Vraag 1

Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1

Ja.

Vraag 2

Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?

Het Ministerie van VWS onderhoudt geen klantrelatie met Chipsoft en is daarmee geen onderdeel van de informatievoorziening van Chipsoft naar zijn klanten. Uit informele contacten heb ik begrepen dat Chipsoft momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uitvoert om de oorzaak, omvang en bron van het incident vast te stellen. Naar ik begrepen heb zijn uit voorzorg de verbindingen sinds 8 april 20:00 uur met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons doen laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?

Ik heb van de betrokken zorginstellingen begrepen dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen verwijzingen niet goed plaatsvinden. Echter, ziekenhuizen zijn voorbereid op dit soort incidenten en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel. Deze situatie kan daarmee maar voor een beperkte periode bestaan. Inmiddels zo begreep ik is er sinds vrijdag 17 april weer sprake van het opstarten van functionaliteiten, nadat deze veilig zijn bevonden.

Vraag 4

Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?

Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd. Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 5

Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt?

Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze concentratie van marktmacht zorgt ervoor dat er minder concurrentie is, wat de prijzen op kan drijven en innovatie kan vertragen. Ook in de Definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM3 staat dat het voor nieuwe, innovatieve spelers moeilijk is om voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico's te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in de zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan hun digitale autonomie.
Ik ben echter ook van mening dat de ontwikkeling naar een European Health Data Space (EHDS) bij kan dragen om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er bijvoorbeeld op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en het verplicht maken van een loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden. In de brief Voortgang agenda databeschikbaarheid van 20 januari 20264 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken ga ik de komende tijd aan de slag om te bezien hoe de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarnaast wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden en zal er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel worden opgezet waar signalen aangaande zorg-IT kunnen worden gedeeld en vanuit bestaand instrumentarium kan worden bekeken of en zo ja welke (gezamenlijke) interventie gewenst is.

Vraag 6

Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?

Nederlandse zorgaanbieders zijn momenteel wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat. Daarnaast zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2 richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. Ik ga hier verder op in bij vraag 8. De EHDS draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening5.

Vraag 7

In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?

Het doen van een risicoanalyse is onderdeel van de norm voor informatieveiligheid in de zorg (NEN7510). Aan deze norm dienen zorgaanbieders aantoonbaar te voldoen. Bij het werken volgens de norm hoort ook het nemen van maatregelen om uitval (door bijvoorbeeld een cyberincident) te voorkomen en de impact te beperken. Een belangrijk onderdeel van de norm is bovendien dat er plannen worden gemaakt voor bedrijfscontinuïteit bij onverwachte verstoringen of uitval en dat deze periodiek getest, geëvalueerd en verbeterd worden.

Vraag 8

Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?

De NIS2 richtlijn wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. In de Cyberbeveiligingswet is in artikel 10 opgenomen dat de organisaties die onder deze wet vallen verplicht zijn om beleid vast te stellen over de beveiliging van de toeleveringsketen. Dit betekent dat de zorgaanbieders die onder de reikwijdte vallen niet alleen hun eigen netwerk- en informatiesystemen op orde hebben, maar ook die van hun rechtstreekse leveranciers periodiek toetsen. Daarnaast zullen IT-leveranciers ook rechtstreeks onder de reikwijdte van de wet vallen, onder de sector digitale infrastructuur.

Vraag 9

Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast verplicht de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, om hun leveranciersketen in kaart te brengen en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen.

Vraag 10

In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?

Er wordt vanuit verschillende projecten en programma’s gewerkt aan het realiseren van een duurzaam en veilig gezondheidsinformatiestelsel. Bij de totstandkoming van dit stelsel is het uitgangspunt dat er sprake is van een federatief stelsel waarbij data aan de bron blijft. Voor vertrouwen in het gebruik van gezondheidsgegevens zijn enkele (centrale) vertrouwenscomponenten noodzakelijk. Om te waarborgen dat deze voorzieningen geen centrale point-of-failure worden, is bij de realisatie van de techniek rekening gehouden met de mogelijkheden om de data te kunnen repliceren zonder dat daarmee de betrouwbaarheid van data in het geding komt. Zo wordt het Landelijk Register Zorgaanbieders (LRZa) ingericht om adresseerbare punten per zorgaanbieder op te kunnen vragen zodat de decentrale punten direct met elkaar kunnen uitwisselen. Om te voorkomen dat dit een single-point-of-failure wordt, is er synchronisatie van gegevens mogelijk zodat de adresseerbare punten periodiek kunnen worden geharmoniseerd zonder dat dit de betrouwbaarheid van de gegevens in het geding brengt.
Zoals beschreven bij vraag 5 worden er bij de European Health Data Space- verordening regels opgelegd aan leveranciers om de EPD-markt beter te laten functioneren en concurrentie en innovatie te bevorderden. Daarmee wordt het voor nieuwe toetreders aantrekkelijker om toe te treden tot de Nederlandse markt. Ook wordt ingezet op een betere vraagbundeling en vraagarticulatie en het verbeteren van het inkoopproces.

Vraag 11

Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?

Digitale veiligheid is nooit voor honderd procent te garanderen en dit soort aanvallen zijn nooit helemaal te voorkomen. Wat we wel gezamenlijk kunnen doen, is de risico’s zoveel mogelijk beperken en ervoor zorgen dat eventueel misbruik snel wordt gesignaleerd en doeltreffend wordt aangepakt. Ik vind het belangrijk dat zorgaanbieders regie nemen over hun digitale autonomie. Bij digitale autonomie hoort een inzicht én keuzes jegens kwetsbaarheden in veiligheid, maar ook in eenzijdige afhankelijkheden van dominante marktpartijen. Dit vraagstuk is niet specifiek voor de zorg. Hier kan de zorg dus inspiratie putten uit stappen die in andere sectoren gezet worden. Zonder in contractuele verplichtingen te willen treden, zie ik het als mijn taak de zorgsector in deze bredere maatschappelijke beweging mee te krijgen.

Vraag 12

Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?

In eerste instantie is ChipSoft zelf verantwoordelijk om te communiceren over de bevindingen van het forensisch onderzoek dat zij momenteel, in samenwerking met cybersecurity-experts, laten uitvoeren. Ik volg de zaak uiteraard nauwlettend. Mocht de rapportage van ChipSoft aanleiding zijn voor mij om vanuit mijn systeemverantwoordelijkheid aanvullende acties te ondernemen dan zal ik uw Kamer hierover informeren.

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Wat is uw reactie op het bericht «Google en Microsoft houden energiegebruik van hyperscale-datacenters geheim voor de overheid»?1

De datacentra in kwestie hebben informatie aangeleverd zoals aan hen is gevraagd door de Nederlandse overheid. Op grond van de Europese Energie Efficiëntie Richtlijn (EED)2 en het nationale Besluit van 26 april 20243 zijn datacentra verplicht om informatie aan te leveren, met uitzondering van bedrijfsvertrouwelijke gegevens. Via de website van de Rijksdienst voor Ondernemend Nederland (RVO) en de in te vullen formulieren, heeft de Nederlandse overheid gecommuniceerd dat bedrijfsvertrouwelijke gegevens niet hoefden te worden aangeleverd.
In de loop van 2024 is de Europese regelgeving aangescherpt en van kracht geworden, middels een gedelegeerde verordening4. In de gedelegeerde verordening staat dat bedrijfsvertrouwelijke informatie niet openbaar wordt gemaakt, maar wel dat alle informatie aangeleverd dient te worden. Deze wijziging wordt meegenomen met de implementatie van de richtlijn. Aanvankelijk werd gewacht met de aanpassing van de communicatie en het loket tot de implementatie van de richtlijn gereed zou zijn, maar na verloop van tijd is alsnog gekozen om hier niet op te wachten en de communicatie en het loket aan te passen, gezien ook de rechtstreekse werking van de gedelegeerde verordening.
Deze aanscherping is in de communicatie naar datacentra recentelijk aangepast voor de aanlevering van gegevens in 2026, in lijn met de gedelegeerde verordening. Datacentra wordt gevraagd alle gegevens aan te leveren, en aan te geven of er sprake is van bedrijfsvertrouwelijke gegevens.

Vraag 2

Deelt u de opmerking dat techbedrijven zich moeten houden aan de wet, en daarom hun energieverbruik moeten delen, in lijn met de Energy Efficiency Directive (EED)?

Ja.

Vraag 3

Zijn netbeheerders in bezit van data over het energieverbruik van datacenters? Zo nee, waarom niet? Zo ja, kunt u samen met netbeheerders deze data met de Kamer delen?

Netbeheerders hebben data over, en inzicht in, het energiegebruik van hun klanten, waaronder (individuele) datacentra. Overheden werken daarom veel samen met netbeheerders om goed beleid voor energie-infrastructuur te kunnen maken. Deze gegevens kunnen niet openbaar worden gemaakt, omdat deze worden gezien als bedrijfsgevoelige gegevens en alleen ten behoeve van toezicht en handhaving voor de energiebesparingsplicht worden verstrekt aan de toezichthouders.

Vraag 4

Herkent u de in het artikel genoemde cijfers dat de stroomverbruik van datacenters binnen vijf jaar naar 15 procent van het totale stroom in Nederland zal groeien? Zo nee, welke ontwikkelingen ziet u wel voor zich? Zo ja, kunt u dat toelichten?

De ontwikkeling van datacentra is een langjarig proces en wordt momenteel ingeperkt door netcongestie, stikstofproblematiek en scherper vestigingsbeleid vanuit overheden. Daardoor is er in de huidige situatie weinig ruimte voor substantiële uitbreiding. Recent aangekondigde projecten zijn veelal jaren geleden in gang gezet. Ook sluit dit beeld niet goed aan bij de ontwikkeling van het elektriciteitsverbruik van de datacentra in de afgelopen jaren (zie ook de cijfers van het CBS5). Datacentra geven daarnaast aan dat een dergelijke prognose van de groei van het elektriciteitsverbruik niet realistisch is en niet aansluit bij de ontwikkeling uit de praktijk.

Vraag 5

Deelt u de mening dat een grote inzet op datacenters geen verstandige keuze is, aangezien veel delen van Nederland kampen met netcongestie en de ontwikkelingen en winsten die voortvloeien uit datacenters niet terecht komen bij Nederlandse huishoudens?

Het kabinet erkent de zorgen rondom netcongestie en datacentra. Deze zorgen nemen wij serieus. Tegelijkertijd vormen datacentra de ruggengraat van onze digitale infrastructuur en faciliteren zij essentiële diensten waar Nederlandse huishoudens dagelijks van profiteren. Denk aan online bankieren, digitale zorg, thuiswerken en onderwijs op afstand. Om de beschikbaarheid van een onderscheidende digitale infrastructuur te borgen, is een zorgvuldige bestuurlijke afweging nodig. Daarvoor moet, samen met betrokkenen en gekoppeld aan lopende beleidsvorming op economisch, ruimtelijk, en duurzaamheidsvlak, en met oog voor de maatschappelijke meerwaarde, bezien worden wat nodig en mogelijk is en welke voorwaarden daarvoor gelden.
Toegang tot transportcapaciteit van elektriciteit wordt non-discriminatoir uitgegeven. Er wordt daarbij dus niet gekeken naar wat er met de uitgegeven transportcapaciteit voor elektriciteit gedaan wordt. Netcongestie vormt echter een grote uitdaging. Op veel plekken in Nederland is geen ruimte meer voor nieuwe aanvragen van grootverbruikers van elektriciteit, zoals datacentra. Deze komen dan ook op de wachtrij. De Autoriteit Consument en Markt (ACM) heeft met het prioriteringskader op basis van criteria sectoren aangewezen die maatschappelijk van groot belang zijn, zoals scholen of ziekenhuizen. Grootverbruikers uit deze sectoren krijgen voorrang op de wachtrij bij het verkrijgen van transportcapaciteit wanneer deze beschikbaar is. Datacentra zijn niet opgenomen in dit kader en krijgen dan ook geen voorrang.

Vraag 6

Welke toegevoegde waarde hebben datacenters voor de Nederlandse economie en samenleving, als de winsten doorvloeien naar Amerikaanse techbedrijven en Nederland geen zeggenschap heeft over de technologie?

De digitale infrastructuur, die bestaat onder andere uit telecombedrijven, internetknooppunten, datacentra en cloudaanbieders, levert een substantiële directe én indirecte bijdrage aan de Nederlandse economie6. Het is onlosmakelijk verbonden met ons dagelijks leven, denk aan video vergaderen, online bankieren en mobiel betalen, onze overheidszaken regelen en met veel gemak onze inkopen doen. In het onderwijs en de zorg is digitalisering niet meer weg te denken. Bedrijven kunnen opbloeien dankzij die hoogwaardige digitale infrastructuur. De meerwaarde van datacentra is dat ze een onlosmakelijk onderdeel zijn van de digitale infrastructuur, die een randvoorwaarde is voor toekomstige groei. In de veranderende mondiale context wordt het steeds belangrijker dat Nederland en de EU geopolitiek gezien op eigen benen kunnen staan. Het belang van (open strategische) autonomie neemt steeds verder toe.

Vraag 7

Deelt u de mening dat technologie geen doel maar een middel is, en dat technologische ontwikkelingen zoals «Artificial Intelligence' (AI) ook bredere maatschappelijke doelen, zoals het verlagen van werkdruk en het verminderen van werk, moet dienen? Zo nee, waarom niet? Zo ja, deelt u dan ook de mening dat publieke zeggenschap over AI essentieel is om het als middel te gebruiken?

Het kabinet is van mening dat een technologie en het gebruik van technologie, zoals AI, een middel is of kan zijn in het bijdragen aan oplossingen voor maatschappelijke opgaven. Daarbij zal technologie en het gebruik hiervan zelf doelen, waarden en machtsverhoudingen vormen en doen verschuiven, waardoor middel en doel onvermijdelijk in elkaar ingrijpen. Voor AI is dit niet anders.
Veel AI-oplossingen, die ook relevant kunnen zijn voor productiviteit en maatschappelijk uitdagingen, worden door bedrijven ontwikkeld en aangeboden. Dit is van belang voor het verdienvermogen als onderdeel van het industriebeleid en de uitwerking van de Nationale Technologiestrategie. De implementatie van de Europese AI-verordening draagt er onder meer aan bij dat AI-oplossingen door bedrijven op een verantwoorde manier worden ontwikkeld en toegepast.
Om innovaties te versnellen en kennis publiek-privaat te ontwikkelen en toe te passen zet de overheid specifieke instrumenten in. Een voorbeeld is het AiNed programma van het Nationaal Groeifonds met een groot aantal labomgevingen voor de ontwikkeling van innovatieve AI-toepassingen. Een ander voorbeeld is de realisatie van een AI-fabriek in Groningen. Deze initiatieven moeten maatschappelijke en economische kansen van AI verzilveren, en de publieke belangen bij AI borgen.

Vraag 8

Heeft u zicht op ontwikkelingen op de arbeidsmarkt door de introductie van AI? Zijn er functies die nu of in de komende jaren geraakt worden door AI? Welke stappen worden gezet om mensen die door AI hun baan (zullen) kwijtraken om en bij te scholen voor behoud van werk?

Er wordt momenteel op verschillende plekken data verzameld over AI, het gebruik ervan en de impact op de arbeidsmarkt. De AI monitor van het CBS ontwikkelt statistieken over bedrijven die AI produceren, bedrijven die AI gebruiken, AI-opleidingen inclusief de overgang naar de arbeidsmarkt, en de vraag naar arbeidskrachten met AI-vaardigheden7. In de arbeidsmarktenquêtes van TNO8 worden ook enkele vragen over inzet van AI op werk toegevoegd. Dialogic publiceert daarnaast in opdracht van EZK een overzicht van kengetallen over de onderwijs- en arbeidsmarktstromen van AI en data science. Verder zijn binnen de Nederlandse Skills Survey vragen gesteld over het gebruik van AI op het werk, en de digitale vaardigheden van werkenden. Tot slot zijn er internationale organisaties, zoals de OECD, die onder andere onderzoek hebben gedaan naar de «blootstelling» van bepaalde beroepen aan AI9.
AI kan grote gevolgen hebben voor de arbeidsmarkt, maar deze gevolgen zijn op dit moment lastig te voorspellen. Om potentiële negatieve gevolgen voor de arbeidsmarkt te kunnen mitigeren, is het in de eerste plaats belangrijk mensen te ondersteunen om mee te kunnen in veranderingen van hun werk als gevolg van AI. Werkgevers hebben hierin een wettelijke én initiërende verantwoordelijkheid. Werkgevers, brancheorganisaties en sociale partners zetten al stevig in op leven lang ontwikkelen. Het kabinet heeft oog voor deze veranderingen. De snelle veranderingen van de economie en arbeidsmarkt (o.a. door AI) maakt dat de onzekerheid over werk en inkomen voor mensen toeneemt, terwijl werkgevers ook te maken hebben met grote personeelstekorten en zien dat cruciale vacatures open blijven staan. Talent komt te vaak niet op juiste plek terecht waar het meeste waarde toevoegt.
Leven Lang Ontwikkelen (LLO) is daarbij een prioriteit van het kabinet met een ambitieuze opdracht waaraan € 100 mln. aan structurele middelen is gekoppeld vanaf 2028. Het kabinet hecht belang aan LLO om het hoofd te kunnen bieden aan grote economische en maatschappelijke opgaven. Het huidige LLO-beleid van SZW, OCW en EZK is samengevat in de recente Kamerbrief Voortgang Leven Lang Ontwikkelen.10

Vraag 1

Bent u bekend met het manifest, wereldwijd ondertekend, die oproept om AI-uitkleedsoftware te verbieden?1

Ja.

Vraag 2

Wat is uw reactie op het manifest? Kunt u inhoudelijk reageren op de specifieke oproepen aan beleidsmakers van EU-lidstaten?

Het is goed dat het maatschappelijk middenveld met dit manifest breed aandacht vraagt voor de problematiek rondom nudifying-tools. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. Het bericht dat zoveel mensen slachtoffer zijn geworden is zeer zorgwekkend. Het is onacceptabel om met behulp van AI zonder toestemming mensen uit te kleden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden.
Ten aanzien van de eerste drie specifieke oproepen: op grond van het bestaande straf- en civiele recht kan de nudify-problematiek in Nederland en de EU al grotendeels worden aangepakt. Het gebruik ervan zonder toestemming zal in de praktijk vrijwel altijd strafbaar en/of onrechtmatig zijn. Zo biedt de Nederlandse wetgeving via de artikelen 252 en 254ba Wetboek van Strafrecht voldoende mogelijkheden om strafrechtelijk op te treden tegen personen die met AI applicaties zonder toestemming deepnudes van personen, waaronder vrouwen en minderjarigen, genereren, voorhanden hebben en verspreiden.
Bij het verwerken van persoonsgegevens in deepfakes, zoals gezichts- of stemkenmerken, is verder de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. De AVG verbiedt het maken en verspreiden van deepfakes die persoonsgegevens bevatten, buiten de huiselijke sfeer, zonder een geldige verwerkingsgrondslag. In de praktijk betekent dit dat een deepfake zonder toestemming, vooral wanneer het gevoelige (bijvoorbeeld seksuele) inhoud bevat, in strijd is met de AVG. Personen wiens gegevens onrechtmatig zijn verwerkt in (deepfake)content kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (hierna: AP).
Het gebruik van deepfake-technologie kan onder bepaalde omstandigheden een onrechtmatige daad vormen. Dit is meestal het geval bij de publicatie van pornografische deepfakes die zonder toestemming zijn gemaakt, maar kan ook gelden voor stemimitaties. Bovendien blijkt uit de regeling van het portretrecht in de Auteurswet dat het publiceren van een portret, dat niet op verzoek is gemaakt (wat meestal het geval is bij deepfakes), niet is toegestaan als er een redelijk belang van de geportretteerde is dat zich verzet tegen openbaarmaking (artikel 21 Auteurswet).
De digitaledienstenverordening (Digital Services Act, hierna: DSA) regelt dat hostingsdiensten, waaronder online platforms, verplicht zijn om te voorzien in mechanismen via welke gebruikers meldingen kunnen doen van illegale inhoud die zich op de dienst/op het platform bevindt. De meldingen moeten vervolgens (tijdig) worden beoordeeld en verwerkt. In het geval van illegale deepnudes zal dit betekenen dat zij de betreffende inhoud, zodra zij daarvan kennis hebben, moeten verwijderen. Wanneer de hostingdiensten, waaronder online platforms, dat niet doen riskeren zij aansprakelijkheid.
Daar bovenop geldt voor de zogenaamde aangewezen «zeer grote online platforms» (zoals X, Facebook, Instagram, TikTok, YouTube, Snapchat) de verplichting om zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of de werking van de dienst en daaraan verbonden systemen (waaronder algoritmes en aanbevelingssystemen), te beoordelen en te beperken. Dit omvat risico’s in verband met de verspreiding van illegale inhoud, zoals gemanipuleerde seksueel expliciete afbeeldingen, met inbegrip van inhoud die kan neerkomen op materiaal van seksueel misbruik van kinderen. In dat kader is de Europese Commissie, die primair toezicht houdt op aangewezen zeer grote online platforms- en zoekmachines, onlangs een onderzoek gestart tegen X, in verband met de risico’s voortvloeiende uit de uitrol van Grok in dat platform.2
Het kabinet staat voor een effectieve aanpak van de nudify-problematiek en daar kan een verbod deel van uitmaken. Op dit moment wordt de mogelijkheid van een verbod op het aanbieden van nudifying-tools verkend. Hiervoor is verdere studie nodig. Er is nog weinig bekend over de effectiviteit van een mogelijk verbod, waar dit eventueel opgenomen zou moeten worden, de wijze waarop dit het beste vorm kan krijgen, de handhavingsmogelijkheden en de uitvoeringsconsequenties. Mijn ministerie is momenteel in gesprek met verschillende partijen om te bezien of de aanpak kan worden versterkt.
In de aanpak van dergelijke grensoverschrijdende uitdagingen kan een Europese benadering effectiever zijn dan een nationale. Daarom is het positief dat hierover gesprekken op Europees niveau worden gevoerd. In dat kader is relevant dat de Raad op 13 maart jl. zijn mandaat voor de triloog heeft vastgesteld ten aanzien van de AI-omnibus en een amendement waarbij AI-systemen die non-consensuele expliciete deepfakes genereren (zoals nudify-tools) onder de verboden AI-praktijken in de AI-verordening worden gebracht, heeft gesteund. Op 26 maart jl. heeft het Europees Parlement ingestemd met een dergelijk verbod. Dit betekent dat de onderhandelingen tussen het Europees Parlement en de Raad over de definitieve vorm van een dergelijk verbod kunnen beginnen.3
Voor wat betreft de laatste specifieke oproep geldt dat in het kader van het herziene curriculum voor het primair en voortgezet onderwijs kerndoelen voor Digitale Geletterdheid zijn ontwikkeld. De kerndoelen richten zich onder meer op het herkennen van online risico’s, het omgaan met (ongepaste) content en het bevorderen van digitale weerbaarheid, waaronder het kritisch omgaan met AI-toepassingen. Ook in het middelbaar beroepsonderwijs is aandacht voor digitale geletterdheid, zowel in beroepsgerichte programmaonderdelen als via generieke onderdelen.
Via het Netwerk Mediawijsheid wordt aanvullend ingezet op brede bewustwording en ondersteuning van burgers van alle leeftijden. Het netwerk ontwikkelt informatie, campagnes en lesmateriaal voor leerlingen, docenten, ouders en andere doelgroepen, met aandacht voor online pesten, seksueel grensoverschrijdend gedrag en sextortion.

Vraag 3

Steunt u het manifest? Zo ja, op welke manieren geeft u uitvoering aan de aanbevelingen?

Het is goed dat het maatschappelijk middenveld met dit manifest een duidelijke stem laat horen over de risico’s van zogenoemde nudifying tools. Door gezamenlijk stelling te nemen, maken de betrokken organisaties duidelijk dat dit een vraagstuk is voor iedereen: overheden, technologiebedrijven en de samenleving in het algemeen. Het manifest draagt eraan bij dat mensen zich bewuster worden van hun eigen rol in het tegengaan van dit probleem en spreekt iedereen aan op zijn of haar verantwoordelijkheid om bij te dragen aan een veilige (digitale) omgeving, in het bijzonder voor kinderen en jongeren. Ten aanzien van de uitvoering van de aanbevelingen verwijs ik naar de beantwoording van vraag 2.

Vraag 4

Hoe gaat u de motie-Van der Werf c.s. [Kamerstuk 36 800 VI-80] uitvoeren die vraagt om een onderzoek naar een verbod op dergelijke apps?

Op dit moment wordt de mogelijkheid van een dergelijk verbod onderzocht. Zoals aangegeven in het antwoord op vraag 2, is een verbod op AI-uitkleedapplicaties inmiddels onderdeel van de lopende AI Omnibus-onderhandelingen. Met de voortgangsbrief seksuele misdrijven, die twee keer per jaar wordt verzonden, wordt u verder geïnformeerd over de uitvoering van deze motie.

Vraag 5

Kunt u de wettelijke maatregelen tegen uitkleedsoftware versnellen, en zo spoedig mogelijk met wetgeving komen om AI-uitkleedsoftware te verbieden?

Er is hier sprake is van een maatschappelijk probleem dat zich in grote mate blijft voordoen en dat dit een snelle, voortvarende aanpak vereist. Het onderwerp heeft de aandacht van het kabinet, wat onder andere blijkt uit het coalitieakkoord.4 De mogelijkheden voor de aanpak van AI-uitkleedsoftware worden op dit moment verkend. Een verbod op AI-uitkleedapplicaties is verder onderdeel van de onderhandelingen over de AI-omnibus. Dit vraagstuk is complex en kent helaas geen snelle oplossing. Een zorgvuldige afweging, samen met alle betrokken partijen is noodzakelijk.

Vraag 6

Bent u bekend met de oproep van Spanje, gesteund door Ierland, Frankrijk en Slovenië, om AI-uitkleedsoftware te verbieden in artikel 5 van de Europese AI Act?2, 3

Ik ben bekend met de oproep van verschillende lidstaten om AI-uitkleedsoftware in artikel 5 van de Europese AI Act te verbieden. Als vermeld in de beantwoording van de vragen 2, 4 en 7 is een verbod op AI-uitkleedsoftware inmiddels onderdeel van onderhandelingen over de AI-omnibus.

Vraag 7

Deelt u de analyse van deze landen dat AI-uitkleedsoftware al is verboden in de Europese Unie? Zo niet, bent u bereid te pleiten voor een Europees verbod?

Bestaande Europese wetgeving verbiedt het maken en verspreiden van bepaalde seksueel expliciete beelden. Het gaat hier bijvoorbeeld om beelden van personen zonder hun toestemming of materiaal van seksueel kindermisbruik. Deze wetgeving maakt het vooral mogelijk om achteraf in te grijpen. De Europese ontwikkelingen ten aanzien van dit onderwerp worden meegenomen in de eerdergenoemde verkenning naar een eventueel verbod.

Vraag 8

Bent u bereid om Nederland bij deze groep EU-lidstaten te voegen? Welke expertise en ondersteuning kan Nederland in deze groep bieden, bijvoorbeeld met organisaties als Offlimits aan tafel?

Onderdeel van eerdergenoemde verkenning is het actief aangaan van gesprekken en samenwerking met andere Europese lidstaten. Als aangegeven in de beantwoording van vraag 2 hebben in het kader van de verkenning naar de mogelijkheid van een verbod op het aanbieden van nudifying-tools ook gesprekken met verschillende stakeholders en experts plaatsgevonden. Ik informeer u hier verder over in de voortgangsbrief seksuele misdrijven.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Ukraine Creates UK-Backed «A1» AI Hub to Develop EW-Resistant Drones and Predict Russian Moves»?1

Vraag 2

Naar aanleiding van uw bezoek aan Oekraïne in maart 2026 werd bekend dat Nederland intensief gaat meekijken bij de Oekraïense inzet van drones op het slagveld, om meer te leren over de mogelijkheden voor Nederlandse productie en innovatie van onbemenste systemen; sluit dit aan op het initiatief in de berichtgeving?

Vraag 3

Heeft de Nederlandse industrie toegang tot de beschikbare informatie en zo ja, hoe waarborgt u dat deze informatie eerlijk toegankelijk is voor alle geïnteresseerde marktpartijen?

Vraag 4

Is Nederland ook voornemens om zelf een soevereine database aan te vullen voor het trainen van AI-modellen (al dan niet met Europese partners)? Wordt de Nederlandse industrie aangesloten bij een mogelijk initiatief?

Vraag 5

Ziet u ook een kans om als Nederland koploper in Europa te worden in het ontwikkelen van verantwoorde AI? Wat gaat u op korte termijn initiëren om dit te bewerkstelligen?

Vraag 6

Hoe weegt u het risico van het niet zelf hebben van een soevereine database voor het trainen van AI-modellen en van welke landen verwacht u afhankelijk te zijn?

Vraag 7

Sluit u aan bij de gedachten dat we de standaarden voor militair gebruik van AI niet aan externe machten overlaten, maar dat we die zelf bepalen?

Vraag 8

Ziet u mogelijkheden om aan te haken op het samenwerkingsverband tussen Duitsland en Oekraïne, die hun defensiesamenwerking verder hebben geïntensiveerd door een memorandum te tekenen op het gebied van delen van data van het slagveld, waarbij Duitsland ook toegang krijgt tot real-time DELTA battlefield management system?

Vraag 9

Ziet u het belang van in Europees verband initiatieven organiseren voor een strategisch autonome battlefield management architectuur die interoperabiliteit tussen de (gefragmenteerde) Europese systemen waarborgt?

Vraag 10

Onderneemt Defensie andere initiatieven om een strategisch autonome battlefield management architectuur te maken? Zo niet, kunt u een risicoafweging van afhankelijkheden geven? Zo ja, bent u bereid een plan van aanpak te maken en te delen?

Vraag 11

Kunt u de bovenstaande vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Bent u bekend met de voorgenomen overname van Solvinity Group B.V. door Kyndryl Netherlands B.V., de rol van Solvinity als leverancier van het platform waarop DigiD draait, en de eerdere beantwoording van Kamervragen over deze casus?

Vraag 2

Kunnen de Verenigde Staten volgens u gezien worden als een bondgenoot? Zo nee, waarom niet?

Vraag 3

Acht u het waarschijnlijk dat een NAVO-bondgenoot als de Verenigde Staten doelbewust DigiD of vergelijkbare Nederlandse kritieke digitale overheidsinfrastructuur zou uitschakelen? Graag een onderbouwing op basis van dreiging, intentie, capaciteit, precedent en diplomatieke consequenties.

Vraag 4

Acht u een dergelijk scenario realistisch, of gaat het primair om een theoretische mogelijkheid die in de risicoanalyse wel moet worden meegenomen, maar niet gelijkgesteld mag worden aan een waarschijnlijke dreiging? Graag een expliciet onderscheid tussen «mogelijk», «aannemelijk», «waarschijnlijk» en «urgent».

Vraag 5

Kunt u per juridisch instrument, CLOUD Act, FISA Section 702, Executive Order 12333 en eventuele andere relevante Amerikaanse bevoegdheden, uiteenzetten wat de wettelijke grondslag is, welke autoriteit bevoegd is, welk type gegevens kan worden gevorderd of verzameld, welke rechterlijke toetsing plaatsvindt, of kennisgeving aan de betrokkene, Logius of de Nederlandse Staat verplicht, verboden of beperkt kan zijn en hoe dit zich verhoudt tot de Algemene verordening gegevensbescherming (AVG), verwerkersovereenkomsten en contractuele geheimhoudingsplichten?

Vraag 6

Kunt u expliciet onderscheid maken tussen toegang tot gegevens enerzijds en operationele zeggenschap over systemen anderzijds? Klopt het dat wetgeving zoals de CLOUD Act primair ziet op toegang tot elektronische gegevens en niet zonder meer op het met «één druk op de knop» uitschakelen van infrastructuur?

Vraag 7

Hoe verhoudt de stelling dat Solvinity in beginsel geen toegang heeft tot burgerservicenummers, adres en telefoonnummer van DigiD-gebruikers zich tot de eerdere kabinetsuitspraak dat Amerikaanse autoriteiten «in theorie» toegang kunnen krijgen tot gegevens die door Solvinity in opdracht van de Staat worden verwerkt?

Vraag 8

Bent u van mening dat er momenteel geen gelijkwaardige technologieën zijn op Nationaal/Europees gebied? Zo ja, bent u dan van mening dat hierdoor de continuiteit van de dienstverlening juist onder druk komt te staan?

Vraag 9

Kunt u reflecteren op de gehele Amerikaanse verwevenheid met technologie, zoals de hardware waar de applicaties van Solvinity op draait, de datacenters en eveneens de zeekabels? Zijn deze componenten/diensten ook in handen van Amerikaanse bedrijven? Bent u het daarom eens met de mening dat het nationaliseren van Solvinity geen enkel effect heeft op deze risico’s, gezien de verwevenheid in de keten?

Vraag 10

Welke concrete risico’s bestaan er momenteel volgens u op het gebied van het opvragen van data, inzage in data en het (eenzijdig) stopzetten van dienstverlening, en van welke vormen van dienstverlening maakt de overheid op dit moment gebruik bij niet-Nederlandse of niet-Europese partijen?

Vraag 11

Welke aanvullende (theoretische) risico’s zouden volgens u kunnen ontstaan op deze punten als gevolg van de beoogde overname van Solvinity door Kyndryl?

Vraag 12

Kunt u allen de voorgaande vragen los van elkaar beantwoorden?

Vraag 1

Bent u op de hoogte van de hack bij ChipSoft, het bedrijf dat software voor patiëntendossiers en andere digitale systemen voor ziekenhuizen levert?1

Vraag 2

Kunt u toelichten wat de ernst is van de hack en hoeveel ziekenhuizen, huisartsenpraktijken en eventuele andere zorgverleners zijn geraakt door de hack?

Vraag 3

Wat zijn de gevolgen van de hack voor zorgverleners en hun patiënten, bijvoorbeeld doordat zorginstellingen hun systemen offline hebben moeten halen?

Vraag 4

Is bepaalde zorg uitgesteld vanwege de hack en zo ja, op welke schaal?

Vraag 5

Is er gevoelige data, zoals patiëntgegevens, in handen gekomen van criminelen?

Vraag 6

Hoe verklaart u de verschillende aanpak van ziekenhuizen na de hack, bijvoorbeeld in het wel of niet offline halen van systemen?

Vraag 7

Verschilt de impact van de hack tussen ziekenhuizen die hun gegevens lokaal, hybride of juist in een cloudomgeving opslaan? Kunt u uitleggen welke keuze de meeste weerbaarheid biedt?

Vraag 8

Welke rol speelt de overheid in de afwikkeling van de hack?

Vraag 9

Zijn er alternatieven voorhanden bij een hack als deze, bijvoorbeeld alternatieve software waar ziekenhuizen en andere zorgverleners op kunnen terugvallen?

Vraag 10

Welke eisen gelden er voor leveranciers van cruciale zorg-ICT?

Vraag 11

Is de ketenweerbaarheid op het gebied van ICT in de zorg wat u betreft op orde, onder andere in de domeinen hosting, beheer, en koppelingen? Waarom wel of niet?

Vraag 12

Deelt u de opvatting dat dit geen incident is, maar een symptoom van te grote afhankelijkheid van een paar dominante leveranciers in de zorg, waarbij een incident bij één leverancier meteen een nationale zorgvraag wordt?

Vraag 13

Deelt u de zorgen over de risico’s wanneer één dominante marktpartij de infrastructuur levert voor zorginstellingen of andere essentiële publieke voorzieningen?

Vraag 14

Zijn er maatregelen die u neemt om dergelijke marktdominantie tegen te gaan, bijvoorbeeld door afspraken te maken over het inkoop- en aanbestedingsbeleid in de zorgsector? Waarom wel of niet?

Vraag 15

Hoe zorgt u voor voldoende diversificatie tussen ICT-leveranciers bij zorginstellingen? Is het uw verantwoordelijkheid om monopolievorming in de zorg-ICT tegen te gaan?

Vraag 16

Is het wenselijk dat zorginstellingen individueel ICT-diensten inkopen en hierover onderhandelen? Welke voor- en nadelen ziet u bij een meer gezamenlijke vorm van inkoop?

Vraag 17

Wat is de status van de uitvoering van de motie-Bushoff/Bevers om bij de evaluatie van de Wet vifo te bezien of bij fusies en overnames vanuit het buitenland van digitale zorginfrastructuur vergelijkbare voorwaarden gesteld kunnen worden als bij andere cruciale sectoren, zoals de chip-, energie- en telecomsector?2

Vraag 18

Deelt u de zorgen van de Autoriteit Consument & Markt (ACM) over gesloten datastandaarden bij ICT-aanbieders in de zorg, aangezien systemen daardoor niet goed met elkaar communiceren en zorgaanbieders minder keuze hebben in hun leveranciers, met monopolievorming tot gevolg?

Vraag 19

Wat is de status van de uitvoering van de motie-Bushoff/Kathmann over een routekaart waarlangs ICT-leveranciers in de zorg de komende jaren verplicht worden gebruik te maken van open datastandaarden?3

Vraag 20

Welke structurele problemen in de zorg-ICT legt deze hack bloot? Wie is er aan zet om deze op te lossen?

Vraag 21

Welke maatregelen neemt u om de cyberveiligheid en weerbaarheid van zorginstellingen structureel te vergroten?

Vraag 22

Wat wordt de rol van de Cyberbeveiligingswet, zodra deze is aangenomen, om dergelijke hacks te voorkomen en sneller af te wikkelen? Wat gaat er concreet veranderen in een casus zoals deze?

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en nog vóór het commissiedebat over digitale ontwikkelingen in de zorg van 21 mei 2026 beantwoorden?

Vraag 1

Bent u bekend met het bericht «Ook Grieken overstag, regering wil verbod op sociale media voor kinderen»?1

Vraag 2

Hoe beoordeelt u het voornemen van Griekenland om kinderen tot 15 jaar de toegang tot sociale media te verbieden, mede in het licht van het coalitieakkoord waarin is opgenomen dat wordt gewerkt aan een handhaafbare Europese minimumleeftijd van 15 jaar voor sociale media met privacyvriendelijke leeftijdsverificatie?

Vraag 3

Welke concrete stappen zet het kabinet op dit moment in Europees verband om te komen tot die handhaafbare Europese minimumleeftijd van 15 jaar voor sociale media?

Vraag 4

Erkent het kabinet dat, in het licht van de ontwikkeling dat steeds meer landen overgaan tot een verbod, nu het moment is om tot een gezamenlijke aanpak te komen?

Vraag 5

Trekt Nederland hierbij actief op met andere Europese lidstaten die eveneens willen komen tot strengere regels voor kinderen op sociale media, zoals Griekenland, Frankrijk, en Spanje? Zo ja, op welke wijze?

Vraag 6

Hoe wil het kabinet een Europese minimumleeftijd juridisch en technisch handhaafbaar vormgeven, in het bijzonder in relatie tot de Digital Services Act (DSA) en de door de Europese Commissie ontwikkelde leeftijdsverificatie-aanpak?

Vraag 1

Bent u bekend met de berichtgeving over de cyberaanval op ChipSoft, leverancier van elektronische patiëntendossiers voor een groot deel van de Nederlandse zorginstellingen?1

Ja.

Vraag 2

Kunt u een actueel beeld geven van de aard, omvang en impact van deze aanval, en welke patiënten hierdoor zijn geraakt?

Het Ministerie van VWS onderhoudt geen klantrelatie met Chipsoft en is daarmee geen onderdeel van de informatievoorziening van Chipsoft naar zijn klanten. Uit informele contacten heb ik begrepen dat Chipsoft momenteel samen met een extern team van cybersecurity-experts forensisch onderzoek uitvoert om de oorzaak, omvang en bron van het incident vast te stellen. Naar ik begrepen heb zijn uit voorzorg de verbindingen sinds 8 april 20:00 uur met patiëntportalen die door ChipSoft worden gehost, verbroken. Dit betreft Zorgportaal, HiX Mobile2 en het Zorgplatform. Deze zijn hierdoor tijdelijk niet beschikbaar. Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack ook gegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april 2026 geïnformeerd. De resultaten van het forensisch onderzoek, die van belang zijn voor de hersteloperatie bij zorginstellingen, zullen, zo heeft ChipSoft ons doen laten weten, zo snel mogelijk worden gecommuniceerd. In de tussentijd ondersteunt Z-CERT, als expertisecentrum cybersecurity in de zorg, en biedt hulp aan ChipSoft voor analyse, communicatie en incidentmanagement. Z-CERT informeert en adviseert haar deelnemers over deze situatie.

Vraag 3

In hoeverre heeft deze aanval gevolgen (gehad) voor de continuïteit van zorg, bijvoorbeeld door verminderde toegang tot patiëntgegevens, vertragingen in zorgverlening of het moeten overschakelen op noodprocedures?

Ik heb van de betrokken zorginstellingen begrepen dat de zorgprocessen doorlopen en zorgverleners bij de gegevens van patiënten kunnen. Patiënten kunnen echter wel hinder ondervinden bij het online maken van afspraken, dit gaat nu telefonisch. Daarnaast kunnen patiënten momenteel niet zelf hun dossier inzien Ook is er met name impact op de uitwisseling van gegevens. Tussen zorgverleners, zoals huisarts en ziekenhuizen, kunnen verwijzingen niet goed plaatsvinden. Echter, ziekenhuizen zijn voorbereid op dit soort incidenten en zij hebben hiervoor noodprotocollen die ook in werking zijn getreden. Hierdoor kunnen veel zorgprocessen doorlopen, maar vaak met een noodzakelijke extra inzet van personeel. Deze situatie kan daarmee maar voor een beperkte periode bestaan. Inmiddels zo begreep ik is er sinds vrijdag 17 april weer sprake van het opstarten van functionaliteiten, nadat deze veilig zijn bevonden.

Vraag 4

Zijn er aanwijzingen dat patiëntgegevens zijn ingezien, buitgemaakt of anderszins gecompromitteerd? Hoe wordt dit onderzocht en wanneer verwacht u hierover duidelijkheid te kunnen geven?

Op donderdag 16 april heeft ChipSoft gecommuniceerd met haar klanten dat er bij de hack patiëntgegevens zijn gestolen. Hierover heb ik de Kamer, mede namens de Staatssecretaris van Justitie en Veiligheid, in een Kamerbrief op 21 april geïnformeerd. Ik vind dit een zeer ernstige zaak. ChipSoft moet alles uit de kast halen en de volle verantwoordelijkheid nemen om snel en zorgvuldig te onderzoeken en duidelijkheid te creëren voor patiënten en zorgverleners, zodat mensen weten of hun data gestolen is en om welke data het gaat.

Vraag 5

Hoe beoordeelt u de sterke afhankelijkheid van een beperkt aantal commerciële leveranciers voor cruciale zorg-IT, en hoe worden de risico’s daarvan beperkt?

Op verzoek van de toenmalige Minister van VWS heeft de Nederlandse Zorgautoriteit (NZa) in januari 2025 een rapport uitgebracht: «Sturing op kwaliteit en betaalbaarheid zorg-ICT». Daarin staat dat onder andere in de ziekenhuiszorg een paar grote leveranciers de markt domineren. Deze concentratie van marktmacht zorgt ervoor dat er minder concurrentie is, wat de prijzen op kan drijven en innovatie kan vertragen. Ook in de Definitieve leidraad goedwerkende markten voor zorg-ICT van de ACM3 staat dat het voor nieuwe, innovatieve spelers moeilijk is om voet aan de grond te krijgen, omdat zorginstellingen huiverig zijn om risico's te nemen door met kleine of nieuwe partijen in zee te gaan. Bovendien wordt toetreding tot de Nederlandse markt van nieuwe buitenlandse leveranciers bemoeilijkt door de complexe, internationaal niet te vergelijken bekostigingssystematiek in de zorgsector. Een te grote eenzijdige afhankelijkheid kan risico’s met zich brengen voor de continuïteit van zorg. Zorginstellingen zijn zelf verantwoordelijk om deze risico’s in kaart te brengen en keuzes te maken om invulling te geven aan hun digitale autonomie.
Ik ben echter ook van mening dat de ontwikkeling naar een European Health Data Space (EHDS) bij kan dragen om de markt toegankelijker te maken voor EPD-leveranciers. Om dat te bereiken worden er bijvoorbeeld op Europees niveau harmoniserende regels gesteld aan interoperabiliteit tussen de EPD-systemen en het verplicht maken van een loggingsmechanisme voor gebruik van gegevens door zorgverleners. Ook wordt gekeken hoe het toezicht versterkt kan worden. In de brief Voortgang agenda databeschikbaarheid van 20 januari 20264 is de stand van zaken over de zorg-ICT-markt uiteengezet. Om de risico’s te beperken ga ik de komende tijd aan de slag om te bezien hoe de bewustwording en kennis en expertise bij bestuurders over zorg-ICT vergroot kan worden. Daarnaast wordt samen met partijen onderzocht hoe het inkoopproces verbeterd kan worden en zal er samen met overheidspartijen met een regulerende of toezichthoudende rol in het zorgveld een zogenoemde signaleringstafel worden opgezet waar signalen aangaande zorg-IT kunnen worden gedeeld en vanuit bestaand instrumentarium kan worden bekeken of en zo ja welke (gezamenlijke) interventie gewenst is.

Vraag 6

Welke eisen worden momenteel gesteld aan leveranciers van zorg-IT op het gebied van cybersecurity, weerbaarheid en continuïteit, en in hoeverre zijn deze eisen voldoende gezien de kritieke rol van deze partijen voor ons zorgsysteem?

Nederlandse zorgaanbieders zijn momenteel wettelijk verplicht om te voldoen aan de norm voor informatiebeveiliging in de zorg, de NEN 7510. De NEN 7510 geeft richtlijnen voor controlemaatregelen en stelt eisen aan het informatiebeveiligingssystemen. De norm vereist ook beheersmaatregelen voor bedrijfscontinuïteit en bereikbaarheid. Bij de inzet van ICT-producten die medische gegevens verwerken, eisen zorgaanbieders van de softwareleveranciers van deze ICT-producten dat ook zij voldoen aan de NEN 7510. Softwareleveranciers dienen dit aan te tonen met een certificaat. Daarnaast zullen aanvullende eisen voor cyberweerbaarheid worden gesteld in de NIS2 richtlijn die wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. Ik ga hier verder op in bij vraag 8. De EHDS draagt bij aan toegankelijkheid van de zorg-ICT-markt in Nederland en Europa en betere databeschikbaarheid. Deze verordening gaat de nieuwe eis stellen dat EPD-systemen aan de kaders rondom cyberveiligheid moeten gaan voldoen conform de Cyberweerbaarheidsverordening5.

Vraag 7

In hoeverre zijn zorginstellingen verplicht of gestimuleerd om scenario’s uit te werken voor uitval van essentiële IT-systemen, en hoe wordt geborgd dat zorgverlening doorgang kan vinden bij langdurige verstoringen?

Het doen van een risicoanalyse is onderdeel van de norm voor informatieveiligheid in de zorg (NEN7510). Aan deze norm dienen zorgaanbieders aantoonbaar te voldoen. Bij het werken volgens de norm hoort ook het nemen van maatregelen om uitval (door bijvoorbeeld een cyberincident) te voorkomen en de impact te beperken. Een belangrijk onderdeel van de norm is bovendien dat er plannen worden gemaakt voor bedrijfscontinuïteit bij onverwachte verstoringen of uitval en dat deze periodiek getest, geëvalueerd en verbeterd worden.

Vraag 8

Hoe wordt binnen het beleid rond de implementatie van de NIS2-richtlijn specifiek rekening gehouden met de afhankelijkheid van de zorgsector van externe IT-leveranciers?

De NIS2 richtlijn wordt omgezet in de Cyberbeveiligingswet en het Cyberbeveiligingsbesluit. In de Cyberbeveiligingswet is in artikel 10 opgenomen dat de organisaties die onder deze wet vallen verplicht zijn om beleid vast te stellen over de beveiliging van de toeleveringsketen. Dit betekent dat de zorgaanbieders die onder de reikwijdte vallen niet alleen hun eigen netwerk- en informatiesystemen op orde hebben, maar ook die van hun rechtstreekse leveranciers periodiek toetsen. Daarnaast zullen IT-leveranciers ook rechtstreeks onder de reikwijdte van de wet vallen, onder de sector digitale infrastructuur.

Vraag 9

Ziet u aanleiding om aanvullende eisen te stellen aan leveranciers van kritieke zorg-IT, bijvoorbeeld op het gebied van redundantie, interoperabiliteit of exit-strategieën, zodat zorginstellingen minder kwetsbaar zijn bij uitval of incidenten?

Zorgaanbieders zijn verantwoordelijk voor de afspraken die gemaakt worden met hun ICT-leveranciers. Uit deze verantwoordelijkheid volgt dat zij handelingsperspectieven moeten opstellen op basis van de individuele risicoafwegingen en passend bij de eigen context. In de NEN7510 is de verplichting opgenomen een risicobeoordeling uit te voeren en digitale afhankelijkheden in kaart te brengen. Daarnaast verplicht de Cyberbeveiligingswet (Cbw) organisaties, waaronder zorgaanbieders, om hun leveranciersketen in kaart te brengen en om aan de leveranciers in die keten informatiebeveiligingsnormen te stellen.

Vraag 10

In hoeverre wordt gewerkt aan het verminderen van single points of failure in de digitale infrastructuur van de zorg, en welke concrete stappen worden gezet om diversificatie en alternatieven te stimuleren?

Er wordt vanuit verschillende projecten en programma’s gewerkt aan het realiseren van een duurzaam en veilig gezondheidsinformatiestelsel. Bij de totstandkoming van dit stelsel is het uitgangspunt dat er sprake is van een federatief stelsel waarbij data aan de bron blijft. Voor vertrouwen in het gebruik van gezondheidsgegevens zijn enkele (centrale) vertrouwenscomponenten noodzakelijk. Om te waarborgen dat deze voorzieningen geen centrale point-of-failure worden, is bij de realisatie van de techniek rekening gehouden met de mogelijkheden om de data te kunnen repliceren zonder dat daarmee de betrouwbaarheid van data in het geding komt. Zo wordt het Landelijk Register Zorgaanbieders (LRZa) ingericht om adresseerbare punten per zorgaanbieder op te kunnen vragen zodat de decentrale punten direct met elkaar kunnen uitwisselen. Om te voorkomen dat dit een single-point-of-failure wordt, is er synchronisatie van gegevens mogelijk zodat de adresseerbare punten periodiek kunnen worden geharmoniseerd zonder dat dit de betrouwbaarheid van de gegevens in het geding brengt.
Zoals beschreven bij vraag 5 worden er bij de European Health Data Space- verordening regels opgelegd aan leveranciers om de EPD-markt beter te laten functioneren en concurrentie en innovatie te bevorderden. Daarmee wordt het voor nieuwe toetreders aantrekkelijker om toe te treden tot de Nederlandse markt. Ook wordt ingezet op een betere vraagbundeling en vraagarticulatie en het verbeteren van het inkoopproces.

Vraag 11

Welke andere lessen trekt u uit dit incident voor de bredere digitalisering van de zorg, met name op het gebied van digitale autonomie, en hoe worden deze lessen vertaald naar concreet beleid?

Digitale veiligheid is nooit voor honderd procent te garanderen en dit soort aanvallen zijn nooit helemaal te voorkomen. Wat we wel gezamenlijk kunnen doen, is de risico’s zoveel mogelijk beperken en ervoor zorgen dat eventueel misbruik snel wordt gesignaleerd en doeltreffend wordt aangepakt. Ik vind het belangrijk dat zorgaanbieders regie nemen over hun digitale autonomie. Bij digitale autonomie hoort een inzicht én keuzes jegens kwetsbaarheden in veiligheid, maar ook in eenzijdige afhankelijkheden van dominante marktpartijen. Dit vraagstuk is niet specifiek voor de zorg. Hier kan de zorg dus inspiratie putten uit stappen die in andere sectoren gezet worden. Zonder in contractuele verplichtingen te willen treden, zie ik het als mijn taak de zorgsector in deze bredere maatschappelijke beweging mee te krijgen.

Vraag 12

Kunt u de Kamer op korte termijn informeren over de uitkomsten van het onderzoek naar deze aanval, inclusief de implicaties voor het beleid rondom digitale weerbaarheid in de zorg?

In eerste instantie is ChipSoft zelf verantwoordelijk om te communiceren over de bevindingen van het forensisch onderzoek dat zij momenteel, in samenwerking met cybersecurity-experts, laten uitvoeren. Ik volg de zaak uiteraard nauwlettend. Mocht de rapportage van ChipSoft aanleiding zijn voor mij om vanuit mijn systeemverantwoordelijkheid aanvullende acties te ondernemen dan zal ik uw Kamer hierover informeren.

Vraag 1

Herinnert u zich dat u in het commissiedebat Digitale Infrastructuur en Economie d.d. 8 april aangaf dat het ontbreken van middelen op de begroting de doorslaggevende reden was om niet deel te nemen aan het Europese AI-gigafabriekeninitiatief?

Vraag 2

Klopt het dat in de beslisnota d.d. 23 maart bij de Kamerbrief «Positie van het kabinet ten aanzien van deelname aan het Europese AI-gigafabriekeninitiatief» (Kamerstuk 26 643-1499) staat dat in de StafEZ van 10 maart 2026 is vastgesteld dat binnen de huidige begroting geen ruimte bestaat voor de vereiste financiële verplichtingen?

Vraag 3

Klopt het dat eerst is geconcludeerd dat er geen geld beschikbaar was, en dat pas daarna inhoudelijke argumenten, waaronder een verwijzing naar het rapport-Wennink, zijn gebruikt om dit besluit te onderbouwen? Zo nee, kan de Staatssecretaris dan precies uiteenzetten in welke volgorde de budgettaire en inhoudelijke afwegingen zijn gemaakt?

Vraag 4

Kan de Staatssecretaris alsnog de stukken openbaar maken die ten grondslag lagen aan het overleg in de StafEZ van 10 maart 2026, conform het eerder gedane informatieverzoek van de Kamer gedaan tijdens het commissiedebat Digitale infrastructuur en economie, waaronder memo’s, notities, berekeningen, scenario’s en de stukken waarmee de Staatssecretaris en de betrokken ambtenaren dat overleg zijn ingegaan? Indien volledige openbaarmaking niet mogelijk is, is de Staatssecretaris dan bereid om ten aanzien van het deel waarvan openbaring niet mogelijk is, deze stukken vertrouwelijk ter inzage te geven?

Vraag 5

Herinnert u zich dat u zich zowel in het debat, als in de Kamerbrief betreft de Positie van het kabinet ten aanzien van deelname aan het Europese AI-gigafabriekeninitiatief, beriep op het rapport-Wennink, en dat dat rapport volgens het kabinet geheel in lijn zou zijn met het standpunt van het kabinet om AI-gigafabrieken volledig door de markt te laten financieren?

Vraag 6

Deelt u de mening dat in het rapport-Wennink staat dat «Nieuwe initiatieven [...] zijn (nog) niet volledig privaat te financieren door hoge opstartkosten en lange, onzekere terugverdientermijnen.»?

Vraag 7

Deelt u de mening dat in het rapport-Wennink staat dat «Publieke financiering – en cofinanciering door EU-instrumenten – kan een vliegwieleffect hebben.»?

Vraag 8

Deelt u de mening dat in het rapport-Wennink staat dat «Nederland heeft grootschalige private én publieke investeringen nodig.»?

Vraag 9

Deelt u de mening dat u stelt te handelen in lijn met het rapport-Wennink, terwijl datzelfde rapport expliciet aangeeft dat grootschalige digitale infrastructuur juist níet volledig privaat te financieren is en publieke cofinanciering noodzakelijk is om investeringen los te krijgen? Zo nee, waarom niet?

Vraag 10

Is hier niet gewoon sprake van het gebruiken van het rapport-Wennink als dekmantel voor een besluit dat puur budgettair is genomen? Zo nee, waarom niet?

Vraag 11

Deelt de Staatssecretaris de opvatting dat dit de indruk wekt van «cherry picking»? Zo nee, waarom niet?

Vraag 12

Herinnert u zich dat u zich in het debat ook beriep op het Ecorys-rapport? Kan de Staatssecretaris bevestigen dat Ecorys niet concludeert dat een AI-gigafabriek per definitie niet rendabel of niet zinvol is, maar juist dat de meerwaarde afhangt van ontwerp, gebruiksdoel en strategische inbedding? Waarom wordt dit rapport dan door het kabinet wel gebruikt als argument om af te haken?

Vraag 13

Deelt de Staatssecretaris de opvatting dat ook in dit geval dit de indruk wekt van cherry picking? Zo nee, waarom niet?

Vraag 14

Kan de Staatssecretaris bevestigen dat het kabinet ervan uitgaat dat Nederlandse partijen later ook rekenkracht kunnen inkopen bij AI-gigafabrieken elders in Europa? Waarop baseert het kabinet de aanname dat die capaciteit bij toenemende schaarste daadwerkelijk beschikbaar blijft voor Nederlandse bedrijven, kennisinstellingen en overheden, in plaats van dat Nederland achteraan aansluit in de rij?

Vraag 15

Kan de Staatssecretaris ingaan op de analyse van het The Hague Centre for Strategic Studies dat toegang tot kritieke digitale infrastructuur in toenemende mate afhankelijk is van geopolitieke verhoudingen en dat bij schaarste landen primair hun eigen belangen zullen beschermen? Hoe rijmt de Staatssecretaris dit met de aanname dat Nederlandse partijen bij toenemende vraag en schaarste probleemloos gebruik kunnen blijven maken van rekenkracht in andere lidstaten of daarbuiten?

Vraag 16

Kan de Staatssecretaris bevestigen dat het kabinet kiest voor AI-gigafabrieken die volledig door de markt worden gefinancierd? Hoe realistisch acht de Staatssecretaris dat, gelet op het feit dat het rapport-Wennink juist wijst op achterblijvende private investeringen?

Vraag 17

In de genoemde Kamerbrief schrijft het kabinet dat het kiest voor een ontwikkeling van AI-infrastructuur die meegroeit met de marktvraag; hoe verhoudt zich dat tot de constatering in de onderliggende analyses dat de ontwikkeling van AI-infrastructuur juist sterk aanbodgedreven kan zijn, en dat investeringen in capaciteit zelf vraag, innovatie en ecosysteemvorming aanjagen? Loopt Nederland door deze afwachtende houding niet juist het risico achter te blijven omdat vraag pas ontstaat waar capaciteit al aanwezig is?

Vraag 18

Is de Staatssecretaris, gelet op het feit dat de doorslaggevende overweging blijkens de beslisnota budgettair was en rapporten waarachter het kabinet zich verschuilt het kabinet lijken te tegenspreken, bereid het besluit alsnog te heroverwegen en de Kamer een scenario te sturen waarin Nederland wél, al dan niet gefaseerd, kan aansluiten bij het Europese AI-gigafabriekeninitiatief?

Vraag 19

Kunt u deze vragen in ieder geval voor het tweeminutendebat naar aanleiding van het commissiedebat Digitale Infrastructuur en Economie, een voor een, beantwoorden?

Vraag 1

Hoe beoordeelt u het besluit van het grootste Nederlandse pensioenfonds (ABP) om zich terug te trekken uit Palantir vanwege zorgen over mensenrechten en ethisch verantwoord investeren?1

Vraag 2

Deelt u de zorg dat afhankelijkheid van buitenlandse technologiebedrijven zoals Palantir de digitale soevereiniteit van Nederland kan ondermijnen? Zo nee, waarom niet?

Vraag 3

Kunt u uiteenzetten waar binnen de overheid de diensten en producten van Palantir worden gebruikt en waarvoor deze worden ingezet? Zo nee, waarom niet?

Vraag 4

Hoe beoordeelt u het gebruikmaken door Nederlandse (semi-)overheidsorganisaties van technologie van bedrijven zoals Palantir, waarover ernstige zorgen bestaan over betrokkenheid bij mensenrechtenschendingen? En op welke gronden wordt dit beoordeeld?

Vraag 5

Welke ethische kaders hanteert het kabinet bij de inkoop en inzet van data-analyse- en AI-systemen van commerciële partijen zoals Palantir, en hoe worden deze kaders in de praktijk toegepast en gehandhaafd?

Vraag 6

Welke concrete waarborgen, zoals toezicht, impact assessments en transparantiemechanismen, worden ingezet om te voorkomen dat het gebruik van dergelijke technologie leidt tot discriminatie, profilering of schending van privacyrechten?

Vraag 7

Bent u bereid om aanvullende richtlijnen of toetsingskaders te ontwikkelen voor samenwerking met technologiebedrijven die actief zijn in veiligheids- en surveillancedomeinen, die de digitale soevereiniteit ten goede komen? Zo nee, waarom niet?

Vraag 8

Bent u bereid om, in navolging van het besluit van ABP, voortaan expliciet en vooraf te toetsen of samenwerkingen met technologiebedrijven zoals Palantir verenigbaar zijn met Nederlandse en Europese normen, en deze toets openbaar te maken? Zo nee, waarom niet?

Vraag 9

Zou u deze vragen afzonderlijk van elkaar kunnen beantwoorden?

Vraag 1

Bent u bekend met het artikel «Nederland wil Amerikaanse onbemenste gevechtsvliegtuigen vol AI aanschaffen» van Argos?1

Ja.

Vraag 2

In uw Kamerbrief (Kamerstuk 36 592, nr. 60) geeft u aan: «Bij wijze van uitzondering en omdat ik in deze casus extra waarde hecht aan transparantie, informeer ik uw Kamer vooraf.» Klopt het dat u tot een brief over bent gegaan na vragen van Argos? Zo nee, waarom maakt u dan deze uitzondering?

Het besluit om de Kamer vooraf te informeren is gemaakt omdat ik voornemens ben om een Letter of Acceptance (LOA) te tekenen op 8 april aanstaande en zoals in de brief vermeld, waarde hecht aan transparantie en het tijdig informeren van de Kamer.

Vraag 3

Welke commitment geeft Nederland aan het CCA-programma, nu en in de toekomst, bij het tekenen van de letter of acceptance?

Defensie gaat met het tekenen van de LOA een eenmalige verplichting aan richting de Amerikaanse overheid in de bandbreedte 50–250 miljoen2. Daarmee krijgen Defensie en betrokken kennisinstellingen TNO en NLR als deelnemer aan het programma kennis en toegang tot data over het CCA testprogramma.

Vraag 4

In hoeverre zullen de vergaarde kennis en onderzoeksresultaten uit dit programma intellectueel eigendom zijn van de Nederlandse overheid?

Het programma deelt de experimentele data en analyses van het Amerikaanse testprogramma CCA met Nederland. Op grond van de LOA worden nadere samenwerkingsafspraken, onder andere op gebied van intellectueel eigendom, uitgewerkt.

Vraag 5

Op welke manier zullen de vergaarde kennis en onderzoeksresultaten later gebruikt kunnen worden ter bevordering van een Europees alternatief?

De opgebouwde kennis stelt Defensie in staat om in de toekomst beter geïnformeerde afwegingen te maken t.a.v. toekomstige materiaalverwerving. En geeft Nederland de mogelijkheid om beter geïnformeerd in eventuele andere Europese programma's te kunnen deelnemen, indien dit opportuun is in de toekomst.

Vraag 6

Kunt u aangeven waarvoor het benodigde budget van € 50–100 miljoen wordt gebruikt?

Om als partner in het Amerikaanse programma deel te nemen, betaalt Defensie een Buy in Fee in de vorm van een financiële bijdrage. Defensie en betrokken kennisinstellingen TNO en NLR krijgen als deelnemer aan het programma kennis en toegang tot data over CCA.

Vraag 7

Bent u voornemens om twee testtoestellen aan te schaffen?

Door Defensie worden geen testtoestellen aangeschaft, maar wordt toegang verkregen tot het Amerikaanse CCA-programma.
Oorspronkelijk, voorafgaand aan het ondertekenen van de LOI op 16 oktober 2025, ging Defensie er vanuit dat deelname aan het onderzoeksprogramma mogelijk was door middel van aanschaf van twee testtoestellen. Dit bleek anders, zoals ook in de LOA is verwoord. Er is door de Verenigde Staten gevraagd om een financiële bijdrage ter hoogte van de aankoop van twee testtoestellen voor deelname aan het CCA programma, waarna Nederland de beschikking krijgt over de testdata en analyse. De testtoestellen blijven eigendom van de Verenigde Staten.

Vraag 8

Waarom is de Kamer in de voorgaande Kamerbrief (Kamerstuk 36 592, nr. 56) over CCA niet ingelicht over het aanschaffen van testtoestellen?

Het aanschaffen van testtoestellen is niet aan de orde, zie vraag 7.

Vraag 9

Worden er binnen het ministerie momenteel al vervolgstappen besproken om het inkooptraject van het CCA te vorderen, naast het aanschaffen van de twee testtoestellen? Zo ja, welke?

Nee, daar is hier geen sprake van.

Vraag 10

Op basis van welke gronden kan de Nederlandse overheid nog uit het project stappen?

Na ondertekening van de LOA zullen nadere afspraken gemaakt worden over de inrichting van de Nederlandse deelname middels een Project Arrangement. Volgens de LOA is het mogelijk om uit het project te stappen met inachtneming van annuleringskosten. De details van de annuleringsgronden- en kosten staan in de LOA toegelicht en zijn commercieel vertrouwelijk.

Vraag 11

Welke afspraken zijn daaromtrent gemaakt en welke kosten zijn daarmee gemoeid?

Zie antwoord vraag 10.

Vraag 12

Deelt u de zorg dat de verdere integratie van CCA met de vijfde generatie jachtvliegtuigen onze afhankelijkheid van het Amerikaanse defensie-ecosysteem vergroot? Waarom wel, waarom niet?

De doorontwikkeling van het vijfde generatie jachtvliegtuig staat los van Nederlandse deelname aan dit Amerikaanse CCA programma. Nederland maakt op dit moment geen aanschafkeuze in onbemenste jachtvliegcapaciteit.

Vraag 13

Deelt u de mening dat het onwenselijk is, gezien de huidige geopolitieke ontwikkelingen, dat Nederland verder geïntegreerd raakt in het Amerikaanse defensie-ecosysteem? Indien u deze zorg deelt, kunt u dan uitleggen hoe deze verdere integratie bijdraagt aan het onafhankelijker worden?

Als Nederland en Europa nemen we meer verantwoordelijkheid t.a.v. onze veiligheid en de verdediging van ons eigen continent. In het regeerakkoord is afgesproken om afhankelijkheden van buiten Europa af te bouwen en dat we voorop blijven in het toewerken naar een versterkte Europese pijler binnen de NAVO. Het Kabinet streeft daarom naar een meer gelijkwaardige trans-Atlantische relatie en een meer evenwichtige verdeling van de lasten binnen de NAVO. Echter houdt Defensie belang bij materieel- en industriesamenwerking met de VS, omdat we op bepaalde capaciteitsgebieden voorlopig afhankelijk zijn van kennis, onderdelen en ondersteuning vanuit de VS.

Vraag 14

Bent u ermee bekend dat Anduril nauw samenwerkt met Palantir?

Ja.

Vraag 15

Bent u bekend met de uitspraken van Anduril CEO Palmer Luckey: «So, to me, there's no moral high ground in using inferior technology, even if it allows you to say things like, «We never let a robot decide who lives and who dies,»» en van Palantir CEO Alex Karp «I love the idea of getting a drone and having light fentanyl-laced urine spraying on analysts that tried to screw us.»? In hoeverre bent u comfortabel met het uitbesteden van onze AI-defensiecapaciteiten aan deze personen?

Met deelname aan het programma wil Defensie kennis en data vergaren voor de mogelijke aanschaf, integratie en inzet van CCA in de verdere toekomst. Het gaat hier niet over het uitbesteden van defensiecapaciteiten. Daarnaast ga ik niet in op uitspraken van personen die geen betrekking hebben op CCA of de overeenkomst die ik van plan ben te sluiten met de Amerikaanse overheid.

Vraag 16

Kunt u reflecteren op de uitspraak over Palantir van Italiaanse onderzoeker Francesca Bria in Follow the Money: «Het is een arm van de Amerikaanse veiligheidsstaat: een particulier instrument van geopolitieke macht. Als Europese overheden hun tools kopen, kopen ze niet alleen software: ze geven soevereiniteit op. Als je in zo’n bedrijf investeert, financier je de oorlog tegen Europese democratie.»?

Er is geen sprake van aanschaf van Amerikaans materiaal, enkel deelname aan een programma. Hiermee kan Defensie de benodigde kennis en data vergaren om later de juiste investeringskeuzes te kunnen maken. Door deelname aan het Amerikaanse programma, vergaren we ook kennis die we in Nederland en in Europees verband kunnen benutten of inzetten. Binnen het programma krijgen de kennisinstituten TNO en NLR mogelijkheden voor samenwerking, het opdoen van de nodige kennis en het vergaren van data.

Vraag 17

Hoe verhoudt de samenwerking met deze bedrijven zich tot de verklaring over het gebruik van AI op Responsible AI in the Military Domain (REAIM), welke Nederland wel en de VS niet getekend hebben?

De software is gebaseerd op een open architectuur en geen eigendom van betrokken bedrijven, maar van de Amerikaanse overheid. Defensie behoudt de mogelijkheid om in samenwerking met de Nederlandse en Europese kennisinstellingen en industrie software te ontwikkelen conform de verklaring over Responsible AI in the Military Domain (REAIM).

Vraag 18

Hoe verhoudt de samenwerking zich met de uitspraken van Pete Hegseth, Amerikaanse Minister van Oorlog: «De AI van het Ministerie van Oorlog zal niet woke zijn.» en «Geen domme gevechtsregels, geen moeras van natie-opbouw, geen oefening in het bouwen van democratie, geen politiek correcte oorlogen»?

Defensie voert zijn activiteiten op het gebied van AI uit conform de verklaring over Responsible AI in the Military Domain.

Vraag 19

Heeft het ministerie contact gezocht met Italië, het Verenigd Koninkrijk, dan wel met Japan, om te verkennen wat hun plannen zijn voor onbemenste vliegtuigen en of Nederland daaraan kan bijdragen? Zo nee, waarom niet?

Defensie doet sinds 2023 onderzoek en heeft veelvuldig informeel contact gehad met verschillende partijen. Hieruit blijkt o.a. dat het Global Combat Air Program (GCAP) in een conceptstadium zit met een initiële focus op bemenste zesde generatie vliegtuigen als opvolger van de vierde generatie jachtvliegtuigen van Italië, het Verenigd Koninkrijk en Japan. Dit past nu niet bij de wens van Defensie om kennis te vergaren over onbemenste gevechtsvliegtuigen en daarom is niet formeel de vraag gesteld voor samenwerking.

Vraag 20

In de Kamerbrief van 19 maart schrijft u dat: «[twee Europese samenwerkingsprogramma’s] bieden op dit moment geen mogelijkheden tot deelname aan een kennis- en innovatieprogramma voor onbemenste gevechtsvliegtuigen.»; waarom heeft u er niet voor gekozen om deze in samenwerking met andere landen op te zetten en in plaats daarvan uit te wijken naar de Amerikanen?

Defensie verkent de mogelijkheden van deelname aan programma’s in de ontwikkeling van onbemenste systemen binnen en buiten Europa in het MOBIUS project, zoals vermeld in Kamerstuk 36 592 nr.60. Het doel is waar mogelijk kennis en ervaring op te doen, om in de toekomst beter geïnformeerde materiaalverwerving te kunnen doen. Het Amerikaanse CCA programma biedt nu de kans om kennis, data en analyses in de concept, test en ontwikkelfase te vergaren. Overige programma’s bieden dit vooralsnog niet, maar blijven nauwlettend gevolgd worden.

Vraag 21

Kunt u deze vragen apart en voor 8 april 2026 beantwoorden?

Ja.

Vraag 1

Heeft u kennisgenomen van het artikel «Nederland wil Amerikaanse onbemenste gevechtsvliegtuigen vol AI aanschaffen»?1

Ja.

Vraag 2

Hoe voorziet u, naast toetreding tot het Amerikaanse CCA-programma, concreet aan te sluiten op Europese ontwikkelingen? Kunt u een plan van aanpak aan de Kamer verstrekken?

In de brief van 19 maart jl. (Kamerstuk 36 592 nr. 60) is toegelicht dat Defensie door deelneming in het CCA-programma nu concrete kansen kan benutten voor het opdoen van kennis tijdens de fase van test, onderzoek en ontwikkeling van onbemenste gevechtsvliegtuigen die kunnen samenwerken met bemenste jachtvliegtuigen. De twee genoemde grotere internationale samenwerkingsprogramma’s voor toekomstige jachtvliegtuigen, waar eventuele onbemenste gevechtscapaciteit onderdeel van uitmaakt, zijn in een beginstadium en bieden deze mogelijkheden (nog) niet. Dit neemt niet weg dat Defensie in het programma MOBIUS de mogelijkheden blijft verkennen van deelname aan andere programma’s voor kennisopbouw en ontwikkeling van dit soort systemen, wereldwijd en specifiek in Europees verband. Defensie werkt daarnaast in NAVO en in EU-verband en bilateraal met verschillende partners nauw samen op kennis- en innovatiegebied in het luchtdomein en wisselt in dit kader informatie uit over het opzetten van kansrijke projecten en initiatieven, waaronder op de gebieden van onbemenste systemen en autonomie.

Vraag 3

Wat betreft de ambitie om aan te sluiten op Europese alternatieven; hoe gaat u om met het risico dat het ene Europese alternatief, «Future Combat Aircraft System» met daarbij behorende onbemenste systemen («Remote Carriers»), zo goed als stukgelopen is, en het andere Europese alternatief «Global Combat Air Program» zich met name richt op een volgende generatie bemenste jachtvliegtuig?

Geïntegreerde onbemenste luchtsystemen kunnen de effectiviteit van bemenste gevechtsvliegtuigen aanzienlijk vergroten en zijn sneller en goedkoper te produceren dan traditionele bemenste gevechtsvliegtuigen. De ontwikkelingen gaan snel en het is daarom aannemelijk dat bestaande trajecten van Europese landen worden doorontwikkeld of aangevuld met nieuwe initiatieven voor de toekomstige integratie van onbemenste luchtsystemen. Door deelname aan het Amerikaanse programma kan Defensie nu kennis vergaren waarmee we voorop lopen in deze ontwikkeling. Dit kan ook van nut zijn bij eventueel toekomstige deelname aan programma’s met Europese partners.

Vraag 4

De wet- en regelgeving voor het gebruik van kunstmatige intelligentie bij militaire inzet staat nog in de kinderschoenen; wat is uw plan als de kunstmatige intelligentie in het Amerikaanse CCA-programma niet aansluit op Europese of Nederlandse standaarden? Hoe gaat u om met de risico’s? Bent u voornemens om, indien het niet aansluit, zelf alternatieven binnen Europese standaarden te ontwikkelen?

Het Amerikaanse CCA programma ontwikkelt de software in een open architectuur. Defensie behoudt de mogelijkheid om in samenwerking met de Nederlandse en Europese kennisinstellingen en industrie software te ontwikkelen conform Nederlandse dan wel Europese standaarden.

Vraag 5

In uw recente Kamerbrief van 19 maart 2026 (Kamerstuk 36 592, nr. 60) schrijft u mogelijkheden te onderzoeken om de Nederlandse innovatieve industrie aan te laten sluiten bij de ontwikkeling van CCA in de toekomst; bent u bereid te verkennen of Nederland het voortouw kan nemen in de Europese ontwikkeling van onbemenste systemen zoals «Collaborative Combat Aircraft» of «Remote Carriers», overwegende dat dit complementair kan zijn aan huidige internationale initiatieven en de kennis en kunde in Nederland beschikbaar is?

Defensie verkent de mogelijkheden van deelname aan programma’s in de ontwikkeling van onbemenste systemen binnen en buiten Europa in het MOBIUS project. Deelname aan het Amerikaanse CCA programma biedt unieke kansen op kennisopbouw om deze verkenning zorgvuldig uit te kunnen voeren.

Vraag 6

Kunt u de vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Bescherm de lichamelijke integriteit van vrouwen, ook in de digitale wereld»?1

Ja.

Vraag 2

Hoe oordeelt u over het feit dat informatie van vrouwen over vruchtbaarheid, hun menstruatiecyclus en (het afbreken van) een eventuele zwangerschap wordt doorverkocht en gedeeld met bedrijven?

Dergelijke informatie zal in de regel kwalificeren als bijzondere categorieën van persoonsgegevens, waarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing is. Als in de hier genoemde gevallen sprake is van een dergelijke doorverkoop zonder expliciete toestemming, en van een onrechtmatige verwerking van dergelijke bijzondere persoonsgegevens, dan vind ik dat verontrustend. Het verwerken van deze persoonsgegevens is immers verboden, tenzij er een uitzonderingsgrond van toepassing is, bijvoorbeeld wanneer uitdrukkelijke toestemming is gegeven. Het Hof van Justitie van de Europese Unie (HvJEU) heeft geoordeeld2 dat het begrip «bijzondere persoonsgegevens» in dit soort gevallen ruim dient te worden uitgelegd. Persoonlijke gegevens die bij het online bestellen van geneesmiddelen worden ingevoerd, zoals namen en adressen, zijn naar het oordeel van het HvJEU in beginsel gezondheidsgegevens. De verkoop daarvan aan derde partijen, zonder dat er een mechanisme bestaat dat de klant hiervoor vooraf uitdrukkelijke toestemming laat geven, is in strijd met de AVG.
Het beoordelen van een specifieke situatie is echter aan de bevoegde toezichthoudende autoriteiten; in Nederland is dat de Autoriteit Persoonsgegevens (AP). De AP is bij uitstek bevoegd om stappen te ondernemen wanneer sprake is van een overtreding van de regels die zijn neergelegd in de AVG. Het kabinet beschikt niet over bevoegdheden om daarover uitspraken te doen en zou op de stoel van de toezichthouder gaan zitten als het dat deed.

Vraag 3

Hoe beoordeelt u het feit dat deze data lijkt te worden gedeeld met landen of bedrijven die zich buiten Europa bevinden en waar vrouwenrechten, zoals het recht op abortus, onder druk staan?

Persoonsgegevens mogen alleen naar zogeheten derde landen (landen buiten de Europese Economische Ruimte) worden doorgegeven als een van de in de AVG genoemde specifieke uitzonderingen van toepassing is. Dat kan het geval zijn als de Europese Commissie (EC) heeft vastgesteld dat dit land een passend beschermingsniveau biedt, of als de doorgifte is voorzien van passende waarborgen en de betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken. De beoordeling hiervan in specifieke gevallen vereist een juridische en feitelijke oordeelsvorming door de onafhankelijke toezichthouder.

Vraag 4

Klopt het dat gegevens over onder andere menstruatie, miskramen, zwangerschapstesten en het gebruik van morning-afterpillen volgens de privacywetgeving als bijzondere persoonsgegevens gelden? Zo nee, waarom niet? Zo ja, klopt het dat deze bijzondere persoonsgegevens niet zonder medeweten van degene waar het om gaat verkocht mogen worden?

Zie antwoord vraag 2.

Vraag 5

Deelt u onze zorg dat bedrijven die zichzelf profileren als vóór de vrouwengezondheid en als een betrouwbare partij, terwijl zij zonder uitdrukkelijke toestemming bijzondere persoonsgegevens van gebruikers doorverkopen, misleidend te werk gaan? Zo ja, welke rol ziet u hierbij voor de Autoriteit Consument & Markt of de Autoriteit Persoonsgegevens?

Deze zorg deel ik. Wanneer inderdaad sprake is van onrechtmatige verwerkingen van dergelijke bijzondere persoonsgegevens, dan vind ik dat verontrustend. Voor mogelijke schending van consumenten- en gegevensbeschermingsrecht kunnen gebruikers zich tot de toezichthoudende autoriteit wenden. Voor zover het de naleving betreft van de AVG is dat de AP. De AP kan onderzoek instellen naar de naleving van de gegevensbeschermingswetgeving, kan boetes en dwangsommen opleggen alsook stopzetting van gegevensverwerkingen gelasten. Met betrekking tot de naleving van het consumentenrecht kan een melding worden gedaan bij de Autoriteit Consument en Markt (ACM).

Vraag 6

Bent u bereid om in gesprek te gaan met de toezichthouders, en waar nodig partners op Europees niveau, om zo snel mogelijk de lichamelijke integriteit van vrouwen en mensen ook digitaal te beschermen zodat voorkomen wordt dat hormonale kwetsbaarheden worden geëxploiteerd voor commercieel gewin, zonder dat vrouwen dat weten? Zo nee, waarom niet?

Het arrest van het HvJEU d.d. 4 oktober 2024 waaraan ik heb gerefereerd in de antwoorden op de vragen 2 en 4, heeft de brede werkingssfeer van de AVG bevestigd door een ruime interpretatie van het begrip «gezondheidsgegevens», door ook online aankopen van receptvrije geneesmiddelen daaronder (en daarmee onder de strikte regels voor bijzondere persoonsgegevens) te brengen. Ik zou niet willen concluderen dat er sprake is van lacunes in de wetgeving; veeleer wringt het bij de naleving daarvan door verwerkingsverantwoordelijken. Het doen van onderzoek daarnaar is als gezegd een taak van de onafhankelijke toezichthouder. Op grond van artikel 52 AVG treedt de AP daarbij volledig onafhankelijk op en blijft zij vrij van al dan niet rechtstreekse externe invloed en vragen, noch aanvaardt zij instructies van wie dan ook. Deze onafhankelijkheid vind ik belangrijk en ik wil deze dan ook niet doorkruisen.

Vraag 7

Bent u bereid te onderzoeken of de huidige wetgeving afdoende is, of dat er nog aanvullende wetgeving of beleid nodig is? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 1

Bent u bekend met het bericht: «Rechter dwarsboomt IT-aanbesteding rijksoverheid van € 3 mrd» (Financieel Dagblad, 9 maart 2026)?1

Vraag 2

Bent u eveneens bekend met de uitspraak van de rechter in Den Haag, die stelt dat twee IT-aanbestedingen van de Rijksoverheid ter waarde van 3,3 miljard euro gestaakt moeten worden?2

Vraag 3

Wat is uw reactie op de berichtgeving en de rechterlijke uitspraak?

Vraag 4

Kunt u toelichten welke aanpassingen u gaat doorvoeren of al heeft doorgevoerd in de aanbestedingsvoorwaarden om aan de rechterlijke uitspraak te voldoen?

Vraag 5

Zouden de IT-aanbestedingen, indien ze doorgang vinden, de digitale autonomie van Nederland vergroten of verkleinen? Kunt u dit onderbouwen?

Vraag 6

Hoe houdt u de komende vier jaar de mogelijkheid om de afhankelijkheid van Amerikaanse techbedrijven via aanbestedingen te verkleinen conform de wens van de Tweede Kamer,3 nu u middels een raamovereenkomst de voorwaarden voor nieuwe inkoop jarenlang vastlegt?

Vraag 7

Ziet u met de rechterlijke uitspraak en de noodzaak om de aanbestedingsvoorwaarden aan te passen ook de mogelijkheid om digitale autonomie zwaarder mee te wegen als criterium?

Vraag 8

Welke gevolgen heeft de rechterlijke uitspraak voor de twee IT-aanbestedingen ter waarde van 3,3 miljard euro? Kunt u een overzicht geven van lopende contracten waar deze uitspraak mogelijk ook gevolgen voor heeft?

Vraag 9

Wat is het doel en de noodzaak van de twee IT-aanbestedingen? Welke diensten zouden precies ingekocht worden bij Microsoft en Oracle, en in welke ministeries en overheidsorganisaties zouden deze gebruikt worden?

Vraag 10

Waarom vraagt u in de aanbesteding voor deze grote IT-projecten om «levering van standaardprogrammatuur van vendor Microsoft» in plaats van dat u de technische eisen uitvraagt van de software die u wil inkopen?4

Vraag 11

Wat bedoelt u met «gerelateerde open source toepassingen» aan de standaardprogrammatuur van Microsoft? Op welke toepassingen gaat dit, en waarom neemt u deze af via de tussenhandelaar?5

Vraag 12

Hoe verhoudt het niet opnemen van technische eisen voor de af te nemen software zich tot artikel 2.75–2.77 van de Aanbestedingswet 2012, nu ook de term «of gelijkwaardig» (2.76, lid 4, subartikel b) ontbreekt?6

Vraag 13

Zijn de toepasselijke (verplichte of aanbevolen) standaarden van het Forum Standaardisatie uitgevraagd in deze aanbestedingen? Zo nee, waarom niet, en hoe verzekert u dan dat ook gegadigden naast Microsoft en Oracle aan de aanbesteding kunnen voldoen?

Vraag 14

Zijn de IT-aanbestedingen gericht op het inkopen van software of het vinden van softwareverkopers? Gaan deze aanbestedingen niet feitelijk over het aangaan van een licentieovereenkomst, waarbij het softwarebedrijf als rechthebbende eenzijdig de voorwaarden bepaalt?

Vraag 15

Zijn Microsoft en Oracle de énige techbedrijven die kunnen voldoen aan de technische en operationele eisen die u stelt in de aanbesteding? Zo ja, bent u het dan met de indieners eens dat de aanbesteding toeschrijft naar Microsoft en Oracle?

Vraag 16

Wat bedoelt de Staat met de stelling dat «80 tot 85% van de offerteaanvragen een productgerichte offerteaanvraag [betreft]»? Kan er sprake zijn van een open aanbesteding als het merendeel van offertes om één specifiek product vraagt?

Vraag 17

Hoeveel van deze 80 tot 85% van deze productgerichte offerteaanvragen worden uiteindelijk bij Microsoft en Oracle afgenomen? Kunt u dit inzichtelijk maken?

Vraag 18

Zorgen deze productgerichte offerteaanvragen ervoor dat het op voorhand vrijwel zeker is dat software van Microsoft en Oracle zal worden gekozen? Zo nee, waarom is er dan gekozen voor productgerichte offerteaanvragen? Zo ja, is het dan terecht om te stellen dat er sprake is van een vendor lock-in?

Vraag 19

Deelt u de analyse van de indiener dat deze mate van productgerichte offerteaanvragen een vendor lock-in van enkele grote techbedrijven in de hand speelt? Zo nee, kunt u onderbouwen dat dit niet het geval is?

Vraag 20

Is software van Microsoft en Oracle de enige manier om uw dienstverlening te kunnen handhaven? Zo nee, waarom is dan gekozen voor de productgerichte offerteaanvragen?

Vraag 21

Is dezelfde constructie met productgerichte offerteaanvragen, met sublicentiëring via tussenhandelaren, eerder toegepast bij IT-aanbestedingen van de Rijksoverheid, zoals gesteld wordt in de berichtgeving? Zijn er lopende contracten waarbij dezelfde constructie van toepassing is?

Vraag 22

Hoe verhouden deze productgerichte offerteaanvragen bij Microsoft en Oracle zich tot de Aanbestedingswet 2012, artikel 1.10a, in het bijzonder lid 2, namelijk het verbod om opdrachten te ontwerpen «met het doel bepaalde ondernemers ten onrechte te bevoordelen»?7

Vraag 23

Bent u bekend met (in omvang) vergelijkbare aanbestedingen van ICT die op een soortgelijke manier, door het noemen van de merknaam, een of meer Europese leveranciers bevoordelen? Zo ja, welke zijn dat? Zo nee, waarom is dit bij Amerikaanse bedrijven dan wel het geval?

Vraag 24

Kunt u alle relevante stukken die betrokken zijn bij de (voorbereiding van) deze twee IT-aanbestedingen aan de Kamer doen toekomen, inclusief risico-analyses en voorbereidende notities?

Vraag 25

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, en toezeggen dat u de IT-aanbestedingen niet doorzet totdat deze juridisch houdbaar zijn en de Kamer volledig is geïnformeerd?

Vraag 1

Bent u bekend met het bericht dat telecomprovider Odido zonder medeweten van klanten MAC-adressen en apparaatnamen uit consumentenrouters heeft doorgestuurd naar een Amerikaans AI-bedrijf?1

Ja.

Vraag 2

Kunt u toelichten in hoeverre MAC-adressen en apparaatnamen volgens de Algemene verordening gegevensbescherming (AVG) als persoonsgegevens kunnen worden beschouwd?

Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon kan een persoonsgegeven zijn (artikel 4, eerste lid, van de Algemene Verordening Gegevensbescherming, AVG). Ook een MAC-adres of een apparaatnaam kan als persoonsgegeven worden beschouwd.

Vraag 3

Hoe beoordeelt u de privacyrisico’s van het verzamelen en delen van deze gegevens, omdat daarmee mogelijk ook huishoudens kunnen worden herkend of gevolgd?

Het is van belang dat persoonsgegevens worden verwerkt op een wijze die rechtmatig, behoorlijk en transparant is. Een verwerking is bijvoorbeeld rechtmatig, als er toestemming voor is gegeven, een gerechtvaardigd belang is of als de verwerking noodzakelijk is voor de uitvoering van een overeenkomst. Het is niet aan het kabinet binnen het stelsel van de AVG om in te gaan op individuele gevallen, maar in eerste instantie aan de Autoriteit Persoonsgegevens (AP). De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhavend optreden, advies verstrekken en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 4

Hoe beoordeelt u het feit dat deze gegevens naar een Amerikaans AI-bedrijf zijn doorgestuurd?

Doorgifte van persoonsgegevens naar een bedrijf dat buiten de Europese Economische Ruimte (EER) is gevestigd is op grond van de AVG alleen toegestaan onder voorwaarden. Persoonsgegevens mogen alleen buiten de EER worden verwerkt in overeenstemming met de voorwaarden voor dergelijke doorgiften die zijn vastgelegd in hoofdstuk V van de AVG. Bijvoorbeeld als de Europese Commissie een adequaatheidsbesluit heeft genomen of dat er door het bedrijf passende waarborgen zijn genomen. Of in deze casus wel of geen grondslag was voor het al dan niet delen van deze gegevens buiten de EER, evenals de vraag of de waarborgen van hoofdstuk V van de AVG in acht zijn genomen, is niet aan het kabinet om te beoordelen, maar aan de toezichthouder. De AP is op de hoogte van de genoemde berichtgeving over Odido.

Vraag 5

Deelt u de opvatting van de Autoriteit Persoonsgegevens dat MAC-adressen kunnen worden beschouwd als persoonsgegevens? Zo ja, welke eisen gelden voor het verzamelen en delen van deze gegevens door telecomproviders?

Ja. Zie het antwoord op vraag 2. De AVG geeft algemene regels voor de verwerking van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders.

Vraag 6

Welke risico’s ziet u voor de privacy en veiligheid van burgers wanneer grote hoeveelheden metadata over wifi-netwerken en apparaten worden verzameld en mogelijk gecombineerd met andere datasets?

Dat hangt af van de omstandigheden van het geval. Een risico dat volgt uit het niet naleven van de AVG is in ieder geval dat de betrokkenen hun rechten niet (volledig) kunnen uitoefenen. Denk hierbij aan het inzien, corrigeren, of verwijderen van hun eigen persoonsgegevens.

Vraag 7

Is de Autoriteit Persoonsgegevens betrokken bij deze kwestie en wordt onderzocht of Odido de privacyregels heeft nageleefd?

De AP is op de hoogte van de genoemde berichtgeving over Odido. Het is aan de AP om opheldering te vragen aan Odido.

Vraag 8

Welke stappen verwacht u van Odido richting klanten, bijvoorbeeld om hen te informeren over welke gegevens zijn gedeeld en welke maatregelen worden genomen om dit in de toekomst te voorkomen?

Dit is niet aan het kabinet, maar in eerste instantie aan de AP. De AP toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels. In zijn algemeenheid hangt het van meerdere factoren af. Onder andere de vraag of er een grondslag is voor het verwerken van deze gegevens en, indien er sprake is van doorgifte buiten de EER, of de waarborgen van de AVG in acht zijn genomen.

Vraag 9

Ziet u aanleiding om strengere eisen te stellen aan telecomproviders die AI-diensten gebruiken, zodat gegevens van gebruikers beter worden beschermd en transparanter wordt omgegaan met dataverzameling?

Nee. De AVG geeft duidelijke regels voor de bescherming van persoonsgegevens. Daarnaast stelt de Telecommunicatiewet specifieke regels voor telecomaanbieders. Ook de AI-verordening kent een duidelijke set van regels. Er is wel aanleiding om het gesprek te voeren met het veld, waaronder telecomaanbieders, over de bescherming van persoonsgegevens in de praktijk. Vervolgens zal dit betrokken worden bij het voornemen om de toepassing van de AVG in Nederland tegen het licht te houden.

Vraag 10

Kunt u de vragen afzonderlijk beantwoorden en dit doen voor 23 maart 2026 vanwege het wetgevingsoverleg over de Cyberbeveiligingswet en de Wet weerbaarheid kritieke entiteiten?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het Volkskrant-bericht «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (d.d. 5 maart 2026)?1

Vraag 2

Hoe beoordeelt u de conclusie van experts dat de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van Amazon worden onderschat?

Vraag 3

Bent u voornemens gebruik te maken van de nieuwe clouddienst van Amazon? Waarom wel of niet?

Vraag 4

Bent u bekend met de aangenomen motie van het lid Dassen (Kamerstuk 36 800, nr. 61) over het volledig overstappen op Europese, op open standaarden gebaseerde digitale alternatieven voor de digitale infrastructuur?2

Vraag 5

Hoe verhoudt het publiceren, en naar aanleiding van deskundige kritiek weer verwijderen, van dit rapport zich tot de aangenomen motie van het lid Dassen en de brede wens van de Kamer om grootschalig over te stappen naar Europese alternatieven?

Vraag 6

Welke alternatieven zijn er al reeds om invulling te geven aan deze motie en hoe snel kunnen deze worden geïmplementeerd?

Vraag 7

Hoe zou het eventueel aanschaffen van diensten van de nieuwe clouddienst van Amazon staan in relatie tot het coalitieakkoord, waarin staat dat het inkoopbeleid van de overheid gebruikt zal worden voor het aanjagen van Nederlandse en Europese ICT-industrie?

Vraag 8

Erkent u het risico voor onze digitale soevereiniteit als wij niet versneld overstappen op Europese alternatieven voor onze digitale infrastructuur? Waarom wel of niet?

Vraag 9

Kunt u deze vragen binnen een week en afzonderlijk beantwoorden?

Vraag 1

Bent u bekend met het bericht: «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (De Volkskrant, 5 maart 2026)?

Vraag 2

Kunt u verklaren waarom het onderzoek naar de risico’s van de Amazon «European Sovereign Cloud» tijdelijk offline is gehaald?1

Vraag 3

Wat is uw reactie op het rapport?

Vraag 4

Wat is het doel geweest van het onderzoek van GreenbergTraurig? Wat wordt er gedaan met de uitkomsten?

Vraag 5

Hoe reageert u op de kritiek dat het rapport eenzijdig is geschreven? Ziet u aanleiding om de risico’s nader te onderzoeken?

Vraag 6

Hoe leest u de conclusies van het rapport, waaruit blijkt dat de Amerikaanse overheid via de Amazon «European Sovereign Cloud» nog steeds toegang kan krijgen tot Nederlandse data?

Vraag 7

Kunt u bevestigen dat het afnemen van de Amazon «European Sovereign Cloud» en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland? Wordt het afbouwen van het gebruik hiervan onderdeel van het kabinetsbeleid?

Vraag 8

Hebben ministeries, uitvoeringsorganisaties, zbo’s of andere overheidsdiensten reeds plannen om gebruik te maken van de Amazon «European Sovereign Cloud» of soortgelijke initiatieven? Zo ja, kunt u een overzicht geven van organisaties die van plan zijn om de dienst af te nemen of dit al hebben gedaan?

Vraag 9

Zijn er nog andere risicoanalyses of onderzoeken uitgevoerd naar de gevolgen voor de digitale autonomie bij het afnemen van de Amazon «Sovereign European Cloud» of soortgelijke initiatieven? Zo ja, kunt u deze aan de Kamer doen toekomen?

Vraag 10

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht «Pedobots gewoon te vinden op internet en dat mag volgens de wet: Anya (7) is vastgebonden en huilt»?1

Vraag 2

Deelt u de mening dat dergelijke AI-toepassingen net als kindersekspoppen bijdragen aan de normalisering van seksueel misbruik van minderjarigen, ook wanneer er geen fysiek kind bij betrokken is?

Vraag 3

Deelt u de mening dat gedragingen die in de fysieke wereld strafbaar zijn, ook online niet moeten worden getolereerd, ook wanneer het gaat om nabootsing door middel van AI?

Vraag 4

In hoeverre biedt het huidige strafrecht voldoende mogelijkheden om op te treden tegen het ontwikkelen van dergelijke bots, het verspreiden ervan en het gebruiken van dergelijks bots met een seksueel oogmerk?

Vraag 5

Bent u bereid om het Wetboek van Strafrecht aan te passen zodat ook het creëren, aanbieden of gebruiken van seksueel expliciete AI-personages die minderjarigen voorstellen strafbaar wordt gesteld?

Vraag 1

Bent u bekend met het bericht «Hackers hadden vijf maanden toegang tot gegevens DJI-medewerkers»?1

Ja.

Vraag 2

Deelt u de mening dat met spoed onderzocht moet worden tot welke gegevens de hackers toegang hebben/hadden?

Ja, deze mening deel ik en dit onderzoek wordt momenteel uitgevoerd.
Het Nationaal Cyber Security Centrum (NCSC) is op 29 januari jl. door Ivanti op de hoogte gesteld van kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM) en doet technisch onderzoek2. Ivanti EPMM is een softwareplatform dat door verschillende organisaties wordt gebruikt om mobiele apparaten centraal te beheren en te beveiligen. Uw Kamer is op 27 februari 2026 geïnformeerd omtrent de organisaties die door de kwetsbaarheid in Ivanti EPMM zijn getroffen.3 De Justitiële ICT Organisatie (JIO), de IT-leverancier van de Dienst Justitiële Inrichtingen (DJI), heeft een extern expertisebureau de opdracht gegeven technisch/forensisch onderzoek uit te voeren. Waar nodig doen zij dit met specialistische adviespartijen.
De uitkomsten van de onderzoeken zijn nog niet bekend. Indien sprake is van relevante ontwikkelingen zal de Kamer worden geïnformeerd.

Vraag 3

Hoe kan het dan zo zijn dat de u aangeeft dat het geen reden is om aan te nemen dat medewerkers onveilig zouden zijn, terwijl ook voormalig gevangenisdirecteur Klaas Brandsma aangeeft dat medewerkers van Dienst Justitiële Inrichtingen (DJI) lopen extra risico op chantage en afpersing?

De informatie waar toegang tot is verkregen betreft persoonsgegevens van medewerkers zoals namen, emailadressen, telefoonnummers en locatiegegevens. In algemene zin geldt dat de aard van de werkzaamheden van DJI maakt dat medewerkers mogelijk een aanvullend risico lopen op chantage en afpersing indien dergelijke gegevens bij derden bekend raken. Vanwege dit risico vind ik het dan ook erg belangrijk dat waar nodig veiligheidsmaatregelen zijn getroffen. Dit alles heeft uiteraard impact op de medewerkers van DJI. DJI houdt samen met JIO alsmede met partners uit de keten nauwlettend in de gaten welke eventuele gevolgen de onbevoegde toegang heeft voor de DJI-medewerkers. Daaruit volgt dat er op dit moment geen signalen zijn dat er sprake is van eventuele gevolgen voor de veiligheid van de DJI medewerkers.
Op basis van de voorlopige uitkomsten van het forensisch onderzoek heeft het NCSC een handelingsperspectief opgesteld dat op 16 februari 2026 is gedeeld met DJI. DJI heeft hierop in samenwerking met JIO en NCSC direct maatregelen getroffen die zowel zien op de techniek als op de monitoring van (cyber)dreigingen. Daarover communiceert DJI periodiek naar alle medewerkers. Daarnaast heeft DJI de medewerkers voorzien van een handelingskader, waaronder een oproep tot extra alertheid en instructies hoe om te gaan locatiegegevens.

Vraag 4

Zijn DJI-medewerkers van de Extra Beveiligde Inrichting (EBI) ook getroffen?

Zoals in de beantwoording van vraag één is aangegeven, wordt er momenteel onderzoek gedaan naar de precieze omvang van de daadwerkelijke onbevoegde toegang tot devices die draaien op Ivanti. Vanuit het oogpunt van de veiligheid van de medewerkers kan ik niet verder ingaan op welke medewerkers dit onderzoek ziet. Uit voorzorg heeft DJI breed alle medewerkers van een handelingskader voorzien.

Vraag 5

Bent u van mening dat het datalek mogelijk invloed kan hebben op behoud van het huidige personeel en de aanwerving van nieuw personeel? Welke maatregelen gaat u nemen om het getroffen personeel tegemoet te komen?

Ik ben me zeer bewust van welke impact deze situatie kan hebben op de medewerkers van DJI. De effecten hiervan op de werving van nieuw personeel zijn onvoorspelbaar. Dergelijke onbevoegd toegang tot systemen heeft impact op medewerkers, met name op hen die al werkzaam zijn voor DJI. Het kan tot vragen leiden over het uitvoeren van de werkzaamheden en mogelijk ook tot gevoelens van onzekerheid, met name over de veiligheid. Daarom is het van belang dat er maatregelen zijn genomen zoals het periodiek informeren van de medewerkers. Ten aanzien van de maatregelen verwijs ik u naar de beantwoording bij vraag drie.

Vraag 6

Welke extra maatregelen gaat u nemen om dergelijke scenario’s in de toekomst te voorkomen?

De eerste prioriteit ligt bij de veiligheid van de medewerkers en het afronden van het onderzoek. Nadat het onderzoek is afgerond zal een evaluatie en oorzakenanalyse plaatsvinden om te komen tot potentiële verbeteringen.
Ik kan niet vooruitlopen op de uitkomsten van de onderzoeken die op dit moment lopen. Zoals bij de beantwoording van vraag drie is aangegeven houdt DJI samen met partners uit de keten nauwlettend in de gaten welke eventuele gevolgen de onbevoegde toegang heeft voor de DJI medewerkers. Indien nodig worden aanvullende maatregelen getroffen.

Vraag 1

Bent u bekend met het bericht «Digitale autonomie en de uitbesteding applicatiediensten omzetbelasting door de Staat»1 en de desbetreffende aanbesteding van de Belastingdienst?2

Ja.

Vraag 2

Wat is uw reactie op het bericht en de aanbesteding?

Voor het antwoord op deze vraag verwijs ik u naar de Kamerbrief die u op 17 maart jl. over dit onderwerp heeft ontvangen.

Vraag 3

Op welke gronden is gekozen om (het beheer en het onderhoud van) de software van de omzetbelasting bij FAST Enterprises in te kopen, namelijk het softwarepakket «GenTax»?

Het systeem voor de omzetbelasting is sterk verouderd en dringend toe aan modernisering. Daarover is uw Kamer in de laatste jaren veelvuldig geïnformeerd. De Belastingdienst is in 2020 gestart met het traject om het verouderde omzetbelastingsysteem te moderniseren. In 2021 heeft de Belastingdienst een marktconsultatie gedaan, waaruit bleek dat er oplossingen in de markt beschikbaar zijn. In 2022 is na extern advies besloten om een aanbesteding te starten en een pakketoplossing uit de markt aan te schaffen in plaats van zelf een nieuw systeem te bouwen. Uit het advies bleek dat een oplossing uit de markt sneller en tegen lagere kosten zou kunnen worden gerealiseerd dan wanneer de Belastingdienst zelf een systeem zou bouwen.
In 2023 is de Belastingdienst een aanbestedingsprocedure (een concurrentiegerichte dialoog) gestart. Na het doorlopen van een zorgvuldige Europese aanbestedingsprocedure is de opdracht gegund aan het Amerikaanse bedrijf Fast Enterprises. Dit bedrijf scoorde het beste op de aangegeven criteria uit de vooraf via TenderNed openbaar gemaakte aanbestedingsstukken. Voorbeelden van criteria zijn: gebruiksvriendelijkheid, gegevensbeheer, informatiebeveiliging en datamigratie.

Vraag 4

Op welke manier is er, ten tijde van de aanbesteding, rekening gehouden met digitale autonomie als voorwaarde voor aanbestedingen van overheids-ICT? Zou u dit in de huidige politieke context anders beoordelen?

Het traject is gestart in een andere (geo)politieke context. Het versterken van de nationale digitale autonomie door het beperken van de afhankelijkheid van niet-Europese technologie speelde destijds een beperktere rol in de afwegingen. Er is bewust gezocht naar bewezen technologie en gekeken naar de ervaringen van andere Europese landen.
De aanbesteding is zorgvuldig doorlopen conform de Europese aanbestedingsregels. De gevolgde Europese aanbestedingsregels maken het niet mogelijk om niet-Europese landen uit te sluiten indien hier handelsverdragen mee zijn gesloten.
Tegelijkertijd ziet dit kabinet ook dat Nederland kwetsbaar is geworden door afhankelijkheid van een klein aantal buitenlandse (tech)spelers en kijkt daarom met veel aandacht naar de digitale, en open strategische, autonomie van Nederland. In Europees verband wordt daarom gesproken over het herzien van de aanbestedingswet- en regelgeving, en een eventueel EU-voorkeursprincipe bij aanbestedingen in specifieke sectoren.

Vraag 5

Indien de keuze voor FAST Enterprises de digitale autonomie niet bevordert, kunt u dan onderbouwen waarom dit alsnog de voorkeursoptie is?

In 2020 startte de Belastingdienst het traject voor de modernisering van het verouderde omzetbelastingsysteem. Een marktconsultatie in 2021 wees uit dat er geschikte pakketoplossingen beschikbaar waren in de markt. In 2022 is na een onderzoek uitgevoerd door McKinsey besloten om een aanbesteding te starten om een bewezen pakketoplossing voor de omzetbelasting aan te schaffen in plaats van zelf een nieuw systeem te bouwen.3 Uit het onderzoek bleek dat het aanschaffen van een systeem sneller te realiseren is dan zelf bouwen. Een tweede onafhankelijk onderzoek heeft dit beeld bevestigd.
De Belastingdienst heeft een zorgvuldige Europese aanbestedingsprocedure doorlopen in de vorm van een concurrentiegerichte dialoog. Het stond Nederlandse en Europese bedrijven uiteraard vrij om hieraan deel te nemen, dat hebben zij ook gedaan. Na het doorlopen van deze aanbestedingsprocedure is de opdracht gegund aan het Amerikaanse bedrijf, Fast Enterprises. Zoals ik reeds aangaf in het antwoord op vraag 3 scoorde dit bedrijf het beste op de van te voren aangegeven criteria in de aanbestedingsstukken. Daarnaast sluiten de gevolgde Europese aanbestedingsregels Amerikaanse bedrijven niet uit.

Vraag 6

Kunt u onderbouwen waarom er niet is gekozen om de software van de omzetbelasting intern te ontwikkelen en beheren of dit in te kopen bij een Nederland of Europees bedrijf?

Zie antwoord vraag 5.

Vraag 7

Hoe garandeert u dat de relatie met FAST Enterprises niet door de Verenigde Staten gebruikt zal worden als drukmiddel, in het licht van de Nationale Veiligheidsstrategie van de VS?3 Kunt u inzicht geven in alle maatregelen die zijn genomen om dit risico te voorkomen?

Ik kan u die garantie niet geven. Het volledig uitsluiten van dit risico is bij een afhankelijkheid van een externe leverancier niet mogelijk. Het kabinet is doorlopend met de Verenigde Staten in gesprek om dergelijke vergaande maatregelen te voorkomen.5 In een extreem geval, kan de leverancier onder statelijke druk gedwongen worden om te stoppen met het leveren van diensten. In de recente geschiedenis is dit alleen onder zeer specifieke sanctiewetgeving gebeurd. De risico’s rondom continuïteit in relatie tot de Amerikaanse leverancier dienen te worden afgewogen tegen de risico’s die samenhangen met het langer in stand houden van het huidige verouderde systeem waarover ik u in de oplegbrief heb geïnformeerd. Deze risico’s acht ik groter en reëler dan dat de relatie met de leverancier als drukmiddel wordt ingezet.
De Belastingdienst voert als onderdeel van het programma een risicoanalyse conform de IRAM (Information Risk Assessment Methodology) uit. Op basis daarvan worden maatregelen uitgewerkt en geïmplementeerd en vervolgens op hun effectiviteit getoetst. Gelijktijdig en als onderdeel van de risicoanalyse laat ik parallel onderzoeken op welke termijn en onder welke voorwaarden de Belastingdienst het beheer en onderhoud van de infrastructuur van het systeem kan overnemen van Fast Enterprises. Dit kan als een alternatieve route dienen in het geval uit de risicoanalyse blijkt dat de restrisico’s, na het treffen van de beheersmaatregelen, niet tot een aanvaardbaar niveau kunnen worden teruggebracht. Het zorgvuldig uitwerken van deze alternatieve route vergt tijd. Ik zal uw Kamer hierover informeren voor het zomerreces.
Ik zal hierbij ingaan op een aantal maatregelen die nader worden uitgewerkt. De Belastingdienst werkt met Fast aan de invulling van deze mitigerende maatregelen. Zo zal de leverancier gaan werken op locatie in Apeldoorn onder toezicht van medewerkers van de Belastingdienst die worden opgeleid om het systeem te beheren. Er wordt door de leverancier, eenmaal in productie, geen beheer op afstand vanuit de Verenigde Staten gevoerd. De Belastingdienst heeft de infrastructuur ingericht als een «onvertrouwde» omgeving binnen de infrastructuur van de Belastingdienst. De omgeving is gezoneerd en koppelingen of verbindingen met andere systemen worden gecontroleerd.
De Belastingdienst is in gesprek met de leverancier over het treffen van aanvullende beheersmaatregelen. Het gaat daarbij onder meer, maar niet uitsluitend, om te bewerkstelligen dat er wordt gewerkt met medewerkers die niet onder Amerikaanse jurisdictie vallen. Ook is de Belastingdienst in gesprek met de leverancier om de escrow-regeling die is opgenomen in de overeenkomst met Fast een ruimere toepassing te geven. Dit is een regeling die dient als waarborg op de continuïteit van de dienstverlening. Er wordt een kopie van de broncode en documentatie in bewaring gegeven bij een Nederlandse onafhankelijke derde partij. In geval van het niet nakomen van dienstverleningsafspraken wordt deze broncode en documentatie vrijgegeven. De Belastingdienst gaat een proces inrichten om te zorgen dat de Belastingdienstmedewerkers in dat geval over de benodigde expertise beschikken en werkzaamheden kunnen uitvoeren.

Vraag 8

Kan de Belastingdienst gedurende de looptijd van het contract wel of niet volledig zelfstandig en zonder bijdrage van FAST Enterprises: 1) reageren op incidenten in GenTax; 2) bugfixes doorvoeren in GenTax; en 3) GenTax aanpassen zodat het voldoet aan nieuwe regelgeving?

Nee, deze handelingen kan de Belastingdienst niet volledig zelfstandig uitvoeren. Dit onderwerp is wel onderdeel van de kritische blik op de beheersmaatregelen en de nadere uitwerking hiervan. Zoals hiervoor aangegeven is de Belastingdienst een proces aan het inrichten om te zorgen dat de Belastingdienstmedewerkers de benodigde expertise hebben om continuïteit te waarborgen ingeval van niet nakomen van dienstverleningsafspraken.

Vraag 9

Kunt u precies aangeven wat de werkzaamheden en de taken zijn van het projectteam van FAST Enterprises dat op Nederlandse bodem diensten zal leveren, zowel vóór als na de implementatie van GenTax?4

De implementatie betreft een integrale oplossing waarbij Fast het beheer gaat voeren op het totale systeem (software en infrastructuur). De infrastructuur staat in Apeldoorn, maar wordt beheerd door Fast (door middel van een housing-oplossing geleverd door de Belastingdienst). Zoals in de specificatie van de opdracht beschreven zal het projectteam van Fast, op Nederlandse bodem, werkzaamheden uitvoeren die samenhangen met de realisatie, configuratie en implementatie van GenTax. Dit gebeurt onder toezicht van Belastingdienstmedewerkers (vier-ogenprincipe). De Belastingdienst werkt met Fast aan wijze waarop hier invulling aan wordt gegeven.
Het projectteam van Fast ondersteunt daarnaast de voorbereiding en uitvoering van de migratie naar de nieuwe oplossing en begeleidt de organisatorische inbedding daarvan. Ook verzorgt Fast de opleidingsmaterialen die nodig zijn om medewerkers met het nieuwe systeem te laten werken.
Na de implementatie is Fast verantwoordelijk voor het onderhoud van de oplossing, waaronder het herstellen en verbeteren van functionaliteit en het doorvoeren van productupdates. Verder draagt het projectteam van Fast op dit moment zorg voor het technisch applicatiebeheer en de beschikbaarheid en werking van de oplossing op basis van de overeengekomen service levels. Fast biedt daarnaast ondersteuning bij vragen en verstoringen en blijft, waar nodig en binnen de functionele kaders van de oplossing, configuratiewijzigingen doorvoeren wanneer wet- en regelgeving verandert.
In geval van wijzigingen in wet- en regelgeving ondersteunt Fast bij de configuratie hiervan. Deze wijzigingen voert Fast niet zelfstandig uit. Hiervoor geldt het voortbrengingsproces waarbij Fast bij het configureren samenwerkt met de Belastingdienst. De configuratie van het systeem moet worden goedgekeurd door de Belastingdienst. Dat gebeurt via een proces van definities, verschillende testen, goedkeuren en acceptatie.
Verder werkt Fast doorlopend aan verbeteringen van het Gentax-pakket. Deze verbeteringen kunnen zowel betrekking hebben op de implementatie van nieuwe Europese wet- en regelgeving als functionele en technische verbeteringen van het Gentax-pakket zelf. Het doorvoeren van deze verbeteringen vindt plaats onder regie van de Belastingdienst.

Vraag 10

Valt FAST Enterprises volledig en uitsluitend onder Nederlandse en Europese jurisdictie? Zo niet, heeft u dan in kaart gebracht welke gevolgen deze aanbesteding heeft voor de digitale autonomie van Nederland?

Nee, Fast Enterprises is een Amerikaans bedrijf en valt daarmee onder Amerikaanse jurisdictie. Daarmee komen de gegevens waartoe de leverancier, na implementatie, toegang krijgt in potentie binnen reikwijdte van extraterritoriale wetgeving zoals de CLOUD Act en de FISA Amendments Act.
De Belastingdienst is met de leverancier in gesprek over de mogelijkheid dat zij een onafhankelijke Europese entiteit oprichten met de intentie om het contract met de Belastingdienst, dat valt onder Nederlands recht, daarheen te verhuizen. Dit wordt momenteel juridisch nader verkend.

Vraag 11

Welke analyses zijn uitgevoerd op het risico op spionage, dataweglek en het vergroten van de afhankelijkheid van de Verenigde Staten door deze keuze? Kunt u deze aan de Kamer doen toekomen (al dan niet vertrouwelijk), en de uitkomsten op hoofdlijnen delen?

De Belastingdienst voert als onderdeel van het programma een risicoanalyse conform de IRAM (Information Risk Assessment Methodology) uit. Dit is een internationaal erkende methodiek om informatierisico's systematisch in kaart te brengen en te beoordelen. Deze analyse is nog niet afgerond; op basis van de uitkomsten worden maatregelen uitgewerkt en geïmplementeerd, en vervolgens op hun effectiviteit getoetst. Het nieuwe systeem wordt niet in gebruik genomen voordat de beheersmaatregelen aantoonbaar effectief zijn ingericht.
Aangezien de IRAM nog wordt uitgevoerd, kan ik de uitkomsten op dit moment nog niet met uw Kamer delen. Zodra de analyse is afgerond, ben ik bereid de resultaten en de daaruit voortvloeiende maatregelen vertrouwelijk ter inzage aan uw Kamer aan te bieden.

Vraag 12

Kunt u alle relevante notities, adviezen, (risico)analyses en documenten, die betrokken zijn bij de keuze voor FAST Enterprises, in volledigheid met de Kamer delen?

Tijdens de regeling van werkzaamheden op 3 maart jl. heeft uw Kamer verzocht om alle relevante stukken en notities die de keuze onderbouwen te ontvangen. Dit verzoek heb ik ontvangen. Omdat ik het belangrijk vind uw Kamer voor het debat van 19 maart te informeren, is de zoekslag met prioriteit uitgevoerd. Daardoor kan ik uw Kamer documenten doen toekomen die bezien op de aanbesteding, advisering, informatievoorziening en besluitvorming vanuit verschillende fasen binnen de overstap naar een ander OB-systeem. De documenten zijn bijgevoegd bij de Kamerbrief over het systeem voor de omzetbelasting die u op 17 maart jl. heeft ontvangen.
Wanneer er nieuwe relevantie informatie naar boven komt, waarmee een nieuw licht wordt geschenen op de reeds gedeelde inlichtingen, wordt dit op korte termijn met u gedeeld.

Vraag 13

Onder welke voorwaarden is het in eigen beheer en onderhoud nemen van de applicatiediensten voor de omzetbelasting een haalbare oplossing? Welke aanvullende middelen of capaciteit is nodig om dit te realiseren?

De Belastingdienst heeft dit jaar op hoofdlijnen een aantal andere scenario’s verkend. Eén van deze scenario’s is dat de Belastingdienst het beheer van de infrastructuur overneemt (van housing naar hosting). Zoals aangegeven in het antwoord op vraag 7 en in de Kamerbrief die u heeft ontvangen laat ik de mogelijkheid tot het zelfstandig beheren van de infrastructuur gelijktijdig en als onderdeel van de risicoanalyse parallel onderzoeken en zal ik uw Kamer hier voor het zomerreces over informeren. Voor een besluit wordt genomen of een toezegging wordt gedaan voor een andere variant dan het continueren van de huidige koers geldt wel dat de impact in beeld moet worden gebracht en expliciet worden gewogen inclusief de daarbij behorende dekking.
In het geval dat er voor een andere koers wordt gekozen dan de huidige zullen de risico’s en gevolgen die samenhangen met het langer in stand houden van het huidige verouderde systeem toenemen. Dat betekent dat het gevolgen kan hebben voor de tijdige implementatie van Europese wet- en regelgeving zoals de ViDA. Als deze wetgeving niet tijdig wordt geïmplementeerd kan dit leiden tot ingebrekestellingen van de Europese Commissie en problemen voor het (Nederlandse) bedrijfsleven.

Vraag 14

Heeft de Belastingdienst een duidelijke sourcingstrategie voor het inkopen van ICT-diensten? Zo ja, kunt u deze met de Kamer delen?

Ja de Belastingdienst heeft een ICT-sourcingstrategie opgesteld. Deze strategie is erop gericht om een onderbouwde keuze te maken bij de aanschaf van software. De voorkeur is om bewezen standaardoplossingen uit de markt te gebruiken, zodat de Belastingdienst marktconform kan werken. Deze strategie is eerder in oktober 2024 met uw Kamer gedeeld.7
De Belastingdienst zal het sourcingbeleid herzien en waar nodig actualiseren. Daarbij zal rekening worden gehouden met recente (geo)politieke en technische ontwikkelingen.

Vraag 15

Welke mogelijkheden heeft u om alsnog van deze leverancier af te zien, gezien de veranderende politieke situatie en de uitgesproken wens van de Kamer om digitale afhankelijkheden af te bouwen?

Het is mogelijk om de overeenkomst (onder voorwaarden) met de leverancier te ontbinden. Ik zie dat niet als een reëel scenario. Voor de systemen van de omzetbelasting geldt dat de modernisering niet langer kan wachten. Dit systeem is inmiddels rond de veertig jaar oud, de kennis wordt schaarser, de risico’s op storingen en uitval groter en de mogelijkheid om nieuw beleid uit te voeren is zeer beperkt. De keuze voor deze oplossing is weloverwogen gemaakt. De Belastingdienst heeft de aanbestedingsprocedure zorgvuldig doorlopen en de gunning is in maart 2025 definitief verleend. Zoals aangegeven in de Kamerbrief die u heeft ontvangen en in mijn antwoord op vraag 7 zet ik het traject voort en laat ik parellel onderzoeken door de Belastingdienst of het beheer en onderhoud van de infrastructuur door de Belastingdienst kan worden overgenomen.

Vraag 16

Waarom is het McKinsey-rapport «Kopen of zelf bouwen?,» dat betrokken is geweest bij de keuze om de software van de omzetbelasting in te kopen, niet meer Openbaar?5 Kunt u het rapport opnieuw Openbaar maken?

Het rapport staat nog steeds online. De link uit het artikel is verouderd. Het is in te zien via: Open overheid.

Vraag 17

Welke ambities zijn er om het gebruik van GenTax uit te breiden naar andere middelen dan de omzetbelasting, aangezien in het McKinsey-rapport wordt gesteld dat uitbreiding een voordeel is van het inkopen van een extern pakket?

Op dit moment zijn er geen plannen om het gebruik van GenTax uit te breiden naar andere belastingmiddelen.

Vraag 18

Uit welk advies bleek dat ook het beheer en onderhoud van de applicatiediensten uitbesteed moest worden? Op welke momenten is de Kamer geïnformeerd dat beheer en onderhoud bij een niet-Europees bedrijf zou worden belegd?

Hierover is geen extern advies ingewonnen.
De Tweede Kamer is periodiek geïnformeerd over de voortgang van de aanbesteding. Tijdens het commissiedebat Belastingdienst in maart 2025 is aangegeven dat de gunning aan Fast Enterprises had plaatsgevonden. Aangezien het ongebruikelijk is om uw Kamer op dit detailniveau te informeren over aanbestedingen, bent u niet specifiek geïnformeerd over het uitbesteden van het beheer en onderhoud van applicatiediensten.

Vraag 19

Zijn de waarschuwing en het advies van het Adviescollege ICT uit 2024 naar behoren opgevolgd?6 Zo nee, om welke redenen is dit niet nageleefd?

Ja. Het Adviescollege ICT heeft in april 2024 advies uitgebracht over het programma modernisering omzetbelasting. In dit advies onderschreef het Adviescollege de keuze van de Belastingdienst voor een pakketoplossing, maar werd de Belastingdienst geadviseerd de voorbereiding op een aantal punten te versterken. Mijn ambtsvoorganger heeft uw Kamer op 7 mei 2024 geïnformeerd over de wijze waarop de Belastingdienst deze adviezen zou opvolgen.10 Deze adviezen zijn opgepakt en benut door de Belastingdienst voor het verdere verloop van het traject.

Vraag 20

Kunt u nauwkeurig toelichten in welke mate medewerkers van FAST Enterprises toegang krijgt tot de gegevens die verwerkt worden bij het heffen van de omzetbelasting? Welke garantie is er dat data via deze medewerkers toegankelijk wordt voor Amerikaanse overheidsdiensten?

Fast Enterprises zal de servers gaan beheren die geplaatst worden in het datacenter van de Belastingdienst in Apeldoorn. Daardoor krijgt Fast Enterprises, als de OB-regeling(en) in productie zijn genomen, toegang tot data van belastingplichtigen. De mate waarin medewerkers van Fast toegang krijgen tot data die in deze servers staat hangt af van hun autorisatie. Het uitgangspunt is dat medewerkers van Fast tijdens de productiefase geen toegang hebben tot productiedata en daartoe alleen tijdelijk toegang verkrijgen wanneer dit nodig is om hun beheerwerk te verrichten.
Fast Enterprises heeft een geheimhoudingsverklaring ondertekend. Deze verklaring voorkomt niet dat de Amerikaanse Staat voorgenoemde data kan vorderen op basis van extra territoriale wetgeving zoals de CLOUD Act en FISA Amendments Act. Er worden maatregelen genomen om dit risico te mitigeren, zoals het inrichten van het eerdergenoemde vier-ogen principe en infrastructurele beperkingen om data uit het systeem te kunnen halen, en logging en monitoring.

Vraag 21

Deelt u de zienswijze dat het feit dat de servers van de Belastingdienst in Nederland blijven onvoldoende is om de risico’s voor de vertrouwelijkheid en cyberveiligheid weg te nemen, als een Amerikaanse partij straks toegang krijgt tot de servers?

Het gegeven dat de servers in het datacenter van de Belastingdienst staan is op zichzelf niet afdoende om alle risico’s weg te nemen. Daarom gaat de Belastingdienst ook aanvullende maatregelen nemen, zoals aangegeven in de brief die u bij met deze antwoorden heeft ontvangen, om deze risico’s tot een acceptabel niveau terug te brengen.

Vraag 22

Bent u bereid om een kort, onafhankelijk onderzoek uit te voeren naar de mogelijkheid om het project alsnog stop te zetten, met behoud van de continuïteit van de belastingheffing?

Het stopzetten van het project acht ik niet verstandig, de redenen daarvoor heb ik uitgebreid toegelicht in de Kamerbrief die u heeft ontvangen. Een onderzoek met als uitgangspunt het stopzetten van dit traject lijkt mij prematuur gezien het feit dat de risicoanalyse en de uitwerking van beheersmaatregelen nog gaande zijn. Zoals aangegeven in de Kamerbrief die u heeft ontvangen en in mijn antwoord op vraag 7 laat ik, als onderdeel van de risicoanalyse, door de Belastingdienst parellel onderzoeken of het beheer en onderhoud van de infrastructuur door de Belastingdienst kan worden overgenomen.
Ik acht het zorgvuldiger om eerst het uitwerken van deze route en het afronden van de risicoanalyse af te wachten en vervolgens de uitkomsten hiervan te beoordelen. Voorafgaand aan de ingebruikname van het nieuwe systeem zullen alle beheersmaatregelen worden getoetst op hun effectiviteit. Ik ben bereid deze toetsing door een onafhankelijke partij te laten doen en de resultaten met uw Kamer te delen.

Vraag 23

Kunt u een actueel overzicht geven van de planning van het lopende implementatietraject?

De Belastingdienst heeft gekozen voor een stapsgewijze implementatie. Deze planning is door mijn ambtsvoorganger op 13 november 2025 met uw Kamer gedeeld.11
Juli 2026
Juli 2027
4. Kleine ondernemersregeling (NL-KOR): de btw-vrijstelling voor ondernemers met een jaaromzet in Nederland tot en met € 20.000;.
Juli 2028

Vraag 24

Kunt u toezeggen om geen onomkeerbare stappen te zetten in de migratie van de diensten naar FAST Enterprises, totdat volledig is uitgesloten dat de digitale autonomie hierdoor wordt ondermijnd en de Kamer zich hierover heeft kunnen uitspreken?

Er wordt op dit moment nog geen gebruik gemaakt van het nieuwe systeem. Het huidige systeem functioneert ongewijzigd. Wel wordt er doorgewerkt aan de voorbereiding van de ingebruikname om te voorkomen dat er vertraging optreedt en de risico’s met betrekking tot de continuïteit van het systeem daarmee toenemen. Daarbij merk ik op dat de gunning in maart 2025 definitief is geworden en het contact met Fast Enterprises is getekend. De Belastingdienst is als contractpartij gehouden aan de verplichtingen die hieruit voortvloeien. Het opzeggen of niet nakomen van het contract zal juridische en financiële consequenties met zich meebrengen.
Zoals aangegeven in de Kamerbrief en in de antwoorden op vraag 7 en 13 zal ik u voor het zomerreces en dus voor de ingebruikname van het systeem informeren over het uitwerken van de alternatieve route en de risicoanalyse.

Vraag 25

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden en in ieder geval te voldoen aan de aanvullende informatieverzoeken voordat het commissiedebat Belastingdienst van 19 maart 2026 plaatsvindt?

Ja, de vragen zijn zoveel mogelijk afzonderlijk van elkaar beantwoord.

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Bent u bekend met het bericht «Hackers persen Odido af na datalek en eisen een miljoen euro losgeld»?1

Ja.

Vraag 2

Deelt u de mening dat het verdienmodel van cybercriminelen voor een groot deel draait op het afpersen van slachtoffers, onder dreiging van het publiceren van gestolen data of het voor eeuwig versleutelen van systemen?

De modus operandi van cybercriminelen waarbij slachtoffers worden afgeperst onder dreiging van het publiceren van gestolen data of versleuteling is bekend.2

Vraag 3

Vindt u dat het toegeven aan dit soort afpersing het verdienmodel van cybercriminelen in stand houdt? Hoe verhoudt dit zich volgens u tot de bescherming van slachtoffers, die hun persoonlijke data in handen van criminelen zien verdwijnen als een getroffen organisatie niet betaalt?

Slachtoffer worden van ransomware en dit soort afpersing kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging is aan de getroffen organisatie, maar het dringende advies vanuit de overheid blijft: geen losgeld betalen. Het betalen van losgeld biedt geen garantie dat criminelen systemen weer toegankelijk maken of gestolen data niet doorverkopen aan andere criminelen. Het uitbetalen van losgeld houdt bovendien het verdienmodel van criminelen in stand. En lokt daarmee mogelijk nieuwe aanvallen op Nederlandse organisaties uit.
Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Het is vooral belangrijk dat getroffen personen informatie krijgen over de risico’s die zij lopen en wat zij daartegen kunnen doen. Mensen die vermoeden dat ze slachtoffer zijn geworden van de diefstal van hun gegevens, kunnen op de site van de politie controleren3 of hun data in handen van criminelen is gevallen.

Vraag 4

Klopt het dat het voor een getroffen organisatie logisch kan lijken om losgeld te betalen (op basis van de belofte van daders dat gestolen data niet gepubliceerd worden of versleutelde systemen worden vrijgegeven), maar dat dit de samenleving als geheel juist meer kan kosten, omdat het verdienmodel van cybercriminelen in stand gehouden wordt? Zo nee, waarom niet? Zo ja, op welke manier kan de samenleving volgens u dit dilemma oplossen?

Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Staat u nog steeds achter het advies van de overheid aan organisaties om geen losgeld aan hackers te betalen? Op welke expertkennis baseert u dat advies?

Ja, zie de antwoorden op de voorgaande vragen. Dit sluit aan bij het inzicht en advies van de politie en het OM.

Vraag 6

Zou een verbod op het betalen van losgeld aan hackers de samenleving als geheel ten goede kunnen komen? Zo ja, waarom? Zo nee, waarom niet? Wat zijn volgens u de voor- en nadelen van een dergelijk verbod?

We willen organisaties die slachtoffer zijn geworden van een ransomware aanval niet criminaliseren. Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Zolang die spanning niet eenduidig kan worden opgelost wordt – net als in de meeste EU landen – dringend geadviseerd om geen losgeld te betalen, in plaats van een wettelijk verbod. Daarnaast wordt ingezet op preventie, meldplichten bij toezichthouders en gerichte informatie aan individuen wier gegevens zijn getroffen.

Vraag 7

Kan een verbod op het betalen van losgeld ook dienen als extra prikkel voor organisaties om extra werk te maken van cyberweerbaarheid? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni, de AVG en de aankomende Cyberbeveiligingswet) verplicht organisaties om serieus werk te maken van cyberweerbaarheid. Zoals uiteengezet in het antwoord op vraag 2 is daarbij het dringende advies om geen losgeld te betalen. Er kunnen situaties voorkomen waarbij toch een andere afweging wordt gemaakt door een organisatie. Om deze reden achten wij een volledig wettelijk verbod onwenselijk.

Vraag 8

Welke extra prikkels en instrumenten kunt u inzetten om ervoor te zorgen dat organisaties te dwingen hun cyberweerbaarheid serieus te nemen? Denkt u dat boetes hier een effectief middel voor kunnen zijn? Zo ja, op welke manier? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni en AVG) biedt de nodige handhavende bevoegdheden om in te grijpen bij vastgestelde onregelmatigheden. Ingrijpen kan bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen van persoonsgegevens of het opleggen van boetes. Onder de zorgplicht van de Telecommunicatiewet moeten organisaties passende technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheersen. Hieronder vallen ook risico’s met betrekking tot diensten zoals een klantsysteem. De Rijksinspectie Digitale Infrastructuur houdt toezicht op de Telecomwet en de Autoriteit Persoonsgegevens houdt toezicht op de AVG.
Daarnaast wordt met de aankomende implementatie van de Cyberbeveiligingswet (Cbw) een impuls gegeven aan de wettelijke verplichtingen voor essentiële en belangrijke entiteiten om maatregelen te nemen die bijdragen aan hun eigen cyberweerbaarheid. Ook is er sprake van een meldplicht bij significante incidenten. De verplichtingen uit de Cbw worden gehandhaafd door de bevoegde toezichthouders/autoriteiten. Organisaties worden onderworpen aan een beveiligingsscan en audit, en kunnen een aanwijzing, de verplichting tot het openbaar maken van een overtreding, een last onder bestuursdwang, een last onder dwangsom en een bestuurlijke boete opgelegd krijgen.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en binnen de gestelde termijn beantwoorden?

ja.

Vraag 1

Bent u bekend met het bericht van RTL waarin wordt gemeld dat bij telecomprovider Odido een grootschalig datalek heeft plaatsgevonden en dat hierbij, anders dan eerder door het bedrijf gecommuniceerd, ook burgerservicenummers (BSN) zijn gelekt?1

Ja

Vraag 2

Hoe beoordeelt u de ernst van het incident, in het bijzonder het lekken van BSN, vanuit het perspectief van de bescherming van fundamentele rechten van burgers en hoe ingrijpend beoordeelt u de impact op burgers?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte gegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede beveiliging van persoonsgegevens zoals vereist in de Algemene Verordening Gegevensbescherming (AVG) pure noodzaak is en een cruciaal onderdeel van de bedrijfsprocessen moet zijn. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval en de daders.
De gelekte gegevens waaronder ook het BSN zijn niet direct bruikbaar voor fraudeurs om zelfstandig fraude op naam van gedupeerden te plegen. Criminelen gebruiken de gegevens vooral om phishingaanvallen uit te voeren en gedupeerden te verleiden om op een link te klikken of nog meer gegevens prijs te geven.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert niet om paspoorten of identiteitskaarten te vernieuwen. Er zijn alleen paspoortnummers gelekt. Alleen met die informatie kunnen criminelen niet zelfstandig fraude plegen. Zij kunnen die informatie echter wel gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Met behulp van de gestolen informatie proberen ze dan om zo betrouwbaar mogelijk te lijken en in te spelen op het gevoel van burgers met als doel om meer informatie te ontfutselen of burgers te verleiden op een link, button of QR-code te klikken.

Vraag 3

In hoeverre acht u daarbij het recht op privacy en gegevensbescherming geschonden, nu (oud-)klanten van Odido buiten hun eigen schuld risico lopen op misbruik van hun persoonsgegevens?

In algemene zin is een datalek een inbreuk in verband met het recht op persoonsgegevens. Of, en zo ja in hoeverre, de privacy en het recht op gegevensbescherming van betrokken in deze concrete zaak zijn geschonden, is niet aan het kabinet om te beoordelen. Dit is aan de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouders of in voorkomende gevallen aan de rechter om te beoordelen.

Vraag 4

Hoe beoordeelt u het advies aan Odido om geen losgeld te betalen, gelet op de huidige situatie waarin de hackersgroep Shinyhunters is overgegaan tot publicatie van gestolen persoonsgegevens, met mogelijke ernstige gevolgen voor de (oud-)klanten van Odido?2

Het besluit van Odido om geen losgeld te betalen sluit aan bij de visie van het kabinet. Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Kunt u aangeven welke opsporingsprioriteit wordt gegeven aan het strafrechtelijk onderzoek dat is gestart door het Openbaar Ministerie en ligt daarbij ook een rol voor de digitale recherche?

Het OM gaat over de opsporingsprioriteit. De politie is onder gezag van het Openbaar Ministerie een opsporingsonderzoek gestart. Een team van het Team High Tech Crime, dat gespecialiseerd is in dit soort cybercriminaliteit, doet onderzoek naar het incident.

Vraag 6

Welke rol ziet u bij het ondersteunen en informeren van burgers van wie persoonsgegevens door cybercriminelen zijn gepubliceerd en acht u het huidige instrumentarium hiervoor toereikend?

De overheid geeft praktische tips om de digitale weerbaarheid van burgers te vergroten. Zo hebben burgers de mogelijkheid om websites zoals veiliginternetten.nl en die van het NCSC te raadplegen waar veel informatie en adviezen worden gegeven over hoe ze zich online kunnen beschermen en over de basisprincipes van digitale weerbaarheid. Via Centraal Meldpunt Identiteitsfraude (CMI) kan er melding worden gedaan van fraude, hier is ook een specifieke pagina over de Odido hack. Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Economische Zaken – digitale economie en soevereiniteit en de aangenomen motie van het lid Rajokowski die opriep tot een duidelijk handelingskader voor slachtoffers van datalekken.3

Vraag 7

Ziet u aanleiding om het strafrechtelijk kader of de opsporingscapaciteit op het terrein van hacks en digitale afpersing te versterken, bijvoorbeeld door intensivering van de digitale recherche van de politie of door aanpassing van wet- en regelgeving?

Door het Ministerie van Justitie en Veiligheid worden met de politie en het OM worden gesprekken gevoerd over wat er nodig is om de aanpak van online criminaliteit een stap verder te brengen, daarin zullen de recente incidenten zoals de hacks bij Clinical Diagnostics en Odido worden meegenomen.
In het coalitieakkoord is verder aangekondigd dat de strafmaxima voor zware cyberdelicten zullen worden verhoogd. Bij de nadere beleidsuitwerking hiervan zal ook aandacht worden besteed aan deze recente incidenten.

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden en dit doen voorafgaand aan de behandeling van de Cyberbeveiligingswet?

Dit is helaas niet gelukt.