets, dit ter beoordeling van de gezamenlijke portefeuillehouders Ethiek en Digitalisering. Dit heeft nog niet geleid tot goedkeuring van een ander gebruik van biometrische gezichtsherkenningstechnologie dan Catch.
Het is echter niet uit te sluiten dat een individuele politiemedewerker een keer de website van Clearview heeft bezocht en een aantal bevragingen heeft gedaan. Dat betekent niet dat dit systeem operationeel is ingezet. Het is daarnaast, door gebrek aan nadere informatie van zowel BuzzFeed News als Clearview AI, ook niet uit te sluiten dat iemand zich als politiemedewerker heeft voorgedaan.

Vraag 5

Was u op de hoogte van het gebruik Clearview AI binnen de politie en overheid? Zo ja, waarom heeft u de Kamer hier niet over geïnformeerd? Zo nee, hoe is het mogelijk dat ondanks verschillende verzoeken vanuit de Kamer om het gebruik van Clearview AI te inventariseren, dit vervolgens niet naar boven is gekomen?

Zoals eerder aangegeven heeft de politie verklaard geen gebruik te maken van Clearview en dat ook niet van plan is. De informatie waar BuzzFeed News naar verwijst is door mij en door de politie niet te verifiëren. Uiteraard is de politie alert op signalen waaruit zou kunnen blijken dat er toch gebruik is gemaakt van dit systeem. De Functionaris Gegevensbescherming van de politie heeft hierover ook contact met de Autoriteit Persoonsgegevens. Noch in de financiële administratie van de politie, noch bij de afdelingen die betrokken zijn bij digitaal onderzoek is een aanwijzing gevonden dat er gebruik gemaakt zou zijn van Clearview.

Vraag 6

In welke context werd gebruik gemaakt van Clearview AI door de nationale politie? Zijn er ook financiële betalingen verricht aan het bedrijf Clearview AI?

De politie heeft in maart 2020 en in juni jl. naar aanleiding van Wob-verzoeken openbaar gemaakt dat er geen documenten zijn die zien op afspraken over het gebruik van Clearview. In de beantwoording van de vragen van uw Kamer in maart 2020 heb ik mij laten informeren door de politie. Zij zijn niet op de hoogte van contacten met dat bedrijf en hebben geen producten afgenomen. De politie heeft dit ook toen nagezocht, ook in haar financiële administratie.

Vraag 7

Hoe is de afweging gemaakt of de concrete toepassing van gezichtsherkenning en het verwerken van biometrische gegevens wel in lijn was met mensenrechten en de Algemene Verordening Gegevensbescherming (AVG)? Is het gebruik van Clearview AI überhaupt verenigbaar met de AVG?

In de Kamerbrief van 20 november 2019 over waarborgen en kaders bij gebruik van gezichtsherkenningstechnologie schreef de Minister van Justitie en Veiligheid dat in onze democratische rechtsorde en omwille van onze nationale veiligheid het gebruik van technologieën als biometrische gezichtsherkenningstechnologie onderworpen dient te zijn aan duidelijke kaders.4 De bescherming van de persoonlijke levenssfeer is immers een grondrecht. Inbreuk op dat grondrecht – en het vastleggen van iemands gelaat is dat – is alleen toegestaan als aan een aantal wettelijke waarborgen wordt voldaan.
Voor de verwerking van persoonsgegevens die nodig zijn voor de uitoefening van de politietaak is er een speciale wet: de Wet politiegegevens (Wpg). De Wpg biedt de grondslag en nadere regulering voor het verwerken van deze gegevens. Bij de toepassing van gezichtsherkenningstechnologie ten behoeve van identificatie wordt gebruik gemaakt van biometrische gegevens. Biometrische gegevens zijn bijzondere persoonsgegevens waarvoor strengere regels gelden. De politie mag deze gegevens alleen verwerken als dit onvermijdelijk is voor het doel van de verwerking en in aanvulling op het verwerken van andere politiegegevens over de betreffende persoon. Voor een uitgebreidere toelichting op het wettelijke kader verwijs ik u naar de bovengenoemde Kamerbrief.
Het gebruik van Clearview is niet verenigbaar met de wettelijke bepalingen en is in strijd met onze grondrechten. Het verzamelen en verwerken van persoonsgegevens ten bate van strafvordering moet gericht zijn op een concreet doel, moet gebaseerd zijn op de wet, en moet voldoen aan de beginselen van proportionaliteit en subsidiariteit. En hierop moet toezicht mogelijk zijn.
Nu een grondslag voor verkrijging van beelden of biometrische kenmerken met gebruikmaking van Clearview niet aanwezig wordt geacht, hoeft en kan een vraag naar de compatibiliteit van verwerking van dergelijke gegevens met de daarvoor geldende regels niet in detail te worden beantwoord.

Vraag 8

Is er gebruik gemaakt van via Clearview AI gemaakte matches in strafzaken? Zo ja, welke impact heeft dit op de rechtmatigheid van deze zaken?

Nee.

Vraag 9

Kunt u nogmaals beantwoorden welke publieke organisaties er verder gebruik gemaakt hebben van de omstreden gezichtsherkenningssoftware? Welke financiële afspraken zijn er gemaakt met Clearview AI?

Er is mij niets bekend over het gebruik van Clearview door Nederlandse publieke organisaties, dan wel over financiële afspraken met Clearview.

Vraag 10

Welke stappen gaat u ondernemen om te zorgen dat er in de toekomst niet zomaar gebruik kan worden gemaakt van Clearview AI en soortgelijke bedrijven?

Op 20 december 2019 hebben de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming het onderzoek «Toezicht op gebruik van algoritmen door de overheid» aan uw Kamer aangeboden.5 De onderzoekers constateerden op basis van een analyse van wet- en regelgeving geen juridische lacune in de toezichtstaken. Ik zie daarom geen aanleiding tot het zetten van extra stappen.

Vraag 11

Heeft u kennisgenomen van het rapport «The Rise and Rise of Biometric Mass Surveillance in the EU», van de organisatie European Digital Rights (EDRi), waarin het gebruik van biometrische surveillance in drie lidstaten, waaronder Nederland, onder de loep wordt genomen?4 Wat is uw reactie op dit rapport?

Ja, ik heb kennisgenomen van dit rapport. Ik beschouw het rapport als een overzichtsrapportage. De gepresenteerde informatie en de punten van kritiek zijn al eerder gepubliceerd in Nederlandse kranten, op nieuwswebsites en in publicaties. Verschillende leden van uw Kamer hebben hier al vragen over gesteld. Ik ben in de antwoorden op die vragen al ingegaan op de beschreven punten van kritiek. Ik zie geen aanleiding daar iets aan toe te voegen.

Vraag 12

Deelt u de conclusie van het rapport dat de verzameling van biometrische gegevens sterk toeneemt en dat dit vaak niet in overeenstemming is met de AVG, omdat er in de meeste gevallen geen sprake is van zwaarwegend algemeen belang om biometrische surveillance te rechtvaardigen, en burgers ook niet om toestemming wordt gevraagd?

Deze conclusie is te algemeen geformuleerd. Met de snelle ontwikkeling van de technologie neemt de dataverzameling inderdaad sterk toe. Om te voorkomen dat er sprake is van ongebreidelde en ongerichte dataverzameling kent de AVG een aantal waarborgen. Een daarvan is het principe van doelbinding. De algemene regel is dat persoonsgegevens alleen mogen worden verwerkt als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Omgekeerd betekent dit ook dat data niet mag worden verzameld zonder (wettelijk toegestaan) doel. Of de dataverzameling in overeenstemming is met de AVG hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Biometrische surveillance, in de zin van real time gezichtsherkenning, wordt op dit moment in Nederland niet gedaan.

Vraag 13

Wat gaat u ondernemen om de onrechtmatige verzameling van biometrische gegevens een halt toe te roepen?

In de Kamerbrief van 20 november 2019 heeft de Minister van Justitie en Veiligheid duidelijk gemaakt dat het verwerken van biometrische gegevens alleen kan indien daar een wettelijke basis voor is, en indien er vooraf een juridisch en ethische toetsing is uitgevoerd.7 Vanuit de Nederlandse overheid is er daarom geen steun voor het gebruik maken van toepassingen als Clearview die als onrechtmatig worden beoordeeld.
Voor betrokkenen die van mening zijn dat er toch op onrechtmatige basis biometrische gegevens worden verzameld staat binnen Nederland de weg naar de Autoriteit Persoonsgegevens open. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Bij overtredingen kan zij boetes opleggen.
In mijn antwoord op eerdere vragen over Clearview gaf ik aan dat Clearview vooral actief is in de Verenigde Staten. Het is primair aan de autoriteiten in dat land om te bezien of er in strijd met de wet is gehandeld. Inmiddels zien we dat de Amerikaanse politiek op het niveau van de Senaat hier aandacht voor heeft. Als iemand vermoedt dat zijn of haar foto door Clearview wordt gebruikt en zich daartegen wil verzetten, zal men zich tot dat bedrijf of de betrokken toezichthouder in de Verenigde Staten moeten wenden.

Vraag 14

Kunt u elke vraag apart beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «ROC Mondriaan in Den Haag gehackt: «Medewerkers staan werkloos bij de vestigingen»»?1

Ja.

Vraag 2

Welke gevolgen heeft de hack tot op heden voor docenten en studenten?

Zodra ROC Mondriaan de hack ontdekte, heeft het uit voorzorg alle systemen dichtgezet. Hiermee konden docenten en studenten niet meer bij hun documenten en veel van de applicaties werkten niet. In de week voorafgaand aan de opening van het nieuwe schooljaar heeft ROC Mondriaan er hard aan gewerkt om er voor te zorgen dat de school op maandag 30 augustus wel open kon gaan. Dit is gelukt. Het onderwijs aan de studenten is grotendeels doorgegaan, maar wel zonder gebruik van de bestanden en de meeste applicaties. Zodra het veilig kan, worden systemen, bestanden en applicaties toegankelijk gemaakt. Zo is op 6 september jl. weer een wifi-netwerk beschikbaar gesteld voor studenten en beschikken steeds meer docenten weer over een laptop. Ook worden alternatieve oplossingen gezocht in het kader van het waarborgen van de continuïteit van het onderwijs. Zo worden bijvoorbeeld examens afgenomen bij andere instellingen.

Vraag 3

Wanneer verwacht u dat de systemen weer volledig toegankelijk zijn?

Dat is op dit moment niet te zeggen. ROC Mondriaan heeft een gespecialiseerd forensisch IT-bedrijf ingeschakeld en SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack. Geleidelijk aan gaan er meer systemen open, maar alleen als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt voordat alle systemen weer opnieuw zijn opgebouwd. Daarbij voert ROC Mondriaan meteen verbeteringen door in de informatiebeveiliging zoals multifactor authenticatie (MFA) voor studenten.

Vraag 4

Welke acties onderneemt u om de start van het schooljaar in goede banen te leiden?

ROC Mondriaan heeft er hard aan gewerkt om het nieuwe schooljaar zo goed mogelijk te beginnen. Ik sta in nauw contact met de instelling en waar nodig zal ik ROC Mondriaan ondersteunen.

Vraag 5

Wanneer wordt de uitkomst verwacht van het digitaal onderzoek naar de omvang van de hack?

Dat is op dit moment niet te zeggen.

Vraag 6

Is al duidelijk of er bij de hack ook gegevens over studenten of docenten zijn buitgemaakt en zo ja om welk soort gegevens gaat het dan en wanneer worden studenten en docenten hierover geïnformeerd?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 7

Zijn andere ROC ’s goed toegerust op het voorkomen van een soortgelijke hack?

Er worden binnen de mbo-sector diverse initiatieven genomen om het risico op dit soort aanvallen te beperken. De mbo-instellingen vormen op het gebied van informatiebeveiliging een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd. Er wordt veel samengewerkt met SURF en gebruikgemaakt van diverse diensten van SURF. Zo dragen veel mbo-instellingen bij aan het Cyberdreigingsbeeld van SURF en hebben 11 mbo’s dit jaar meegedaan aan de tweejaarlijkse cybercrisisoefening OZON, die SURF samen met de instellingen organiseert. Ook bereiden de eerste mbo’s zich voor op aansluiting op SURFsoc, het via SURF aangeboden Security Operations Centre dat de instellingen in staat stelt om tijdig inbraakpogingen in het netwerk te signaleren en in te grijpen.
Binnen de mbo-sector wordt jaarlijks een benchmark afgenomen op het gebied van informatiebeveiliging, privacy en examinering, de Benchmark IBP-E. Sinds 2019 doen alle mbo-instellingen hieraan mee.
De lessen die we leren uit dit incident zullen benut worden voor de informatiebeveiliging van de gehele MBO-sector.

Vraag 8

Hoe voorkomt u dat een dergelijke hack in de toekomst nogmaals plaatsvindt op een ROC?

Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren, zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc. Ik zal met de MBO Raad in gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee2.

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na grote hack»?1

Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen trekken?

Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit zijn gemaakt? Zo nee, waarom niet?

Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het sectorale computer emergency response team SURFcert ter (technische) ondersteuning? Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?

Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval tot nu heeft veroorzaakt?

Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?

Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee, waarom niet?

Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering in het onderwijs» beantwoorden?

Vraag 1

Heeft de grootschalige storing impact gehad op de bedrijfsvoering van de Nederlandse overheid (op de verschillende lagen)? Zo ja, op welke manier? Heeft de Nederlandse overheid daarbij schade geleden?

Vraag 2

Heeft het demissionaire kabinet berichten van Nederlandse burgers, bedrijven en organisaties gehad, die last hebben ervaren van de storing? Zo ja, hoeveel? Wat was de inhoud van deze berichten? Welk algemeen beeld kan hieruit worden afgeleid?

Vraag 3

Hoe is het demissionaire kabinet voornemens in de (recente) toekomst om te gaan met zulke grootschalige digitale storingen?

Vraag 4

Is het demissionaire kabinet voornemens tijdens de Europese wetgevingsonderhandelingen inzake de Digital Services Act, de Digital Markets Act en de Artificial-Intelligence-verordeningen, en direct al bij de komende Europese top, het belang van het vernieuwen en updaten van de Border Gateway Protocol aan te kaarten? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom niet?

Vraag 5

Deelt het demissionaire kabinet de mening dat dit incident wederom aantoont hoe groot de afhankelijkheid van slechts enkele tech-grootmachten op dit moment is en dat deze buitenproportionele afhankelijkheid, middels Europese wetgeving, noodzakelijkerwijs en spoedig ingeperkt dient te worden ter bescherming van Europese burgers en bedrijfsleven? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom deelt het demissionaire kabinet deze mening niet?

Vraag 6

Welke maatregelen gaat het demissionaire kabinet treffen naar aanleiding van de grootschalige storing?

Vraag 1

Bent u bekend met de berichten «Bedrijfsleven start eigen alarmsysteem tegen hackers: «overheid te traag» & «Informatie over op handen zijnde hacks wordt grotendeels weggeooid»»?1, 2

Vraag 2

Hoe beoordeelt u de ontwikkelingen vanuit het bedrijfsleven waar men «niet meer wil wachten op de overheid» en zelf aan de slag gaat om een alarmsysteem dat waarschuwt voor aanstaande of bezig zijnde hacks?

Vraag 3

Begrijpt u dat beide berichten waarover vragen worden gesteld een zekere samenhang lijken te hebben?

Vraag 4

Kunt u aangeven of het Digital Trust Center (DTC) duurzaam is geborgd voor de toekomst? Heeft het Digital Trust Center haar waarde al bewezen? Zo nee, waarom (nog) niet?

Vraag 5

Deelt u de signalen vanuit de praktijk dat het Nationaal Cyber Security Centrum (NCSC) de urgentie en het tempo volledig onderschat en daarmee in bepaalde gevallen niet van meerwaarde lijkt te zijn? Hoe gaat u dat verbeteren?

Vraag 6

Op welke vlakken zorgt de Algemene verordening gegevensbescherming (AVG) voor knelpunten? Welke grondslagen zijn er nodig, bijvoorbeeld in de Wet Beveiliging Netwerk- en Informatiesystemen (WBNI), om gegevens als IP-adressen te kunnen delen?

Vraag 7

Welke stappen worden er gezet om het NCSC meer mogelijkheden te geven wanneer het gaat om niet-vitale onderdelen in de samenleving? Wordt er ook gekeken om de WBNI een ruimer bereik te geven?

Vraag 8

Acht u het een meerwaarde dat er ook een private partij komt waar tevens meldingen van hacks en/of kwetsbaarheden kunnen worden gedaan?

Vraag 9

Kunt u aangeven waar er bij het NCSC behoefte aan is en in hoeverre u kunt zorgen dat het NCSC deze bevoegdheden, middelen en/of grondslagen ook krijgt? Welke obstakels liggen er in de weg?

Vraag 10

Bent u bekend met signalen dat er vanwege veel te stringente wettelijke beperkingen het NCSC genoodzaakt is om buiten de wet om te werken? Acht u dat acceptabel?

Vraag 11

Kunt u aangeven waarom het NCSC niet de mogelijkheden heeft om het internet te scannen om te kijken welke partijen er gevaar lopen voor bepaalde software of kwetsbaarheden? Welke mogelijkheden ziet u om ervoor te zorgen dat dit wel gaat gebeuren?

Vraag 12

Kunt u een overzicht geven van alle initiatieven die er thans lopen om de cyberveiligheid bij (mkb-)bedrijven te vergroten? Wat is het bereik hiervan?

Vraag 13

Bent u bereid om een evaluatie te laten uitvoeren over het functioneren van de instanties als het NCSC en het DTC in relatie tot relevante stakeholders.

Vraag 1

Bent u bekend met het bericht ««Hoe China met de Nederlandse politie meekijkt»»?1

Vraag 2

Klopt het dat de Nederlandse politie drones van het Chinese bedrijf Da Jiang Innovations (DJI) inzet? Zo ja, voor welke taken precies? Waarom is er gekozen voor drones van dit bedrijf?

Vraag 3

Is de aanschaf en het gebruik van drones van Da Jiang Innovations door de politie voorafgegaan door een risico- en veiligheidsanalyse? Zo ja, zijn daarbij (digitale) veiligheids- en privacyexperts geraadpleegd over het verzamelen van persoonsgegevens? Zo nee, waarom niet?

Vraag 4

Klopt het dat de Nederlandse inlichtingendiensten hebben geconstateerd dat China een offensief cyberprogramma heeft tegen de Nederlandse nationale belangen? Hoe beoordeelt u het gebruik van drones van Da Jiang Innovations in dat licht? Deelt u de mening dat het onwenselijk is om voor politiewerk afhankelijk te zijn van Chinese hardware/IT-producten?

Vraag 5

Klopt het dat Chinese bedrijven volgens de Chinese wet verplicht zijn om data af te staan aan hun overheid? Deelt u de mening dat het uit veiligheidsoogpunt zeer onwenselijk is dat er door de Nederlandse overheid IT-producten worden afgenomen bij een bedrijf dat data deelt met de Chinese overheid?

Vraag 6

Wordt er bij het inzetten van drones van Da Jiang Innovations door de politie gebruikgemaakt van eigen software of gebruikt de politie DJI-bedrijfssoftware? Bent u op de hoogte van de veiligheidsrisico’s van het gebruik van DJI-software? Gebruikt de politie speciale overheidsdrones?

Vraag 7

Bent u bereid om preventieve maatregelen te nemen die de risico’s op Chinese spionage beperken? Bent u bereid hiervoor onderzoek te laten doen naar het gebruik door de politie van drones van Da Jiang Innovations? Zo nee, waarom niet?

Vraag 8

Hoe beschouwt u het feit dat Defensie vanwege veiligheidsrisico’s reeds geen gebruik meer maakt van DJI-drones? Hoe beschouwt u in dat licht het gebruik van DJI-producten door de politie?

Vraag 9

Bent u bekend met het feit dat drones van DJI sinds 2020 niet meer gebruikt worden door de Verenigde Staten vanwege veiligheidszorgen en dat Japan dit overweegt? Hoe beoordeelt u dit? Heeft u hierover contact gehad met de VS en Japan? Zo nee, bent u bereid hierover contact op te nemen?

Vraag 10

Is er binnen de NAVO of de EU gesproken over de veiligheid van het gebruik van deze drones? Gebruiken NAVO-bondgenoten en EU-lidstaten deze drones voor politie-, militaire of andere doeleinden?

Vraag 11

Zijn er Europese landen die drones van een bedrijf uit een EU-lidstaat of OESO-land inzetten voor vergelijkbare taken als waar de Nederlandse politie de DJI-drones voor inzet? Zo ja, kunt u aangeven welke landen dit zijn en uit welke landen de bedrijven komen die ook drones in deze categorie produceren?

Vraag 12

Hoe beoordeelt u het risico dat China de data van drones gebruikt voor het analyseren van Nederlandse (vitale) infrastructuur? Deelt u de inschatting van experts dat deze informatie zeer interessant is voor China?

Vraag 13

Ziet u een gevaar van het gebruik van DJI-drones voor bijvoorbeeld Oeigoeren in Nederland, gezien het feit dat China gezichtsherkenningssoftware gebruikt om Oeigoeren te onderdrukken en ook de diaspora in Nederland onder druk zet?

Vraag 14

Heeft u in algemene zin diplomatiek contact met China over de dataveiligheid van Chinese technologie voor Nederlandse gebruikers? Zo ja, wat is hierbij de Nederlandse inzet?

Vraag 1

Klopt het dat de politie gebruikmaakt van drones van het Chinese merk Da Jiang Innovations? (DJI)1

Vraag 2

Wat zijn de overwegingen geweest om te kiezen voor deze drones?

Vraag 3

Klopt het dat het Ministerie van Defensie deze drones niet gebruikt, omdat ze deze te riskant vinden? Zo ja, wat zijn de overwegingen van Defensie?

Vraag 4

Klopt het dat de politie toegeeft dat er niet uitgesloten kan worden dat dronedata op Chinese servers belanden? Zo ja, waarom worden er dan alsnog extra van deze drones aangeschaft?

Vraag 5

Is er onderzoek gedaan door ICT-experts of de app die bij de drones hoort, toegang kan geven tot de telefoons van de agenten die hem gebruiken? Zo nee, waarom niet?

Vraag 6

Bent u bereid nader te onderzoeken of er politiedata gelekt zijn naar de Chinese fabrikant? Zo nee, waarom niet?

Vraag 7

Zijn er afspraken tussen de politie en DJI? Zo ja, kunnen die openbaar worden gemaakt?

Vraag 8

Was u en/of de politie op de hoogte van de vele datalekken en onderzoeken rondom DJI? Zo nee, hoe kan dit?

Vraag 9

Waarom vaart de politie op eigen expertise als het gaat om dataverzameling via externe leveranciers? Waarom is die expertise niet ingezet bij de technologie van kentekenscanners die ook aan gezichtsherkenning bleken te doen?

Vraag 10

Kunt u een overzicht geven van welke overheidsinstanties nog meer gebruikmaken van technologie van dit bedrijf en voor wat voor werkzaamheden?

Vraag 11

Waarom zijn er geen Rijksbrede afspraken over het gebruik van technologie geproduceerd door bedrijven uit andere landen? Bent u bereid alsnog met Rijksbreed beleid hiervoor te komen? Zo nee, waarom niet?

Vraag 12

Begrijpt u het advies van hoogleraar Oerlemans dat het nu de tijd is om goed na te denken over overheidsbevoegdheden op het gebied van cybersecurity en na te denken over wat hij checks and balances noemt? In hoeverre is dat al gebeurd in de afgelopen jaren, in integrale zin?2

Vraag 13

Denkt u dat als dit grondig was gedaan er niet met spoed een wetsvoorstel gemaakt moest worden voor de NCTV? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het onderzoek van de DMCR en de provincie Zuid-Holland over het gebrek aan cybersecurity bij bedrijven die werken met gevaarlijke stoffen?1

Vraag 2

Kunt u zich vinden in de bevindingen van het onderzoek van de DMCR en de provincie Zuid-Holland? Zo nee, welke bevindingen deelt u niet?

Vraag 3

Hoe kan het dat bij een groot deel van de bedrijven er onvoldoende aandacht is voor cybersecurity?

Vraag 4

Bent u het met ermee eens dat bedrijven die werken met gevaarlijke stoffen juist extra goed beveiligd moeten zijn op het digitale vlak?

Vraag 5

Wat doet u om de cybersecurity van deze bedrijven te vergroten?

Vraag 6

Doet u voldoende om de cybersecurity van deze bedrijven te verbeteren? Zo ja, hoe verklaart u de bevindingen in dit onderzoek dan? Zo nee, wat gaat u meer doen om de cybersecurity van deze bedrijven te verbeteren?

Vraag 1

Bent u bekend met het bericht «Litouwen adviseert consument geen Xiaomi-telefoons meer te kopen»?1

Vraag 2

Hoe beoordeelt u het zorgelijke feit dat overheidsinstanties in Litouwen consumenten adviseren om geen smartphones van het Chinese merk Xiaomi meer te kopen of te gebruiken in verband met de mogelijke aanwezigheid van censuursoftware?

Vraag 3

Zijn deze signalen bekend bij het Nationaal Cyber Security Centrum (NCSC)? Zo ja, welke actie is hierop tot heden genomen?

Vraag 4

Hoeveel Xiaomi telefoons zijn in Nederland in gebruik? Maken Nederlandse overheidsinstanties gebruik van Xiaomi telefoons? Zo ja, welke?

Vraag 5

Wordt er een risicoanalyse uitgevoerd naar hardware en software die in gebruik wordt genomen door overheidsinstanties? Zo ja, is een dergelijke analyse uitgevoerd voor Xiaomi telefoons? Zo ja, wat waren de uitkomsten hiervan? Zo nee, waarom niet?

Vraag 6

Deelt u de mening dat dergelijke censuursoftware een gevaar vormt voor de vrijheid van meningsuiting en de privacy van Nederlandse gebruikers van Xiaomi telefoons? Zo ja, bent u bereid om op korte termijn onderzoek te laten uitvoeren naar de mogelijke aanwezigheid van censuursoftware op Xiaomi toestellen door het Nationaal Cyber Security Centrum en het Agentschap Telecom? Zo nee, waarom niet?

Vraag 7

Klopt het dat Xiaomi geen officiële winkel of webshop heeft in Nederland, maar wel online via verschillende Nederlandse websites/webwinkels te kopen is? Deelt u de mening dat als blijkt dat Nederlanders met een Xiaomi telefoon dergelijke censuursoftware hebben, het onwenselijk is dat deze telefoons in Nederland verkrijgbaar zijn? Zo ja, wat gaat u daaraan doen? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het artikel «Overheid in actie tegen betalen van losgeld aan ransomware-criminelen»?1

Vraag 2

Klopt het dat op dit moment de mogelijkheden worden onderzocht om verzekeraars te verbieden om losgeld te vergoeden bij slachtoffers van een ransomware-aanval? Zo ja, hoe verklaart u dit verschil in beleid ten opzichte van wel en niet verzekerde bedrijven? Welke mogelijkheden worden er nog meer onderzocht om te kijken of het aantal losgeldbetalingen verminderd kan worden?

Vraag 3

Bent u het ermee eens dat het betalen van losgeld bij ransomware aanvallen onwenselijk is en dat bedrijven zich tegelijkertijd soms genoodzaakt voelen losgeld te betalen op korte termijn, omdat anders de continuïteit van bedrijfsprocessen in gevaar komt? Zo ja, hoe beoordeelt u dan een algeheel verbod op het betalen van losgeld? Zo nee, waarom niet? En bent u het ermee eens dat er daarom ingezet moet worden op het dringende advies om niet te betalen? Zo nee, waarom niet?

Vraag 4

Bent u het ermee eens dat ondernemers en organisaties vooral slachtoffer zijn bij een ransomware-aanval? Zo nee, waarom niet?

Vraag 5

Bent u zich ervan bewust dat het niet betalen van losgeld kan leiden tot een situatie waarin systemen weer vanaf de grond opnieuw moeten worden opgebouwd wat vaak langer duurt en meer geld kost dan het betalen van losgeld?

Vraag 6

Bent u zich ervan bewust dat een algemeen verbod op het betalen van losgeld zelfs kan leiden tot het faillissement van een getroffen bedrijf? Zo ja, bent u het ermee eens dat dit een zeer onwenselijk scenario is voor getroffen bedrijven en dat een verbod op het betalen van losgeld het probleem van ransomware aanvallen op bedrijven niet oplost? Zo nee, waarom niet?

Vraag 7

Bent u het ermee eens dat de oplossing moet worden gezocht in ransomware aanvallen in eerste instantie voorkomen door te focussen op preventieve maatregelen en de digitale basishygiëne van bedrijven vergroten? Zo ja, welke mogelijkheden ziet u hiertoe? Zo nee, waarom niet?

Vraag 1

Op basis van welke data concludeert u dat de ProCo-app door 30.000 politiemensen wordt gebruikt?

Vraag 2

Worden in de ProCo-app alleen handmatige bevragingen bijgehouden of ook de bevragingen op basis van Automatic Number Plate Recognition (ANPR)?

Vraag 3

Hoe lang blijven de gelogde data bewaard en welke details worden over een bevraging bewaard? Is dat dan alleen het feit dat iemand is bevraagd, of ook welke agent deze bevraging deed, wat de reden was voor de bevraging en bijvoorbeeld wat de locatie, het tijdstip en de datum waren?

Vraag 4

Bent u het ermee eens dat dergelijke details relevant kunnen zijn bij verdere analyse van de data om iets te kunnen zeggen over etnisch profileren?

Vraag 5

Hoe wordt concreet invulling gegeven aan het voornemen dat is opgenomen in de beantwoording van Kamervragen1 om samen met het Centraal Bureau voor de Statistiek (CBS) te kijken of de informatie uit de ProCo-app en de data van het CBS inzicht kunnen geven in de omvang van etnisch profileren om zo etnisch profileren te kunnen monitoren en de effecten en effectiviteit van de maatregelen om professioneel controleren te versterken in kaart te brengen?

Vraag 6

Kunt u toelichten op welke wijze u hier concreet invulling aan wilt geven? Is het CBS hier al voor benaderd en wat is specifiek aan hen gevraagd?

Vraag 7

Bent u bereid om instanties die ervaring en expertise hebben op het terrein van etnisch profileren, zoals Controle Alt Delete en Amnesty International, te betrekken bij het analyseren van de data van de ProCo-app?

Vraag 8

Op welke termijn wordt de analyse opgestart / afgerond en op welke wijze wordt de privacy van burgers gewaarborgd?

Vraag 9

Kunt u aangeven wat wordt gedaan met het voornemen dat u heeft opgenomen in uw brief van 12 april jl.2 om de effecten van de toepassing van de Proco-app in samenhang met het handelingskader te monitoren en hiervoor een meetinstrument te ontwikkelen om zo inzicht te krijgen in de aard en omvang van de controles? Kunt u toelichten welk meetinstrument hiervoor is ontwikkeld, hoe het werkt, wie daar het bevoegd gezag over heeft, wie relevante inzichten abstraheert van het meetinstrument en wanneer hiervoor de relevante bevindingen naar de Tweede Kamer worden gestuurd?

Vraag 10

Kunt u de Kamer informeren over het aantal bevragingen waarop een controle is gevolgd, en de uitkomst van die controles, uitgesplitst per maand en per basisteam sinds 1 november 2020?

Vraag 11

Kunt u deze vragen een voor een beantwoorden?

Vraag 1

Bent u bekend met het bericht «ACM keert terug op schreden: toch geen eigen elektrolyser voor netwerkbedrijven»?1

Vraag 2

Kunt u deze opmerkelijke ommekeer in de positie van de ACM nog volgen en verklaren?

Vraag 3

Deelt u de mening dat deze gang van zaken, waarbij de leidraad voor netwerkbedrijven sterk gewijzigd is ten opzichte van de conceptversie (na een forse vertraging), funest is voor de energietransitie omdat netwerkbedrijven op los zand moeten opereren?

Vraag 4

Bent u van mening dat het opslaan van energie, waaronder het omzetten van elektriciteit in moleculen door middel van elektrolyse, geen opwekking is van nieuwe energie?

Vraag 5

Deelt u het inzicht dat alternatieve energiedragers, die belangrijk zijn vanwege hun opslagfunctie of voor buffering, essentieel zijn voor een stabiel energiesysteem en dat het daarom wenselijk is dat netwerkbedrijven elektrolyzers en vormen van energieopslag (zoals waterstofopslag in een zoutcaverne) moeten kunnen beheren/in bezit mogen hebben?

Vraag 6

Welke gevolgen heeft deze uitspraak voor de lopende pilot van Gasunie voor groene waterstofopslag in een zoutcaverne, waarbij nu ook een elektrolyser actief is en op hun locatie staat?

Vraag 7

Bent u bereid de aanstaande Energiewet dusdanig in te richten dat het voor netwerkbedrijven mogelijk wordt om zowel elektrolysers als (duurzame)energieopslagfaciliteiten te beheren, dan wel in bezit te hebben?

Vraag 8

Deelt u de mening dat de ACM de energietransitie in de weg loopt door bestaande wet- en regelgeving van eigen interpretaties te voorzien, waarbij het te eenzijdig probeert de rol van semi-publieke partijen in te perken en de rol van marktwerking of van (soms nog niet eens bestaande) marktpartijen te vergroten?

Vraag 9

Bent u bereid hierover met de ACM in gesprek te gaan?

Vraag 10

Bent u tot slot bereid om ons bestaande mededingingsbeleid, inclusief handhavingsstructuur, eens goed tegen het licht te houden en waar nodig aan te passen aan de grote transities die wij zowel nationaal als Europees in gaan zetten om klimaatverandering een halt toe te roepen?

Vraag 1

Bent u bekend met signalen dat het systeem van de Dienst Uitvoering Onderwijs (DUO) «instabiel» is als het gaat om het afgeven van ouderverklaringen voor de aanvraag van het stichten van een nieuwe school in het primair- of voortgezet onderwijs? Zo ja, om hoeveel signalen gaat dit en wat is hierbij de oorzaak?1

Ik ben ermee bekend dat er door sommige ouders problemen zijn ervaren in het afgeven van ouderverklaringen. Één ouder heeft daarover rechtstreeks bij DUO een melding gedaan. Deze ouder kon geen ouderverklaring afgeven omdat het betreffende kind buiten het (geografische) voedingsgebied viel. Dit is ook aan de ouder toegelicht. Daarnaast zijn er door of namens 6 initiatiefnemers (uit Kerkrade, Utrecht, Den Haag, Maastricht en IJsselstein) 11 vragen gesteld over de beschikbaarheid van het systeem bij DUO. Ruim de helft is terug te leiden naar een storing op 18 juli op het portaal van DUO. Eén vraag had te maken met een ouder die moeite had met inloggen bij DigiD. Door de gemeente Kerkrade zijn daarnaast nog negen schermafbeeldingen gedeeld van foutmeldingen. In acht van deze gevallen ging het om trage laadtijden bij DUO wat uiteindelijk leidt tot een foutmelding (zie ook het antwoord op vraag 2) en in één geval om problemen met de DigiD instellingen bij de ouder zelf.

Vraag 2

Klopt het dat tijdens het inloggen op Mijn Duo met DigiD het veelvuldig voorkomt dat ouders te maken krijgen met een foutmelding bij het invullen van de ouderverklaring zelf? Zo ja, welke stappen heeft u ondernomen om dit te verhelpen?

Ten opzichte van de bijna 3000 ouderverklaringen die tot nu toe met succes zijn afgegeven, is het in antwoord 1 genoemde aantal beperkt. Een grote groep ouders (ook bijna 3000) heeft echter te maken gehad met een «functionele melding». Deze groep voldoet niet aan de voorwaarden voor het afgeven van een ouderverklaring, zoals het hebben van een kind in de juiste leeftijdscategorie of woonachtig zijn in het wettelijke voedingsgebied van het initiatief. Mogelijk hebben de ervaringen van deze groep het beeld versterkt dat er iets technisch fout gaat. Verder is er eind augustus een storing van twee dagen geweest in MijnDUO en functioneert het systeem sindsdien minder snel dan de bedoeling is. De problemen betroffen het gehele particuliere portaal en zorgden ervoor dat ouders soms minder snel een ouderverklaring konden afgeven. Op dit moment ervaren ouders die een verklaring willen afgeven nagenoeg geen last meer van de effecten van de storing. De exacte bronoorzaak van de storing eind augustus is helaas nog steeds niet gevonden, maar er wordt alles aan gedaan om in de onderliggende infrastructuur de oorzaak te vinden. Ouders die toch problemen ondervinden kunnen contact opnemen met het telefoonnummer dat op site staat waar zij hun verklaring moeten afgeven. DUO kan desgewenst ouders helpen bij het invullen van de verklaring.

Vraag 3

Op welke manier zijn DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap aan de slag gegaan met de problemen, die onder andere de gemeente Kerkrade heeft gemeld, als het gaat om het aanmelden van ouderverklaringen? Wat hebben DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap concreet met deze signalen gedaan en op welke manier hebben zij dit teruggekoppeld aan de melders?

DUO heeft gesprekken gevoerd met de melders. In die gesprekken is samen bekeken waar de ervaren problemen vandaan kwamen. DUO heeft testen gedaan en in de systemen onderzocht of, en zo ja, welke problemen er zijn geweest en gemeld. De uitkomsten hiervan zijn verteld aan de melders. Met de gemeente Kerkrade specifiek is zowel voor als na de brief die de burgemeester uw Kamer gestuurd heeft veelvuldig contact geweest.

Vraag 4

Is het mogelijk om ouderverklaringen ook op een andere manier te verzamelen, bijvoorbeeld op papier via een notaris? Zo nee, waarom niet?

Bij het opstellen en de behandeling van de wet is om de volgende redenen gekozen voor de huidige systematiek van indienen van ouderverklaringen. Aan de ene kant bevordert DigiD de betrouwbaarheid en voorspellende waarde van de ouderverklaringen, omdat ouders niet zomaar hun verklaring kunnen afgeven en een initiatiefnemer bij wijze van spreken langs de deuren kan gaan voor handtekeningen. Aan de andere kant worden ouders niet onnodig gedwongen tot handelingen die voor het afgeven van de verklaring zelf niet ter zake doen, waarvan wel sprake zou zijn bij papieren ouderverklaringen. In het wetsvoorstel «Naar een flexibeler scholenbestand» uit 2000 werd voorgesteld om belangstellende ouders de ouderverklaring bij het gemeentehuis te laten indienen in aanwezigheid van een ambtenaar van de burgerlijke stand. Ten tijde van dit wetsvoorstel waren de digitale mogelijkheden beperkt en was deze constructie nodig om de betrouwbaarheid van de verklaring te vergroten. De Raad van State merkte hierover destijds op dat dit tijdsintensief en duur is. De huidige digitale mogelijkheden maken het mogelijk een unieke ouderverklaring online in een beveiligde omgeving af te geven en te verifiëren. Door gebruik te maken van DigiD wordt optimaal gebruik gemaakt van de bestaande digitale infrastructuur tussen burgers en overheid, waarmee de uitvoeringskosten en de lasten voor de burger beperkt worden. Daarnaast is de privacy van de burger er niet bij gebaat als initiatiefnemers lijsten onder zich hebben met meerdere persoonsgegevens van ouders en leerlingen. Ik vind dit daarom geen wenselijke optie.

Vraag 5

Klopt het dat DUO in reactie op klachten van inwoners aangeeft dat inwoners in het geval van een foutmelding zelf een administratie moeten bijhouden van de devices of verbindingen? Waarom neemt DUO hier zelf niet meer verantwoordelijkheid in?

Het klopt dat DUO in de gesprekken met één initiatief heeft gevraagd om zo concreet mogelijke informatie over de foutmelding, omdat DUO in de eigen systemen geen fouten zag die te relateren waren aan de klachten en toen ook nog geen signalen had van problemen bij andere initiatieven. DUO vraagt dus alleen om een administratie bij te houden van de problemen die worden ondervonden als laatste mogelijkheid om het probleem te onderzoeken en te voorzien van een oplossing.

Vraag 6

Wat betekenen de problemen bij DUO bij het afgeven van ouderverklaringen voor de deadline van 15 oktober 2021 voor het schooljaar 2023–2024? Is het mogelijk om gemeenten, die evident te maken kregen met foutmeldingen bij het aanleveren van ouderverklaringen, hierbij extra tijd te geven voor het verzamelen van voldoende ouderverklaringen?

Zoals gezegd is het aantal technische foutmeldingen op dit moment zeer beperkt. Tussen 7 en 20 september zijn bijna 2000 ouderverklaringen verstrekt. Dit is een grote toename, ook ten opzichte van de periode voordat er een storing plaatsvond bij MijnDUO. Ik vind het op basis hiervan een te grote ingreep om de wettelijke termijn voor het afgeven van ouderverklaringen op te rekken. Ouders die een initiatief willen steunen hebben hier nog enkele weken de tijd voor. Ik volg de ontwikkelingen rondom MijnDUO nauwgezet, net als het contact tussen DUO en de melders, en grijp in waar nodig.

Vraag 7

Kunnen deze vragen beantwoord worden voor het commissiedebat Digitalisering in het onderwijs van 30 september 2021?

Ja.

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «ROC Mondriaan in Den Haag gehackt: «Medewerkers staan werkloos bij de vestigingen»»?1

Ja.

Vraag 2

Welke gevolgen heeft de hack tot op heden voor docenten en studenten?

Zodra ROC Mondriaan de hack ontdekte, heeft het uit voorzorg alle systemen dichtgezet. Hiermee konden docenten en studenten niet meer bij hun documenten en veel van de applicaties werkten niet. In de week voorafgaand aan de opening van het nieuwe schooljaar heeft ROC Mondriaan er hard aan gewerkt om er voor te zorgen dat de school op maandag 30 augustus wel open kon gaan. Dit is gelukt. Het onderwijs aan de studenten is grotendeels doorgegaan, maar wel zonder gebruik van de bestanden en de meeste applicaties. Zodra het veilig kan, worden systemen, bestanden en applicaties toegankelijk gemaakt. Zo is op 6 september jl. weer een wifi-netwerk beschikbaar gesteld voor studenten en beschikken steeds meer docenten weer over een laptop. Ook worden alternatieve oplossingen gezocht in het kader van het waarborgen van de continuïteit van het onderwijs. Zo worden bijvoorbeeld examens afgenomen bij andere instellingen.

Vraag 3

Wanneer verwacht u dat de systemen weer volledig toegankelijk zijn?

Dat is op dit moment niet te zeggen. ROC Mondriaan heeft een gespecialiseerd forensisch IT-bedrijf ingeschakeld en SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack. Geleidelijk aan gaan er meer systemen open, maar alleen als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt voordat alle systemen weer opnieuw zijn opgebouwd. Daarbij voert ROC Mondriaan meteen verbeteringen door in de informatiebeveiliging zoals multifactor authenticatie (MFA) voor studenten.

Vraag 4

Welke acties onderneemt u om de start van het schooljaar in goede banen te leiden?

ROC Mondriaan heeft er hard aan gewerkt om het nieuwe schooljaar zo goed mogelijk te beginnen. Ik sta in nauw contact met de instelling en waar nodig zal ik ROC Mondriaan ondersteunen.

Vraag 5

Wanneer wordt de uitkomst verwacht van het digitaal onderzoek naar de omvang van de hack?

Dat is op dit moment niet te zeggen.

Vraag 6

Is al duidelijk of er bij de hack ook gegevens over studenten of docenten zijn buitgemaakt en zo ja om welk soort gegevens gaat het dan en wanneer worden studenten en docenten hierover geïnformeerd?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 7

Zijn andere ROC ’s goed toegerust op het voorkomen van een soortgelijke hack?

Er worden binnen de mbo-sector diverse initiatieven genomen om het risico op dit soort aanvallen te beperken. De mbo-instellingen vormen op het gebied van informatiebeveiliging een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd. Er wordt veel samengewerkt met SURF en gebruikgemaakt van diverse diensten van SURF. Zo dragen veel mbo-instellingen bij aan het Cyberdreigingsbeeld van SURF en hebben 11 mbo’s dit jaar meegedaan aan de tweejaarlijkse cybercrisisoefening OZON, die SURF samen met de instellingen organiseert. Ook bereiden de eerste mbo’s zich voor op aansluiting op SURFsoc, het via SURF aangeboden Security Operations Centre dat de instellingen in staat stelt om tijdig inbraakpogingen in het netwerk te signaleren en in te grijpen.
Binnen de mbo-sector wordt jaarlijks een benchmark afgenomen op het gebied van informatiebeveiliging, privacy en examinering, de Benchmark IBP-E. Sinds 2019 doen alle mbo-instellingen hieraan mee.
De lessen die we leren uit dit incident zullen benut worden voor de informatiebeveiliging van de gehele MBO-sector.

Vraag 8

Hoe voorkomt u dat een dergelijke hack in de toekomst nogmaals plaatsvindt op een ROC?

Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren, zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc. Ik zal met de MBO Raad in gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee2.

Vraag 1

Bent u bekend met het bericht ««Clearview AI Offered Free Facial Recognition Trials To Police All Around The World»«?1

Ja.

Vraag 2

Herinnert u zich dat u in maart 2020 in antwoorden op Kamervragen van het lid Verhoeven aangaf dat: «voor zover ik heb kunnen nagaan werken er geen Nederlandse opsporingsdiensten samen met Clearview»?2

Ja.

Vraag 3

Herinnert u zich de antwoorden van de Minister van Justitie en Veiligheid op Kamervragen van het lid Buitenweg (Groenlinks) waarin de Minister stelde dat: «ik heb mij reeds enkele weken geleden, toen op het internet de eerste melding werd gemaakt van Clearview in relatie tot de Nederlandse politie, laten informeren door de politie. Zij zijn niet centraal benaderd door Clearview, zijn niet op de hoogte van contacten met dat bedrijf, en hebben geen producten afgenomen.»3

Ja.

Vraag 4

Hoe verklaart u dat volgens nieuw onderzoek op basis van interne data van Clearview AI blijkt dat de Nationale Politie tussen de 51 en 100 keer gebruik heeft gemaakt van Clearview AI?

De logbestanden waar BuzzFeed News naar verwijst dateren van vóór februari 2020. Dat geldt ook voor de uitgelekte klantenlijst waar BuzzFeed News eerder een artikel over schreef en waar u in maart 2020 schriftelijke vragen over heeft gesteld.
In de publicatie van BuzzFeed News wordt aangehaald dat in de gelekte data van Clearview bevragingen zijn geregistreerd met als aanvrager iemand die geassocieerd wordt met het «National Police Corps». Bij uitvraag binnen de politie is hiervan niet gebleken. BuzzFeed News heeft geen nadere informatie verstrekt die zeer gericht navragen mogelijk maakt.
In het artikel in BuzzFeed News wordt verwezen naar een bijeenkomst bij Europol eind 2019, waar testaccounts beschikbaar zijn gesteld. Op navraag is niet gebleken dat door medewerkers van de Nederlandse politie op of naar aanleiding hiervan gebruik is gemaakt van een testaccount.
In antwoord op de eerder gestelde schriftelijke vragen gaf de Minister van Justitie en Veiligheid aan dat de politie niet centraal is benaderd door Clearview, niet op de hoogte is van contacten met dat bedrijf, en met dat bedrijf geen relatie is aangegaan om daarvan producten af te nemen. De politie heeft in haar reactie aan de Volkskrant naar aanleiding van dit bericht van BuzzFeed News, maar ook naar aanleiding van deze set Kamervragen, wederom benadrukt dat de politie niet met Clearview werkt en dit ook niet van plan is.
De enige applicatie die de politie gebruikt waarin biometrische gezichtsherkenningstechnologie wordt toegepast is Catch. De politie heeft een interne beleidslijn die het inzetten van andere toepassingen van gezichtsherkenningstechnologie in de operationele processen van de politie verbiedt, tenzij er tevoren een positief advies is op basis van een juridisch ethische toets, dit ter beoordeling van de gezamenlijke portefeuillehouders Ethiek en Digitalisering. Dit heeft nog niet geleid tot goedkeuring van een ander gebruik van biometrische gezichtsherkenningstechnologie dan Catch.
Het is echter niet uit te sluiten dat een individuele politiemedewerker een keer de website van Clearview heeft bezocht en een aantal bevragingen heeft gedaan. Dat betekent niet dat dit systeem operationeel is ingezet. Het is daarnaast, door gebrek aan nadere informatie van zowel BuzzFeed News als Clearview AI, ook niet uit te sluiten dat iemand zich als politiemedewerker heeft voorgedaan.

Vraag 5

Was u op de hoogte van het gebruik Clearview AI binnen de politie en overheid? Zo ja, waarom heeft u de Kamer hier niet over geïnformeerd? Zo nee, hoe is het mogelijk dat ondanks verschillende verzoeken vanuit de Kamer om het gebruik van Clearview AI te inventariseren, dit vervolgens niet naar boven is gekomen?

Zoals eerder aangegeven heeft de politie verklaard geen gebruik te maken van Clearview en dat ook niet van plan is. De informatie waar BuzzFeed News naar verwijst is door mij en door de politie niet te verifiëren. Uiteraard is de politie alert op signalen waaruit zou kunnen blijken dat er toch gebruik is gemaakt van dit systeem. De Functionaris Gegevensbescherming van de politie heeft hierover ook contact met de Autoriteit Persoonsgegevens. Noch in de financiële administratie van de politie, noch bij de afdelingen die betrokken zijn bij digitaal onderzoek is een aanwijzing gevonden dat er gebruik gemaakt zou zijn van Clearview.

Vraag 6

In welke context werd gebruik gemaakt van Clearview AI door de nationale politie? Zijn er ook financiële betalingen verricht aan het bedrijf Clearview AI?

De politie heeft in maart 2020 en in juni jl. naar aanleiding van Wob-verzoeken openbaar gemaakt dat er geen documenten zijn die zien op afspraken over het gebruik van Clearview. In de beantwoording van de vragen van uw Kamer in maart 2020 heb ik mij laten informeren door de politie. Zij zijn niet op de hoogte van contacten met dat bedrijf en hebben geen producten afgenomen. De politie heeft dit ook toen nagezocht, ook in haar financiële administratie.

Vraag 7

Hoe is de afweging gemaakt of de concrete toepassing van gezichtsherkenning en het verwerken van biometrische gegevens wel in lijn was met mensenrechten en de Algemene Verordening Gegevensbescherming (AVG)? Is het gebruik van Clearview AI überhaupt verenigbaar met de AVG?

In de Kamerbrief van 20 november 2019 over waarborgen en kaders bij gebruik van gezichtsherkenningstechnologie schreef de Minister van Justitie en Veiligheid dat in onze democratische rechtsorde en omwille van onze nationale veiligheid het gebruik van technologieën als biometrische gezichtsherkenningstechnologie onderworpen dient te zijn aan duidelijke kaders.4 De bescherming van de persoonlijke levenssfeer is immers een grondrecht. Inbreuk op dat grondrecht – en het vastleggen van iemands gelaat is dat – is alleen toegestaan als aan een aantal wettelijke waarborgen wordt voldaan.
Voor de verwerking van persoonsgegevens die nodig zijn voor de uitoefening van de politietaak is er een speciale wet: de Wet politiegegevens (Wpg). De Wpg biedt de grondslag en nadere regulering voor het verwerken van deze gegevens. Bij de toepassing van gezichtsherkenningstechnologie ten behoeve van identificatie wordt gebruik gemaakt van biometrische gegevens. Biometrische gegevens zijn bijzondere persoonsgegevens waarvoor strengere regels gelden. De politie mag deze gegevens alleen verwerken als dit onvermijdelijk is voor het doel van de verwerking en in aanvulling op het verwerken van andere politiegegevens over de betreffende persoon. Voor een uitgebreidere toelichting op het wettelijke kader verwijs ik u naar de bovengenoemde Kamerbrief.
Het gebruik van Clearview is niet verenigbaar met de wettelijke bepalingen en is in strijd met onze grondrechten. Het verzamelen en verwerken van persoonsgegevens ten bate van strafvordering moet gericht zijn op een concreet doel, moet gebaseerd zijn op de wet, en moet voldoen aan de beginselen van proportionaliteit en subsidiariteit. En hierop moet toezicht mogelijk zijn.
Nu een grondslag voor verkrijging van beelden of biometrische kenmerken met gebruikmaking van Clearview niet aanwezig wordt geacht, hoeft en kan een vraag naar de compatibiliteit van verwerking van dergelijke gegevens met de daarvoor geldende regels niet in detail te worden beantwoord.

Vraag 8

Is er gebruik gemaakt van via Clearview AI gemaakte matches in strafzaken? Zo ja, welke impact heeft dit op de rechtmatigheid van deze zaken?

Nee.

Vraag 9

Kunt u nogmaals beantwoorden welke publieke organisaties er verder gebruik gemaakt hebben van de omstreden gezichtsherkenningssoftware? Welke financiële afspraken zijn er gemaakt met Clearview AI?

Er is mij niets bekend over het gebruik van Clearview door Nederlandse publieke organisaties, dan wel over financiële afspraken met Clearview.

Vraag 10

Welke stappen gaat u ondernemen om te zorgen dat er in de toekomst niet zomaar gebruik kan worden gemaakt van Clearview AI en soortgelijke bedrijven?

Op 20 december 2019 hebben de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming het onderzoek «Toezicht op gebruik van algoritmen door de overheid» aan uw Kamer aangeboden.5 De onderzoekers constateerden op basis van een analyse van wet- en regelgeving geen juridische lacune in de toezichtstaken. Ik zie daarom geen aanleiding tot het zetten van extra stappen.

Vraag 11

Heeft u kennisgenomen van het rapport «The Rise and Rise of Biometric Mass Surveillance in the EU», van de organisatie European Digital Rights (EDRi), waarin het gebruik van biometrische surveillance in drie lidstaten, waaronder Nederland, onder de loep wordt genomen?4 Wat is uw reactie op dit rapport?

Ja, ik heb kennisgenomen van dit rapport. Ik beschouw het rapport als een overzichtsrapportage. De gepresenteerde informatie en de punten van kritiek zijn al eerder gepubliceerd in Nederlandse kranten, op nieuwswebsites en in publicaties. Verschillende leden van uw Kamer hebben hier al vragen over gesteld. Ik ben in de antwoorden op die vragen al ingegaan op de beschreven punten van kritiek. Ik zie geen aanleiding daar iets aan toe te voegen.

Vraag 12

Deelt u de conclusie van het rapport dat de verzameling van biometrische gegevens sterk toeneemt en dat dit vaak niet in overeenstemming is met de AVG, omdat er in de meeste gevallen geen sprake is van zwaarwegend algemeen belang om biometrische surveillance te rechtvaardigen, en burgers ook niet om toestemming wordt gevraagd?

Deze conclusie is te algemeen geformuleerd. Met de snelle ontwikkeling van de technologie neemt de dataverzameling inderdaad sterk toe. Om te voorkomen dat er sprake is van ongebreidelde en ongerichte dataverzameling kent de AVG een aantal waarborgen. Een daarvan is het principe van doelbinding. De algemene regel is dat persoonsgegevens alleen mogen worden verwerkt als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Omgekeerd betekent dit ook dat data niet mag worden verzameld zonder (wettelijk toegestaan) doel. Of de dataverzameling in overeenstemming is met de AVG hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Biometrische surveillance, in de zin van real time gezichtsherkenning, wordt op dit moment in Nederland niet gedaan.

Vraag 13

Wat gaat u ondernemen om de onrechtmatige verzameling van biometrische gegevens een halt toe te roepen?

In de Kamerbrief van 20 november 2019 heeft de Minister van Justitie en Veiligheid duidelijk gemaakt dat het verwerken van biometrische gegevens alleen kan indien daar een wettelijke basis voor is, en indien er vooraf een juridisch en ethische toetsing is uitgevoerd.7 Vanuit de Nederlandse overheid is er daarom geen steun voor het gebruik maken van toepassingen als Clearview die als onrechtmatig worden beoordeeld.
Voor betrokkenen die van mening zijn dat er toch op onrechtmatige basis biometrische gegevens worden verzameld staat binnen Nederland de weg naar de Autoriteit Persoonsgegevens open. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Bij overtredingen kan zij boetes opleggen.
In mijn antwoord op eerdere vragen over Clearview gaf ik aan dat Clearview vooral actief is in de Verenigde Staten. Het is primair aan de autoriteiten in dat land om te bezien of er in strijd met de wet is gehandeld. Inmiddels zien we dat de Amerikaanse politiek op het niveau van de Senaat hier aandacht voor heeft. Als iemand vermoedt dat zijn of haar foto door Clearview wordt gebruikt en zich daartegen wil verzetten, zal men zich tot dat bedrijf of de betrokken toezichthouder in de Verenigde Staten moeten wenden.

Vraag 14

Kunt u elke vraag apart beantwoorden?

Ja.

Vraag 1

Wat is uw oordeel over het bericht dat de datadiefstal bij de GGD veel groter is dan gemeld en dat gedupeerden niet zijn geïnformeerd?1

Ik heb kennisgenomen van het bericht en contact opgenomen met GGD GHOR Nederland. Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd.

Vraag 2

Wanneer werd bekend bij de GGD dat de gegevens van veel meer mensen zijn gestolen dan eerder werd gemeld?

In juni kreeg GGD GHOR Nederland het signaal dat RTL mensen benaderde met de vraag of zij geïnformeerd waren door GGD GHOR Nederland dat hun data deel uitmaakte van de datadiefstal. GGD GHOR Nederland heeft daarop RTL benaderd met de vraag of RTL beschikte over (nieuwe) databestanden gestolen uit de systemen van de GGD. GGD GHOR Nederland heeft RTL twee keer gevraagd om eventuele bestanden met hen of de politie te delen in het kader van het onderzoek en het informeren van getroffen burgers. RTL heeft dit verzoek beide keren op journalistieke gronden naast zich neergelegd.
Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL niet te zeggen. RTL geeft aan dat zij de bestanden eerder dit jaar hebben verkregen en daarvan een tiental personen te hebben gebeld met de vraag of zij zijn geïnformeerd door de GGD. Omdat RTL de bestanden niet wil delen (en stelt deze inmiddels verwijderd te hebben) kan niet worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.

Vraag 3

Hoe komt het dat de GGD onvoldoende in kaart heeft van welke mensen de gegevens zijn gestolen?

GGD GHOR Nederland heeft destijds door externe partijen onderzoek laten doen naar de datadiefstal binnen de systemen CoronIT en HPZone. Uit deze onderzoeken zijn geen aanwijzingen gevonden om te stellen dat de datadiefstal groter is dan gemeld. De resultaten van die onderzoeken zijn gedeeld met de politie.
De politie doet strafrechtelijk onderzoek naar de datadiefstal uit systemen van de GGD onder gezag van het openbaar ministerie. Het onderzoek is lopend en tot nu toe zijn zeven verdachten aangehouden. De politie heeft aan GGD GHOR Nederland de bestanden die aangetroffen zijn bij verdachten doorgegeven. Op basis van die bestanden zijn circa 1.250 mensen door GGD GHOR Nederland per brief geïnformeerd. Een organisatie kan alleen mensen informeren waarvan zij weet dat zij gedupeerd zijn.
Zoals eerder aan uw Kamer gemeld heeft GGD GHOR Nederland direct nadat de datadiefstal in januari bekend werd aanvullende maatregelen getroffen om datadiefstal te detecteren en tegen te gaan.2

Vraag 4

Wanneer bent u op de hoogte gebracht van het feit dat de datadiefstal veel meer mensen betrof dan zijn geïnformeerd? Waarom heeft u de Kamer hier niet van op de hoogte gesteld?

In eerdere brieven heb ik uw Kamer geïnformeerd over de potentiële slachtoffers van de datadiefstal en de communicatie van GGD’en richting de vastgestelde slachtoffers. GGD GHOR Nederland kan de vermeende gedupeerden in het meest recente bericht van RTL niet verifiëren omdat RTL niet is ingegaan op het verzoek van GGD GHOR Nederland om inzage te geven in de gegevens of het bestand te delen.

Vraag 5

Hoe kon het gebeuren dat slechts 1250 mensen zijn geïnformeerd dat hun data is gestolen, terwijl het nu om «vele duizenden tot tienduizenden personen» blijkt te gaan?

Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL niet te zeggen. De 1.250 personen waarvan kon worden vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd. Een ieder die meer informatie heeft roep ik op deze informatie te delen met de politie.

Vraag 6

Hoe gaat u ervoor zorgen dat alle mensen van wie de gegevens zijn gestolen hierover zo snel mogelijk worden geïnformeerd?

Alle personen waarvan is vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd.

Vraag 7

Kunt u een volledig overzicht geven van hoeveel mensen zijn getroffen door de datadiefstal bij de GGD en hoeveel mensen hiervan op de hoogte zijn gesteld?

De politie doet strafrechtelijk onderzoek naar de datadiefstal en heeft aan GGD GHOR Nederland de namen van gedupeerden doorgegeven die zijn aangetroffen bij de betreffende verdachten. Het betreft circa 1.250 mensen en zij zijn allemaal door GGD GHOR Nederland per brief geïnformeerd.

Vraag 8

Hoe staat het inmiddels met de informatieveiligheid bij de GGD, in het bijzonder binnen CoronIT en HPZone Lite? Zijn alle stappen die in de Kamerbrief van januari hierover zijn aangekondigd reeds doorlopen?

Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 2 februari 20213, 12 februari 20214, 23 februari 20215, 23 maart 20216, 13 april 20217, 11 mei 20218, 18 juni 20219, 6 juli 202110 en 13 augustus 202111.

Vraag 9

Wat is er gebleken uit de externe audit die is uitgevoerd? Zijn daaruit nog resterende risico’s op het gebied van informatieveiligheid naar boven gekomen?

Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 11 mei 202112, 13 en 18 juni 202114.

Vraag 1

Hebt u kennisgenomen van de gevolgen van het hackschandaal met behulp van de Pegasus-software waarbij door landen die de software van het Israëlische particuliere bedrijf NSO hebben aangeschaft tal van politici, journalisten, advocaten en mensenrechtenverdedigers in tal van landen hebben afgeluisterd?1 Deelt u de opvatting over soft ware van NSO dat «Targeted surveillance is a serious threat facing human rights defenders globally. Though often carried out by states, this practice is enabled by digital surveillance tools provided by private companies?»2 Zo nee, waarom niet?

Ja, het kabinet heeft kennisgenomen van de berichtgeving.
In algemene zin kan gesteld worden dat de (online) veiligheid van mensenrechtenverdedigers en journalisten een mensenrechtenprioriteit is van het Nederlandse buitenlandbeleid. Onder leiding van Nederland en Estland heeft een coalitie van 32 landen (de Freedom Online Coalition) in 2020 een gezamenlijke verklaring uitgebracht over «the human rights impact of cybersecurity laws, practices and policies». In de verklaring werd onder andere gewezen op mensenrechtenrisico’s die voortkomen uit het gebruik van bepaalde technische middelen, als die op onwettige of willekeurige wijze worden ingezet. Landen werden opgeroepen om wetgeving en beleid voor cyberveiligheid te ontwikkelen die in overeenstemming zijn met internationaal mensenrechtenkader. Potentiële negatieve effecten op kwetsbare groepen en het maatschappelijk middenveld, waaronder mensenrechtenverdedigers en journalisten, zouden tot een minimum moeten worden beperkt.
Bepaalde cybersurveillancegoederen en -technologieën staan ingevolge het potentiële gebruik in civiele of militaire toepassingen onder exportcontrole. Dit geldt ook voor goederen voor het maken en besturen van binnendringsoftware. Nederland spant zich internationaal in om aanvullend cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. In het Wassenaar Arrangement vergt dit consensus van alle deelnemende landen. Deze goederen zijn in de EU gecontroleerd via de EU Dual-Use-verordening. De herziene EU Dual-Use-verordening die op 9 september 2021 in werking treedt, bevat een expliciete uitbreiding van controles op de export van cybersurveillancetechnologie.

Vraag 2

Is u bekend dat ook Nederlandse politici, advocaten, mensenrechtenverdedigers en journalisten via andere landen die Pegasus-software gebruiken zijn gehackt? Kunt u melden om hoeveel personen het gaat en welke beroepen zij hebben? Zo nee, waarom niet?

Nee, dat is het kabinet niet bekend. Het kabinet beschikt niet over de lijst waarop nummers zouden staan van personen die zijn gehackt met het middel. Overigens is ook de status van deze lijst niet geheel duidelijk. Daarnaast beschikt het kabinet evenmin over een lijst van telefoonnummers van Nederlandse politici, journalisten, advocaten en mensenrechtenverdedigers, die dan zou kunnen worden vergeleken met de nummers op de eerdergenoemde lijst.

Vraag 3

Zijn er Nederlandse instellingen die gebruik maken van Pegasus-software?3 Zo ja, welke? Hebt u contact opgenomen met deze instellingen naar aanleiding van dit nieuws?

In het algemeen geldt dat het Nederlandse instellingen niet is toegestaan binnen te dringen in geautomatiseerde werken. Uitzonderingen zijn gemaakt voor justitie en politiediensten ter opsporing van strafbare feiten, en voor inlichtingen- en veiligheidsdiensten ter bescherming van de nationale veiligheid. Deze organisaties kunnen onder omstandigheden en omgeven door waarborgen bijzondere bevoegdheden inzetten. Over de wijze waarop deze organisaties gebruikmaken van hun wettelijk toegekende bijzondere bevoegdheden kan ik in het openbaar geen mededelingen doen. Tot slot kan het, voor zover het mandaat daartoe opdracht geeft en de juridische kaders dat toelaten, ook de Krijgsmacht toegestaan zijn om in het kader van militaire missies en operaties geautomatiseerde werken binnen te dringen.

Vraag 4

Hebben deze Nederlandse instellingen contact opgenomen met NSO, de leverancier? Zo ja, wat was de inzet en wat het resultaat? Deelt u de opvatting dat een einde moet worden gemaakt aan het gebruik van deze software? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 5

Hebt u kennis genomen van de veroordeling tot zes jaar gevangenisstraf voor de Marokkaanse journalist Omar Radi, een veroordeling op basis van chats die zijn verkregen met behulp van een met Pegasus-software gehackte telefoon?4

Het kabinet heeft kennisgenomen van de berichtgeving in de media over veroordeling en vermeende hacks van de telefoon van Omar Radi. Nederland volgt de ontwikkelingen in de rechtsgang tegen Omar Radi. Het kabinet beschikt echter niet over het vonnis en kan niet aangeven op basis van welke bewijslast Omar Radi is veroordeeld.

Vraag 6

Deelt u de opvatting dat het hier om een politieke veroordeling gaat en dat deze moet worden afgekeurd zeker nu blijkt dat gebruik wordt gemaakt van hacking? Zo nee, waarom niet?5

Nederland volgt rechtszaken tegen journalisten in Marokko nauwlettend. Nederland heeft geen beschikking gekregen over de tekst van het vonnis en kan geen uitspraken doen of de veroordeling heeft plaatsgevonden op basis van gegevens verkregen door hacking. Het is aan de Marokkaanse autoriteiten om een eerlijke rechtsgang te garanderen.

Vraag 7

Deelt u de opvatting dat de buitenlandse politiek ten opzichte van Marokko aan herziening toe is? Zo nee, waarom niet? Zo ja, wat betekent dat voor uw houding ten opzichte van de Marokkaanse regering in het licht van «onuitzetbaren» uit Nederland naar het veilige land Marokko? Is Marokko een veilig land en kunnen uitgeprocedeerde asielzoekers worden teruggestuurd?

De betrekkingen tussen Nederland en Marokko zijn veelzijdig en complex en omvatten veel wederzijdse belangen. Deze relatie is, net als relaties met andere landen, voortdurend in beweging. In die brede context blijft Nederland onverminderd inzetten op medewerking van Marokko aan effectieve terugkeer van Marokkanen zonder geldige verblijfstitel.
De beoordeling met betrekking tot Marokko als veilig land is terug te vinden in de brief aan uw Kamer van 6 mei 2021.6

Vraag 8

Deelt u de kritiek van de EU dat gebruik van het Pegasus-software onaanvaardbaar is? Zo ja, op welke manier hebt u daarvan mededeling gedaan en aan wie?6

De wijze waarop in de mediaberichtgeving wordt bericht dat de hacksoftware wordt ingezet, namelijk het onrechtmatig afluisteren van advocaten, politici, mensenrechtenverdedigers en journalisten, acht het kabinet eveneens onaanvaardbaar.

Vraag 1

Bent u bekend met het bericht «Coronavirus en de uitfasering van Interconnecting Leased Lines (ILL) en (WLR) ISDN 15/20/30/30CPA1»? Wat vindt u daarvan?

Ja, ik ben bekend met dit bericht. De uitfasering van de genoemde diensten en onderliggende technieken is de laatste stap in het uitfaseren van de traditionele technologieplatformen van KPN. KPN is sinds 2017 bezig met het afschakelen van deze technieken.2 Het aantal gebruikers van deze traditionele diensten neemt namelijk al jaren gestaag af door de opkomst van digitale alternatieven zoals Voice over IP, hoogwaardige IP-breedbanddiensten en gebruik van mobiele telefonie. Ook is het onderhouden van verouderde technieken en bijbehorende diensten ingewikkeld, benodigde onderdelen van de apparatuur worden schaarser en maatwerkoplossingen bij de klant om de levensduur te rekken vergroten de kans op storingen. Ik vind het een logische en goede ontwikkeling dat de overstap naar hoogwaardigere technieken gemaakt wordt. Dit is in het belang van zowel de telecomaanbieder als de eindgebruiker. Oude technieken in de lucht houden voor een sterk afgenomen aantal klanten past daar niet bij. Uitfasering van diensten die aan het einde van hun levensduur zijn is onvermijdelijk en kan ook niet tegenhouden worden. Ik vind wel dat uitfasering zorgvuldig moet gebeuren en tijdig en duidelijk moet worden aangekondigd, en dat samen met de klanten die nog gebruik maken van de betreffende dienstverlening gekeken moet worden naar een passend alternatief. Dit vraagt om tijdige actie van zowel de telecomaanbieder als de klant zelf. Zoals in het door de vraagsteller aangehaalde bericht is vermeld, heeft KPN reeds op 20 juli 2018 aangekondigd dat deze dienstverlening wordt uitgefaseerd. Tele2, die voor de dienstverlening het KPN-netwerk gebruikt, heeft evenwel gecommuniceerd niet te gaan stoppen met de IDSN-30-dienstverlening.3 Dit heeft gezorgd voor verwarring bij klanten over het al dan niet moeten migreren naar andere technieken. Dit is onwenselijk en vraagt een passende oplossing. In het antwoord op de vragen 2 t/m 4 ga ik hier nader op in.

Vraag 2

Bent u ervan op de hoogte dat voor de uitfasering van ISDN30 en andere technieken door KPN een deadline wordt gehanteerd van 1 april 2022 en dat Tele2 een deadline hanteert van 1 oktober 2021 in plaats van april 2022? Bent u ervan op de hoogte dat belangenverenigingen Federatie Veilig Nederland (waaronder particuliere alarmcentrales) & WDTM (zorgtechnologie, e-health en zorginnovatie) aangeven dat, mede door de coronapandemie, de Tele2-deadline van 1 oktober 2021 veel te krap is, en dat een aantal leden van deze twee belangenverenigingen aangeeft de migratie naar een nieuwe oplossing voor tienduizenden cliënten niet tijdig te kunnen realiseren? Hoe beoordeelt u het risico dat alarmberichten en de daarachterliggende hulpvraag na 1 oktober wellicht niet meer worden ontvangen door de zorg- en alarmcentrales?

Vraag 3

Deelt u de de mening dat het onwenselijk is dat door een niet betrouwbaar netwerk de dienstverlening van de betreffende zorg- en alarmcentrales, veiligheidsrisico’s ontstaan? Zo nee, waarom niet?

Vraag 4

Bent u bereid te kijken naar een tijdelijke oplossing waarbij de continuïteit van de dienstverlening gewaarborgd blijft, zodat de cliënten en hun naasten zich geen zorgen hoeven te maken over de stabiliteit van hun netwerk en dus hun eigen veiligheid? Welke oplossing zou dat kunnen zijn?

Vraag 5

Kunt u deze vragen zo snel mogelijk beantwoorden, in ieder geval ruim voor 1 oktober 2021?

Ja.

Vraag 1

Bent u bekend met het artikel «DNB: Amerikaanse BigTech vormt gevaar voor Europese financiële stabiliteit»?1

Ja.

Vraag 2

Deelt u de zorgen van De Nederlandsche Bank (DNB) over de groeiende rol van Amerikaanse BigTech-bedrijven als Google, Amazon, Apple en Facebook in de financiële sector?

Techbedrijven zijn meer en meer aanwezig in de financiële sector. Dit heeft positieve gevolgen, zoals meer gebruiksgemak en efficiëntere dienstenverlening voor consumenten, maar leidt ook tot risico’s. DNB identificeert een aantal van deze risico’s in het rapport «Veranderend landschap, veranderend toezicht», waaraan in het artikel wordt gerefereerd.2 Zo zijn er risico’s voor de verdienmodellen van financiële instellingen en ziet DNB een drietal concentratierisico’s op het gebied van dienstverlening, distributie en data.
Ten aanzien van het risico voor de verdienmodellen van financiële instellingen vind ik het in zijn algemeenheid goed dat financiële instellingen worden uitgedaagd door toegenomen concurrentie. Dit houdt instellingen scherp en zorgt voor meer innovatie en efficiëntie in de sector. Tegelijkertijd vind ik het verstandig dat DNB aangeeft dat het aan de hand van de in dit rapport geschetste scenario’s, instellingen stevig zal uitdagen op hun strategie en de houdbaarheid van hun verdienmodel in het licht van de digitalisering van financiële diensten. Daarnaast deel ik de observaties van DNB ten aanzien van de concentratierisico’s. Techbedrijven kunnen in zeer korte tijd een dominante positie verwerven in een bepaalde sector. Hierdoor kunnen er problemen ontstaan, bijvoorbeeld doordat instellingen en gebruikers «locked-in» raken bij het gebruik van producten van één dienstverlener als gevolg van hoge kosten en andere obstakels bij het overstappen naar een concurrent. Dit geldt ook voor de financiële sector. Hierbij spelen ook de zorgen over de marktmacht van bepaalde grote techbedrijven over verschillende sectoren heen, waardoor zij over steeds meer data beschikken en hiermee in andere sectoren hun marktpositie verder kunnen versterken.
De Autoriteit Consument en Markt (ACM) heeft vorig jaar ook onderzoek gedaan naar de invloed van BigTech in het betalingsverkeer. Hier is uw Kamer eind vorig jaar over geïnformeerd.3 De risico’s in het DNB-rapport komen overeen met de risico’s die naar voren kwamen in het onderzoek van de ACM.

Vraag 3

Ziet u ook risico’s in de opkomst van Chinese techbedrijven en een dominante positie van die bedrijven in een nieuwe financiële infrastructuur?

In China hebben grote techbedrijven als Ant Group, WeChat Pay en Tencent een sterke positie in de financiële sector. Zoals door DNB beschreven in het rapport, heeft de sterke binnenlandse positie van deze bedrijven zich echter nog niet vertaald in een grote aanwezigheid in de Europese Unie en Nederland. Voor zover zij hier wel actief zijn, richten deze partijen zich op Chinese toeristen en bieden zij momenteel niet actief diensten aan Europese ingezetenen. Daarnaast lijkt het erop dat de Chinese overheid recentelijk zelf over is gegaan tot het beteugelen van de binnenlandse macht van deze bedrijven, wat kan leiden tot een kleinere invloed van deze techbedrijven in het buitenland.
China voert momenteel een pilot uit met de digitale yuan, of e-cny. Deze pilot is alleen beschikbaar voor binnenlandse gebruikers in bepaalde regio’s in China. Het is niet bekend of de Chinese centrale bank de e-cny ook op grote schaal beschikbaar wilt maken voor buitenlandse gebruikers. In een white paper over de e-cny4 geeft de Chinese centrale bank aan dat de e-cny is ontworpen voor gebruik op de binnenlandse betaalmarkt en dat in de toekomst kan worden bezien hoe de e-cny kan aansluiten bij lopende internationale initiatieven om het internationale betalingsverkeer te verbeteren.
Het is lastig te voorspellen welke bedrijven of valuta in de toekomst een grotere rol zullen krijgen in het internationaal financieel systeem. Momenteel heeft de Amerikaanse dollar een dominante rol in het internationaal financieel systeem. Uit data van het Internationaal Monetair Fonds blijkt dat de yuan 2,45% van de wereldwijde reserve vertegenwoordigt, minder dan de Amerikaanse dollar, euro, pond en yen, en vergelijkbaar met de Canadese dollar.5 Volgens het jaarlijks rapport van de Europese Centrale Bank (ECB) over de internationale rol van de euro6 zijn ca. 50% tot 60% van de buitenlandse reserves, schuld en leningen gedenomineerd in dollar en vindt ruim 40% van de internationale betalingen plaats in dollars. Voor de euro gaat het respectievelijk om 15–25% en 35%. De ECB stelt in het rapport dat het mondiaal gebruik van valuta met name wordt gedreven door economische fundamenten zoals de economische stabiliteit, de omvang van de economie en de liquiditeit van financiële markten, en dat de uitgifte van digitaal centrale bank geld naar verwachting maar een beperkte invloed heeft op de internationale rol van valuta.

Vraag 4

Acht u het waarschijnlijk dat China middels financiële innovatie een dominante positie krijgt in het internationale financiële systeem? Kunt u hierbij ook ingaan op de digitale Yuan?

Zie antwoord vraag 3.

Vraag 5

Deelt u in dit kader de zorgen over mogelijke privacyschending, misbruik van marktmacht en het borgen van een vrij en toegankelijk financieel systeem?

De bescherming van (data)privacy van consumenten is van het grootste belang en in het geval van financiële instellingen onderdeel van een breder begrip van veiligheid en vertrouwen in de financiële sector. Alle bedrijven die in de Europese Unie diensten aanbieden, inclusief Amerikaanse en Chinese partijen, dienen zich daarom te houden aan de geldende regelgeving, waaronder wetgeving ten aanzien van privacy zoals de Algemene Verordening Gegevensbescherming (AVG). Recentelijk zijn er een aantal hoge boetes uitgedeeld aan grote techbedrijven voor het niet naleven van de AVG. De Luxemburgse privacywaakhond heeft bijvoorbeeld onlangs een boete van bijna € 750 miljoen aan Amazon uitgedeeld.7 De Autoriteit Persoonsgegevens heeft daarnaast onlangs het Chinese TikTok beboet voor het overtreden van de AVG.8
Het kabinet deelt de zorgen omtrent de mogelijke concentratie van marktmacht van grote techbedrijven in de financiële sector zoals omschreven in zowel het rapport van DNB, als het rapport van de ACM. Deze zorgen spelen overigens niet alleen in de financiële sector, maar ook in andere sectoren en markten. Sinds 2019 pleit het kabinet daarom voor toevoegingen aan het mededingingsinstrumentarium om met de marktmacht van grote techbedrijven om te kunnen gaan.9 Dit was aanleiding voor het opstellen van een gezamenlijk non-paper met Frankrijk ten aanzien van het aanpakken van te dominante marktposities van digitale platforms.10 De Nederlandse inzet heeft zijn vruchten afgeworpen; op 15 december 2020 heeft de Europese Commissie een voorstel gedaan voor de Digital Markets Act, waar in het antwoord op vraag 7 nader op in wordt gegaan.

Vraag 6

Hoe beoordeelt u de huidige samenwerking tussen financiële toezichthouders, cybersecurity-instellingen, mededingingsautoriteiten en privacywaakhonden? Welke verbeteringen zijn mogelijk en welke wetgeving moet hiervoor aangepast worden?

Het feit dat zowel de ACM, als DNB over dit specifieke onderwerp onderzoeken hebben gepubliceerd laat zien dat dit onderwerp de aandacht heeft van de toezichthouders. De conclusies die zij trekken zijn ook gelijksoortig – beide geven aan noodzaak te zien voor Europese regelgeving, meer samenwerking tussen toezichthouders en zelfs centralisatie van toezichttaken op EU-niveau.
Gezien de grootte van bepaalde techbedrijven en het feit dat zij in de gehele Europese Unie hun diensten aanbieden, vind ik het ook van groot belang dat op Unieniveau wordt gekeken naar de wijze waarop risico’s van techbedrijven voor de financiële sector kunnen worden weggenomen. In dit kader heeft de Europese Commissie een aantal nieuwe wetgevingskaders geïntroduceerd. Allereerst is het Digital Services Act-pakket gepresenteerd.11 Dit pakket bevat meerdere verordeningen om online platformen beter te reguleren. Binnen dit pakket zorgt de Digital Markets Act ervoor dat markten die door grote techbedrijven worden beheerst, competitief en eerlijk blijven. Hierin wordt ook toezicht op deze partijen geregeld, en de samenwerking tussen verschillende EU-lidstaten op dit gebied. Zoals eerder aangegeven in het BNC-fiche over dit pakket, is het kabinet positief over dit pakket.12 Het kabinet blijft zich in de onderhandelingen inzetten voor zo effectief mogelijke regulering. Zo werd recent nog een non-paper samen met Frankrijk en Duitsland gepubliceerd over het bestendigen van de Digital Markets Act.13
Ten aanzien van de financiële sector heeft de Commissie, als onderdeel van het Digital Finance-pakket, onder andere een Verordeningsvoorstel voor digitale operationele weerbaarheid in de financiële sector gepubliceerd (DORA).14 Hierin zijn onder meer regels opgenomen ter beheersing van eventuele financiële stabiliteitsrisico’s die voortkomen uit het uitbesteden van belangrijke ICT-processen aan derde dienstverleners, en is er een «oversight framework» voorgesteld waarbij de Europese Toezichthoudende Autoriteiten een mandaat krijgen om te interacteren met grote kritieke derde dienstverleners, waaronder een aantal techbedrijven. Daarnaast heeft de Commissie in de Retail Payments-strategie aangegeven dat, met het oog op de herziening van de betaaldienstenrichtlijn in 2022, onderzocht wordt of bepaalde niet-gereguleerde (technische) dienstverleners onder toezicht zouden moeten vallen, en of er noodzaak is om nieuwe regelgeving te introduceren om de toegang tot technische betaalinfrastructuren, zoals NFC-chips in telefoons, beter te regelen.15 Hierbij geeft de Commissie ook aan specifiek te gaan kijken naar de samenwerking in het toezicht in het betalingsverkeer. In reactie op het eerdergenoemde ACM-onderzoek heb ik tevens aan uw Kamer aangegeven dat er in de nationale evaluatie van de implementatie van de herziene betaaldienstenrichtlijn (PSD2) ook aandacht zal zijn voor deze aspecten. Tenslotte is er in het voorstel voor een Verordening voor markten in crypto-activa (MiCA) aandacht voor zogenaamde stablecoins, waaronder bijvoorbeeld Diem (waar Facebook bij betrokken is).16 Zoals aangegeven in de BNC-fiches over de eerdergenoemde voorstellen, is het kabinet ook positief over deze beleidsvoornemens.17

Vraag 7

Deelt u de analyse dat er een gezamenlijk beleid moet komen, waarin het toezicht op techbedrijven geregeld is? Welke stappen moeten hiervoor op nationaal en Europees niveau genomen worden?

Zie antwoord vraag 6.

Vraag 8

Staan buitenlandse techbedrijven volgens u onder voldoende financieel toezicht? Bent u het eens dat de Europese bankenautoriteit een centrale rol moet spelen bij het toezicht op partijen die buiten het financieel toezicht staan?

Zoals aangegeven in het antwoord op vraag 6 en 7, wordt er momenteel op EU-niveau gewerkt aan aanpassingen in regelgeving en toezicht. Het kabinet is, zoals beschreven in de bijbehorende BNC-fiches, voorstander van deze beleidsvoornemens, omdat het kabinet het met de Commissie eens is dat er op het gebied van operationele weerbaarheid en het betalingsverkeer een risico is dat er onvoldoende toezicht is op techbedrijven.
Het kabinet is van mening dat, waar dit een toegevoegde waarde heeft en dit effectiever en efficiënter is dan op nationaal niveau, meer financiële toezichttaken op EU-niveau belegd kunnen worden. Het hangt hierbij af van de specifieke onderliggende regelgeving en toezichttaken of dit dan bij de Europese Bankautoriteit zou moeten worden belegd, of bij één van de andere Europese Toezichthoudende Autoriteiten of de ECB.

Vraag 9

Deelt u de opvatting dat technologische innovatie ook kansen biedt voor de financiële sector? Welke nationale en Europese wet- en regelgeving staat hierbij nog in de weg? Kunt u hierbij ook ingaan op privacywetgeving?

Ik ben ook van mening dat technologische innovatie kansen biedt voor de financiële sector. Om deze reden heb ik, samen met de Staatssecretaris van Economische Zaken en Klimaat, in 2020 het FinTech-actieplan opgesteld, met daarin allerlei beleidsmaatregelen om technologische innovatie in de financiële sector op een verantwoorde wijze aan te jagen en de Nederlandse FinTechsector te helpen ontwikkelen.18 Ook de toezichthouders hebben aandacht voor technologische ontwikkeling. Via programma’s als het iForum, de Innovationhub en Maatwerk voor Innovatie werken zij samen met de sector om te kijken waar er, binnen de grenzen van de regelgeving, verder geïnnoveerd kan worden.
Voorafgaand aan het opstellen van het FinTech-actieplan heb ik onderzoek laten doen naar de Nederlandse FinTech-sector. Uit deze FinTech Census19 bleek dat Nederland goed op de kaart staat als FinTechland. Gevraagd naar welke mogelijke belemmeringen FinTechbedrijven zien, wordt met name de AVG genoemd, en in mindere mate wetgeving ten aanzien van tegengaan van witwassen en het financieren van terrorisme en het beleid ten aanzien van beloningen. Hoewel het kabinet begrijpt dat deze regels als belemmerend ervaren kunnen worden als het gaat om innovatie, gaat het hier om onderwerpen die dermate belangrijk zijn voor de maatschappij dat het belang van innovatie hieraan nevengeschikt kan zijn.

Vraag 10

Hoe kijkt u aan tegen de houdbaarheid van het huidige verdienmodel van banken? Deelt u de analyse dat banken drastisch moeten innoveren om te overleven?

Ik vind een weerbaar verdienmodel voor banken van belang. Onder meer omdat dit noodzakelijk is voor de opbouw van buffers, waarmee banken tegen een stoot kunnen in slechtere tijden. Dit komt ook de soliditeit van het financieel stelsel als geheel ten goede. De markt voor bancaire activiteiten wordt echter uitdagender. Nederlandse banken zijn voor een groot deel van hun inkomsten afhankelijk van de rente-inkomsten. DNB geeft in het jaarverslag over 202020 aan dat het voor banken een forse uitdaging is om lagere rente-inkomsten te compenseren.
Onder meer door de lage rente staan de rente-inkomsten van banken onder druk. Banken lenen namelijk zowel geld in als uit: zij streven ernaar om daarbij hun rentemarge, het tariefverschil tussen in- en uitleenrentes, op peil te houden. Door de lage rente is het voor banken lastig om die daling volledig door te rekenen in hun depositotarieven, omdat deze dan negatief zouden worden. Vooral banken die sterk afhankelijk zijn van hun rentemarge zullen dit voelen in hun winsten. Die banken zullen dan mogelijk op zoek gaan naar andere inkomstenbronnen of moeten kosten gaan besparen. Innovatie kan hierbij een belangrijke rol spelen.

Vraag 11

Kunt u een appreciatie geven op het rapport van DNB «Veranderend landschap, veranderend toezicht. Ontwikkelingen in de relatie tussen BigTechs en financiële instellingen»?2 Kunt u daarbij specifiek ingaan op de vier scenario’s die geschetst worden voor de relatie tussen BigTechs en financiële instellingen?

Het rapport van DNB biedt een nuttig denkkader voor de implicaties van de toenemende rol van techbedrijven op de Nederlandse bank- en verzekeringsmarkt en voor het toezicht op de financiële sector. Hoewel in de Europese financiële sector techbedrijven wortel hebben geschoten in met name het cloudgebruik en bij het mobiel betalen, laat het rapport zien dat in andere jurisdicties de reikwijdte van techbedrijven in de financiële sector al groter is.
Het rapport geeft aan de hand van een viertal scenario’s inzicht in de ontwikkelingen die ons mogelijk te wachten staan. Het rapport laat zien dat alle scenario’s kansen en risico’s met zich meebrengen. Mijn inschatting is dat scenario 4 («traditional finance») het meest aansluit bij de huidige situatie. De winstgevendheid van banken en verzekeraars staat onder druk en de innovatie is in Europa nog relatief beperkt, zoals ik hiervoor al constateerde.
De ordening van de financiële sector wordt in sterke mate gestuurd door regulering. Er zijn grote publieke belangen die geborgd moeten worden, zoals financiële stabiliteit, consumentenbescherming en privacy. Het is aan wetgevers en toezichthouders om er ook bij een veranderend landschap voor te zorgen dat deze publieke belangen geborgd blijven. Vanuit publieke belangen geredeneerd, zowel vanuit het perspectief van dienstverlening naar klanten, als voor de financiële stabiliteit, is meer dynamiek wenselijk, mits onder de juiste randvoorwaarden. Techbedrijven kunnen een leidende rol innemen om te zorgen voor die dynamiek (conform scenario 3), maar die kan ook uit de financiële sector zelf komen (conform scenario 1), of een combinatie van beiden (conform scenario 2). Afhankelijk van de keuzes die zowel de financiële sector als techbedrijven op dit vlak maken, zal ik, in samenwerking met de toezichthouders en gesteund door de initiatieven in Europees verband, mij inzetten om potentiële negatieve gevolgen die met de verschillende scenario’s gepaard gaan te mitigeren.

Vraag 1

Kent u het bericht van de NOS van 23 juni jl.?1 Aan welke eisen moeten alle apps van de overheid precies voldoen volgens de toegankelijkheidsverklaring?

Ja, ik ben bekend met het bericht van de NOS van 23 juni jl.
De eisen zijn vastgelegd in de Europese Norm (EN) 301 549. In de laatste versie 3.2.1 van deze norm worden de eisen voor mobiele applicaties («apps») beschreven in hoofdstuk 11 Software.2

Vraag 2

Erkent u het belang van digitale toegankelijkheid voor mensen met een beperking?

Ja, ik vind het belangrijk dat iedereen, dus ook mensen met een beperking, (overheids)websites en (overheids)apps moet kunnen raadplegen die toegankelijk zijn. Dat iedereen moet kunnen meedoen, ook in de digitale samenleving, is een speerpunt geweest van mijn beleid van de afgelopen jaren3. Het verbeteren van de digitale toegankelijkheid is daar een belangrijk onderdeel van.

Vraag 3

Kunt u aangeven hoeveel apps van de overheid toegankelijk zijn, dan wel een toegankelijkheidsverklaring hebben? Welke apps zijn dit?

Op basis van de Europese webtoegankelijkheidsrichtlijn 2016/2102 zijn overheden sinds 23 juni 2021 wettelijk verplicht om voor hun mobiele applicaties (apps):
Op 23 juni waren in totaal 108 toegankelijkheidsverklaringen voor apps gepubliceerd. Elke app heeft een nalevingsstatus.
De aantallen per nalevingsstatus op 24 juni, 9:40 uur:
voldoet volledig
1
voldoet gedeeltelijk
22
eerste maatregelen genomen
27
voldoet niet
58
Bijlage 14 bevat een gedetailleerde beschrijving van de betekenis van de nalevingsstatussen en de gevraagde lijst met apps.

Vraag 4

Wat gaat u doen om de digitale toegankelijkheid te verbeteren?

Medeoverheden en overheidsorganisaties zijn zelf verantwoordelijk voor het toegankelijker maken van hun websites en apps. Daarmee ligt de verantwoordelijkheid waar die hoort: bij de eigenaar. Mijn ministerie biedt, via het expertisecentrum DigiToegankelijk van Logius, hulpmiddelen, advies en ondersteuning.
Met een subsidie aan de VNG is begin dit jaar een bestuurlijk aanjaagteam geformeerd dat het belang van digitale toegankelijkheid onder de aandacht brengt bij gemeentebestuurders en bij marktpartijen (de leveranciers waar gemeenten deze software inkopen). Daarnaast ondersteunt het aanjaagteam de gemeenten ook bij de uitvoering in het toegankelijk maken van websites en apps. Een ander aanjaagteam benadert in opdracht van DigiToegankelijk de overige overheden.
Overheden zijn verplicht om gestandaardiseerde toegankelijkheidsverklaringen te publiceren. Daarmee wordt inzichtelijk hoe ze presteren op het gebied van digitale toegankelijkheid. Bestuursorganen met een toezichthoudend mandaat, waaronder gemeente- en waterschapsraden en provinciale staten, kunnen deze verklaringen gebruiken om invulling te geven aan hun toezichtrol. In het wetsvoorstel digitale overheid wordt het toezicht op de naleving formeel geregeld.

Vraag 5

Kunt u toezeggen dat alle nieuwe overheidsapps voldoen aan de toegankelijkheidseisen zodat overheidsapps beschikbaar en toegankelijk zijn voor iedereen?

Uiteraard ga ik door met het stimuleren dat alle overheden werk blijven maken van de toegankelijkheid van hun websites en apps en dat zij daarover verantwoording blijven afleggen.

Vraag 1

Bent u bekend met het feit dat Russische hackers toegang hadden tot de politiesystemen door een hack?1

Ik heb kennisgenomen van de berichtgeving door de Volkskrant. Het is algemeen bekend dat (buitenlandse) statelijke actoren voortdurend proberen bij (overheids)organisaties binnen te dringen om toegang te krijgen tot organisatiegeheimen of gerubriceerde (staatsgeheime) informatie.
Het is geen geheim dat Nederland en andere Westerse landen in het vizier staan van onder meer Russische en Chinese inlichtingendiensten. Alle betrokken organisaties zijn zich bewust van de digitale dreigingen. Vanwege staatsveiligheid kan ik geen uitspraken doen over de specifieke maatregelen die de onder mij ressorterende diensten treffen.
Voor zover uw vragen zien op concrete incidenten met statelijke actoren zoals die in de berichtgeving van de Volkskrant worden beschreven, kan ik op deze vragen geen antwoord geven.

Vraag 2

Wat vindt u van de uitspraak dat de politiesystemen voor de hack slecht beveiligd waren?

Zie antwoord vraag 1.

Vraag 3

Hoe kan het zijn dat de politiesystemen zo slecht beveiligd waren?

Zie antwoord vraag 1.

Vraag 4

Waarom monitorde de politie niet structureel of de systemen veilig waren?

Zie antwoord vraag 1.

Vraag 5

Onderzoekt de regering structureel of de digitale beveiligingsystemen op orde zijn? Zo nee, waarom niet en bent u hiertoe bereid? Zo ja, zijn er meer overheidssystemen die slecht beveiligd zijn? Zo ja, welke?

Overheidsorganisaties zijn gehouden aan de Baseline Informatiebeveiliging Overheid (BIO). In de BIO worden eisen gesteld aan het beoordelen van de technische naleving van beveiligingsbeleid en -normen. Door middel van kwetsbaarheidsanalyses, pentesten of ethische hackoperaties (Red Teaming) wordt de feitelijke veiligheid van kritische systemen en netwerken regelmatig beproefd.
Daarnaast is door CISO Rijk in samenwerking met een groep experts binnen de rijksoverheid en de departementen een handreiking opgesteld en vastgesteld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksoverheidsorganisaties. Dit wordt waar nodig ondersteund met praktische tooling.

Vraag 6

Wat vindt u van de keuze van de politie om de Russen er eerst uit te jagen, gelet op het feit dat we niet weten waar de Russen naar op zoek waren?

Zie antwoord vraag 1.

Vraag 7

Klopt het dat Russische hackers ook toegang hebben proberen te krijgen tot de digitale systemen van het Openbaar Ministerie (OM)? Zo ja, is dit gelukt?

Zie antwoord vraag 1.

Vraag 8

Klopt het dat de politie zelf controle houdt over het oplossen van de hack en dat daarom kostbare tijd verspild is?

Zie antwoord vraag 1.

Vraag 9

Klopt het dat het aandringen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) tot snelle beveiligingsmaatregelen bij de politie tot frictie leidde?

Er is geen sprake van frictie tussen de politie en veiligheidsdiensten, de samenwerking verloopt goed.
Net als iedere andere organisatie binnen het veiligheidsdomein, neemt ook de politie zowel organisatorische als technische maatregelen om blijvend te anticiperen op de veranderende dreigingen in de buitenwereld. Zoals in de bijlage bij het recent verstuurde Halfjaarbericht Politie staat, investeert de politie in de verbetering van detectie- en incidentenrespons2.
Er wordt onafgebroken geïnvesteerd in het steeds beter en sneller te kunnen omgaan met (pogingen tot) hacks. Zo heeft de implementatie van EDR (Endpoint Detection & Response) het afgelopen jaar een significante bijdrage geleverd aan de digitale veiligheid van de politie.

Vraag 10

Is er vaker frictie tussen de politie en veiligheidsdiensten?

Zie antwoord vraag 9.

Vraag 11

Wat doet u eraan om deze frictie op te lossen, zodat er in de toekomst sneller gehandeld kan worden bij hacks?

Zie antwoord vraag 9.

Vraag 12

Klopt het dat niet alle voorgestelde beveiligingsvoorstellen zijn ingevoerd door de politie?

Zoals u zult begrijpen kan ik om veiligheidsredenen in het openbaar geen antwoord geven op deze vragen.

Vraag 13

Welke beveiligingsmaatregelen zijn nog niet ingevoerd bij de politie?

Zie antwoord vraag 12.

Vraag 14

Wat is het gevolg van het nog niet invoeren van beveiligingsmaatregelen op de digitale weerbaarheid van de politie?

Zie antwoord vraag 12.

Vraag 15

Zijn de belangrijkste data van de politie nu wel veilig? Zo nee, welke data zijn niet veilig en wat doet u eraan om dit zo snel mogelijk op te lossen?

Geen enkele organisatie kan zich voor 100% wapenen tegen hacks of andere ongeoorloofde toegang tot systemen. Door een combinatie van verschillende maatregelen, van geavanceerde beveiligingsoplossingen tot personeel dat getraind is in en bekend is met technieken voor social engineering, wordt het beveiligingsniveau zo hoog mogelijk gehouden. Hierop wordt dan ook voortdurend ingezet door de politie.
De politieorganisatie heeft gezien de aard van de organisatie te maken met zogeheten Advanced Persistent Threats (APT). APT is een verzamelnaam voor dreiging door een groep aanvallers die niet alleen over geavanceerde technische middelen en voldoende geld beschikt, maar ook een sterke motivatie heeft om organisatiegeheimen of gerubriceerde (staatsgeheime) informatie te bemachtigen. Er zijn specifieke kenmerken (de Indicators Of Compromise, IOC) te onderscheiden van een aanval vanuit Advanced Persistent Threats. Deze IOC’s worden voortdurend vertaald naar detectie- en monitoringoplossingen zoals het optimaliseren van een Security Information & Event Management Systeem (SIEM).
Digitale kwetsbaarheid en hackpogingen om misbruik van te maken van die kwetsbaarheid nemen overal toe en de impact van hack- en ransomware aanvallen wordt steeds zichtbaarder. Met het Programma Cyber Security richt de politie zich op het digitaal weerbaarder maken van de politieorganisatie door onder andere extra beveiligingsmaatregelen te implementeren en bewustwording over de digitale dreigingen te vergroten. Daarbij wordt bijvoorbeeld geïnvesteerd in de verbetering van detectie- en incidentrespons.

Vraag 16

Bent u bereid om structureel ethische hackers in te zetten om te zoeken naar gaten in de digitale systemen?

Binnen de politie worden – net als bij vrijwel alle overheidsorganisaties – ethische hackers ingezet. Dit wordt gedaan in de vorm van Red Teaming. Red Teaming zorgt voor een analyse van zwakke plekken en kwetsbaarheden in (hoog-risico) organisaties vanuit het perspectief van de opponent. Het geeft inzicht in de werkwijze van de tegenstander en in het beveiligingsniveau van de organisatie. Met dit inzicht kunnen op strategisch-, tactisch- en operationeel niveau beleidsbeslissingen worden aangescherpt en kan de veiligheid binnen de organisatie verder worden vergroot.