Vraag 1

Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

Ja.

Vraag 2

Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.

Vraag 3

Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

Zie antwoord vraag 2.

Vraag 4

Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.

Vraag 5

Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.

Vraag 6

Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.

Vraag 7

Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.

Vraag 8

Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.

Vraag 9

In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).

Vraag 10

Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.

Vraag 11

De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

Vraag 1

Bent u bekend met het artikel van RTL Nieuws dat Twitter hun gebruikers tegen betaling de mogelijkheid gaat bieden om versleutelde privéberichten te sturen naar andere betalende gebruikers?1

Ja.

Vraag 2

Welk basisniveau bescherming acht u noodzakelijk voor gebruikers van sociale mediaplatforms, waaronder Twitter?

Sterke versleuteling is van groot belang om veilig online te communiceren. De Rijksoverheid schrijft geen specifiek basisniveau voor in de zin van specifieke maatregelen betreffende de beveiliging van Twitter (tegenwoordig X). Wel bestaat er wetgeving waar X aan moet voldoen en wordt er gewerkt aan een verdere aanscherping van wetgeving. Hieronder wordt daar nader op ingegaan.

Vraag 3

Hoe verhoudt de beveiliging van reguliere, niet-betalende twittergebruikers zich tot dit basisniveau?

Indien bij het gebruik van een sociale mediaplatform zoals X persoonsgegevens worden verwerkt, is daarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Een van de beginselen van de AVG is integriteit en vertrouwelijkheid. Dit beginsel houdt onder andere in dat de nodige technische en organisatorische maatregelen dienen te worden getroffen om een passende beveiliging van persoonsgegevens te borgen. Dit kan in de praktijk betekenen dat persoonsgegevens dienen te worden versleuteld (encryptie). Daarnaast kunnen andere aanvullende beveiligingsmaatregelen ook noodzakelijk zijn, zoals het beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen. Welk basisniveau in concrete gevallen is vereist, vraagt om een risicoanalyse waarin met alle relevante omstandigheden wordt rekening gehouden. Of in concrete gevallen is voldaan aan het vereiste niveau van beveiliging uit de AVG, is uiteindelijk aan de toezichthouder om te beoordelen. In Nederland is dat de Autoriteit Persoonsgegevens (AP), die onafhankelijk toeziet op de naleving van de AVG.
Daarnaast wordt op dit moment de herziene Europese netwerk- en informatiebeveiligingsrichtlijn1 (NIS2) geïmplementeerd. Deze richtlijn heeft als doel om de cyberbeveiliging van entiteiten in de EU naar een hoger niveau te tillen. Met de komst van de NIS2-richtlijn wordt het aantal sectoren dat onder de richtlijn valt uitgebreid; één van de nieuwe sectoren zijn aanbieders van platforms voor sociale netwerkdiensten, waaronder X. De zorgplicht voortkomend uit de NIS2 houdt in dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De Rijksinspectie Digitale Infrastructuur (RDI) is in Nederland de beoogde toezichthouder op de sector digitale aanbieders, waar aanbieders van platforms voor sociale netwerkdiensten onder vallen.Lidstaten dienen de NIS2-richtlijn uiterlijk op 17 oktober 2024 in hun nationale wetgeving te hebben omgezet.
Deze huidige en toekomstige wettelijke kaders zijn van toepassing ongeacht of gebruikers betalen voor de dienst.

Vraag 4

Hoe verhoudt de nieuw voorgestelde mogelijkheid om tegen betaling versleutelde berichten te kunnen versturen en ontvangen zich tot dit basisniveau?

Zie antwoord vraag 3.

Vraag 5

Hoe verhoudt zowel de beveiliging van regulier als betaald gebruik van Twitter zich tot nationale en internationale grond- en mensenrechten? Waarin zitten op dit vlak de verschillen tussen reguliere en betalende gebruikers?

Zoals hierboven beschreven zijn er een aantal wettelijke kaders waar X zich aan moet houden, ongeacht of het gaat om betalende of niet betalende gebruikers. Het is aan de desbetreffende toezichthouder om in een concreet geval te bepalen of de getroffen maatregelen passend zijn.
Ook heeft iedereen recht op de bescherming van de persoonlijke levenssfeer en privécommunicatie. De grond- en mensenrechten schrijven niet voor hoe die bescherming moet plaatsvinden. Ook hier geldt dat de persoonlijke levenssfeer en de veiligheid van communicatie beschermd moeten worden, onafhankelijk van betaling.

Vraag 6

Heeft u indicaties dat privéberichten van niet-betalende gebruikers van Twitter onvoldoende beveiligd zijn, bijvoorbeeld doordat deze ingezien kunnen worden door partijen die daartoe niet bevoegd zijn? Kunt u uitsluiten dat dit gebeurt?

Zie antwoord vraag 5.

Vraag 7

Heeft u zicht op het gebruik van versleutelde communicatiekanalen, zoals dat voor betalende Twittergebruikers mogelijk wordt, door bewindspersonen? Hoe zou u een verbod daarop beoordelen, in het licht van een juiste naleving van de Wet Open Overheid?

Het gebruik van berichtenapps voor formeel zakelijke communicatie wordt zoveel mogelijk beperkt. Voor bestuurlijke aangelegenheden wordt het gebruik ontraden. Dit beleid is nog steeds van kracht. Het feit dat gegevensstromen tijdens gebruik versleuteld zijn, staat op geen enkele manier in de weg dat bestuursorganen invulling kunnen en moeten geven aan hun verplichtingen omtrent archivering en openbaarmaking.

Vraag 1

Kunt u bevestigen dat u op 27 september heeft gesproken met Klaus Schwab over «kunstmatige intelligentie in de mondiale economie»?1

Ja.

Vraag 2

Wie heeft dit gesprek geïnitieerd?

Het idee voor een gesprek is in gezamenlijkheid tot stand gekomen.

Vraag 3

Wat was de aanleiding voor dit gesprek?

Zie het antwoord op vraag 2. De keuze voor het onderwerp hangt samen met een van de thema’s voor de bijeenkomst in Davos van januari 2024.

Vraag 4

Waarom acht u het van belang om Klaus Schwab te spreken over dit onderwerp?

Zie het antwoord op vraag 3.

Vraag 5

Wie waren de andere deelnemers?

Aan het gesprek namen naast de heer Schwab ook de Minister van Financiën, de heer Dušek, de heer Halberstadt en de heer Sijbesma deel en ambtelijke ondersteuning.

Vraag 6

Wat was uw doel van het gesprek?

Het gesprek had geen specifiek doel of gewenste uitkomst. Het gesprek betrof een vrije gedachtenwisseling.

Vraag 7

Wat was de uitkomst van het gesprek?

Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. Het gesprek had niet tot doel om tot een uitkomst te leiden.

Vraag 8

Bent u bereid de notulen van het gesprek te delen? Zo nee, waarom niet?

Van het gesprek zijn geen notulen gemaakt. Het betrof een informeel gesprek.

Vraag 9

Zijn er naast dit gesprek nog andere activiteiten van overheidswege gepland, waar Klaus Schwab gedurende zijn verblijf in Nederland bij aanwezig is? Zo ja, kunt u de voorgaande vragen mutatis mutandis ook ten aanzien van die andere activiteiten beantwoorden?

Nee.

Vraag 1

Bent u bekend met het bericht «Minister gooit satellietbedrijf Inmarsat van 5G-frequentie»?1

Ja.

Vraag 2

Kunt u toelichten waarom de huidige wet- en regelgeving in Griekenland het niet toelaat om de duur van de vergunning voor Inmarsat te verlengen?

De Griekse overheid kan in de specifieke situatie van Inmarsat op basis van de Griekse wet- en regelgeving slechts vergunningen verlenen voor de duur van 5 jaar. Een vergunning voor een tweede 5-jaars termijn is daarbij mogelijk; dat is expliciet bepaald in deze vergunning. De aanvraag voor de tweede termijn kan al relatief vroeg worden ingediend en niet pas tegen het einde van de eerste 5-jaars termijn.

Vraag 3

Acht u de eis van Inmarsat om zekerheid voor minimaal tien jaar te krijgen realistisch en proportioneel?

Uit mijn antwoord op vraag 2 blijkt waarom de eis van Inmarsat om de duur van de door de Griekse autoriteiten verleende vergunning te verlengen niet realistisch is. Daarnaast acht ik deze eis ook niet proportioneel. Inmarsat heeft nu al voldoende zekerheid. De Griekse autoriteiten hebben Inmarsat immers al een vergunning verleend met een looptijd van 5 jaar en het uitgangspunt (van de Griekse autoriteiten) is dat zij ook een nieuwe vergunning zullen verlenen voor nogmaals een periode van 5 jaar. Dat uitgangspunt is expliciet opgenomen in de vergunning van Inmarsat. Er is slechts een uiterst kleine kans dat dit niet zal gebeuren of dat de Griekse autoriteiten een gewijzigde vergunning zouden verlenen (zie ook mijn antwoord op vraag 4). Dat leidt er dan niet toe dat de dienstverlening t.a.v. het nood-, spoed- en veiligheidsverkeer zou moeten worden beëindigd. In dat geval zou namelijk eerst naar (technische) aanpassingen worden gekeken om storing door mobiele telecommunicatienetwerken – die gebruik maken van de 3,5 GHz-band in Griekenland – op het grondstation van Inmarsat te voorkomen. Deze aanpassingen kunnen zien op technische maatregelen die genomen moeten worden aan de kant van mobiele telecommunicatienetwerken dan wel aan de kant van het grondstation van Inmarsat. EETT, de Griekse telecomtoezichthouder, heeft aangegeven zich actief op te stellen richting betrokken partijen in het geval zich storing zou voordoen. Gezien al deze waarborgen is het niet proportioneel om hiervoor de uitrol van 5G in Nederland langer uit te stellen of om hiervoor andere voorzieningen te treffen.

Vraag 4

Waaruit blijkt volgens u het door de Griekse autoriteiten getoonde commitment om de dienstverlening ten aanzien van nood-, spoed- en veiligheidsverkeer (NSV-verkeer) door Inmarsat te verwelkomen en te beschermen?

Ambtenaren van mijn ministerie hebben – deels in afstemming met Inmarsat – de afgelopen tijd verschillende overleggen gevoerd met het Griekse Ministerie van Digitale Zaken, EETT en het Ministerie van Transport. Uit de gevoerde gesprekken, waarin herhaaldelijk de verwelkoming van Inmarsat werd uitgesproken, blijkt dat het in de vergunning beschreven scenario waarin de licentie niet (ongewijzigd) zou worden verlengd, vooral ziet op de situatie dat Griekenland vanuit de Europese Unie wordt verplicht om met 5G-telecommunicatie zelfrijdende voertuigen voor goederentransport en personenvervoer op een nabijgelegen snelweg te faciliteren. Griekenland kan dit scenario niet uitsluiten, maar acht de kans op verwezenlijking daarvan binnen de relevante periode uiterst klein. Het door Inmarsat gevreesde risico wordt dan ook door EETT slechts als theoretisch beschouwd.

Vraag 5

Welke extra diplomatieke inspanning kunt u nog leveren richting de Griekse autoriteiten om extra waarborgen af te spreken die kunnen leiden tot een definitieve verhuizing?

Op 15 september jl. heb ik met de Griekse Minister van Digitale Zaken online overleg gevoerd over de verhuizing van Inmarsat. Het overleg verliep constructief.

Vraag 6

Was er in de onderhandelingen tussen u en Inmarsat al overeenstemming over een schadevergoeding of nadeelcompensatie voor Inmarsat?

Nee, er is met Inmarsat geen overeenstemming bereikt over schadevergoeding of nadeelcompensatie voor Inmarsat.

Vraag 7

Klopt het dat u in uw brief van 3 juli jl. heeft aangegeven dat in de situatie die nu is ontstaan de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten?2

Dat is inderdaad correct. De migratie naar Griekenland biedt in mijn ogen Inmarsat nu voldoende zekerheden om een wijziging van het Nationaal Frequentieplan 2014 (NFP) voor te bereiden waarin de bescherming van Inmarsat vanaf 1 februari 2024 wordt opgeheven. Ik vind dit nodig gelet op het belang voor Nederlandse bedrijven en consumenten van het zo snel mogelijk beschikbaar stellen van de 3,5 GHz-band voor mobiele communicatie ten behoeve van de uitrol van 5G. Zoals ik in mijn brief van 3 juli jl. uiteen heb gezet, zal voor deze wijziging de Uniforme Openbare Voorbereidingsprocedure conform de Algemene wet bestuursrecht moeten worden doorlopen waarbij een ontwerpbesluit zes weken in consultatie wordt gebracht. Na afloop van de consultatiefase worden de reacties verwerkt en zal ik het definitieve besluit nemen. Ook in dit scenario acht ik het verstandig de uitspraak van de rechter in de beroepszaak van eerste helft oktober af te wachten voor de start van de veilingprocedure. Dit gehele proces neemt op zijn minst een aantal maanden in beslag. Ik heb aangegeven te verwachten dat in dit scenario de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten.

Vraag 8

Bent u naar aanleiding hiervan voornemens om de 3,5Ghz-veilling uit te stellen naar 2024 en, zo ja, wat wordt het precieze nieuwe tijdpad?

De veiling van de 3,5 GHz-band zal inderdaad niet meer in 2023 plaatsvinden, maar in 2024. Het exacte tijdpad is echter afhankelijk van de uitkomst van de lopende gerechtelijke procedure tegen het NFP-wijzigingsbesluit m.b.t de 3,5 GHz-band. Ik kan om die reden op dit moment niet aangeven hoe het precieze tijdpad voor de veiling in 2024 er uit komt te zien.

Vraag 9

Is al duidelijk of de geplande zitting bij de rechtbank op 11 oktober a.s. wordt gehandhaafd of uitgesteld, zoals u in uw brief van 3 juli jl. suggereert?

De rechtbank Rotterdam heeft mij laten weten dat de geplande zitting op 11 oktober a.s. wordt gehandhaafd.

Vraag 10

Waarom heeft u ervoor gekozen om de deadline voor het vervallen van de vergunning van Inmarsat op 1 februari 2024 te stellen? Is deze deadline voldoende in lijn met een aangepaste tijdlijn voor de veiling?

Allereerst merk ik op dat Inmarsat in Nederland geen vergunning heeft, maar de bescherming van de verzorging van het NSV-verkeer ontleent aan het NFP. Deze bescherming komt per 1 februari 2024 te vervallen. Daarbij heeft Inmarsat voor de verzorging van het NSV-verkeer ten minste twee locaties nodig in Europa. Naast het grondstation in Burum, beschikte Inmarsat al over een tweede station in Fucino, Italië. De situatie in Italië is onveranderd; Inmarsat beschikt daar nog steeds over een grondstation. Inmarsat beschikt inmiddels ook over een grondstation in Griekenland. Na het uitkomen van het advies van de adviescommissie is door mijn ministerie ieder kwartaal overleg gevoerd met Inmarsat over de voortgang van de werkzaamheden die nodig waren voor verhuizing naar Griekenland. De afronding van de werkzaamheden voor de verhuizing naar Griekenland is concreet in zicht. De bouw van het satellietgrondstation is afgerond en op dit moment vinden in Griekenland de laatste configuratietesten plaats. Op basis van de laatste informatie zie ik geen beletsel voor Inmarsat om de migratie per 1 januari 2024 te kunnen afronden. Hoewel Inmarsat geacht wordt de migratie vóór 1 januari 2024 te voltooien, hanteer ik één maand speling tussen de migratie van het door Inmarsat verzorgde NSV-verkeer en de wijziging van het NFP. Dit betekent dat de (tijdelijke) bescherming die Inmarsat aan het huidige NFP kan ontlenen, per 1 februari 2024 vervalt. De continuïteit van de afwikkeling van het NSV-verkeer door Inmarsat is hiermee geborgd. Zo spoedig als mogelijk na 1 februari 2024 kan dan de veilingprocedure in gang worden gezet, waarbij ik voor het precieze tijdpad wel afhankelijk ben van de uitkomst van de gerechtelijke procedure zoals ik heb aangegeven in het antwoord op vraag 8.

Vraag 11

Hoe zorgt u ervoor dat de overheid als betrouwbare partner optreedt richting betrokken partijen zonder dat we nog verder achter gaan lopen in Europa door een trage uitrol van 5G?

Ik probeer zo transparant mogelijk te zijn in de stappen die nodig zijn om tot de daadwerkelijke ingebruikname van de 3,5 GHz-band over te kunnen gaan. Ik heb daarbij echter niet in de hand dat belanghebbende partijen juridische procedures aanspannen tegen de besluiten die ik neem. Er loopt nu een beroepsprocedure tegen het NFP-wijzigingsbesluit m.b.t. de 3,5 GHz-band uit 2023. De procedure en de uitkomst ervan kunnen effect hebben op de planning van de veiling van de 3,5 GHz-band en daarmee op de ingebruikname van deze frequentieband. Overigens kunnen voor de frequentieruimte die in de 3,5 GHz-band is bestemd voor perceelgebonden netten (de zgn. 2x50 MHz, lopend van 3400–3450 MHz en 3750–3800 MHz) vanaf 1 december 2023 vergunningen worden aangevraagd.

Vraag 1

Bent u bekend met het bericht «Experts sabelen overheid neer om belangrijke websites als DigiD: «Pas nu domeinnaam aan»»?1

Ja.

Vraag 2

Deelt u de mening dat het gebruik van topleveldomeinnamen, zoals ook gevraagd tijdens het commissiedebat Digitaliserende overheid d.d. 28 juni jl. een goed idee is en wat is de status hiervan2?

Zoals opgenomen in de Werkagenda Waardengedreven Digitaliseren3, heb ik onder de pijler 2: Iedereen kan de digitale wereld vertrouwen, opgenomen te komen tot de invoering van een second-level-domein (SLD) voor de overheid. Als voorbeeld is in de Werkagenda opgenomen de SLD overheid.nl, daarnaast wordt ook gov.nl overwogen.
Met de toename van domeinnamen van de overheid is de herkenbaarheid van overheidswebsites in het geding gekomen. Een eigen topleveldomeinnaam (TLD) zoals bijvoorbeeld .gov, .overheid of .nld is nu niet mogelijk. De TLD .gov is al in bezit van de Amerikaanse overheid en kan dus niet gebruikt worden door de Nederlandse overheid.
In 2012, tijdens de laatste uitbreiding van TLD’s heeft de Internet Corporation for Assigned Names and Numbers (ICANN), de organisatie waar je een TLD moet aanvragen, de regel gehandhaafd dat 3 letterige ISO country codes TLD (ccTLD) zoals .nld niet uitgegeven worden.4 Nederland gebruikt op dit moment de 2 letterige ccTLD .nl en het huidige .nl domein werkt goed [zie Kamerstuk 26 643, nr. 947]. ICANN zal de regel over niet toekennen van 3 letterige ccTLD zeer waarschijnlijk ook handhaven in de volgende uitbreidingsronde van TLD door ICANN. Verwacht wordt dat ICANN waarschijnlijk in 2026 de aanmelding voor een volgende uitbreidingsronde voor TLD’s opent. Tot die tijd zou Nederland geen aanvraag voor een TLD kunnen indienen.
Veel landen hanteren specifiek voor overheidswebsites de SLD extensie .gov zoals het Verenigd Koninkrijk (gov.uk), Tsjechië (gov.cz), Polen (gov.pl), Griekenland (gov.gr) en Portugal (gov.pt). Het is inmiddels een internationale standaard voor overheidswebsites én herkenbaar, korter en daardoor ook veiliger. Uit recent onderzoek5 van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) blijkt aantoonbaar dat een uniforme extensie burgers helpt te bepalen of een website van de overheid is of niet.
Momenteel wordt gewerkt aan een implementatie-aanpak voor één extensie. Over de gemaakte keuze en aanpak wil ik uw Kamer via de Voortgangsrapportage van de Werkagenda Waardengedreven Digitaliseren eind dit jaar nader informeren. Voor de daadwerkelijke implementatie zal er vervolgens enige tijd nodig zijn; dit zal nader toegelicht worden in de implementatie-aanpak.

Vraag 3

Zo ja, op welke termijn verwacht u dit door te kunnen voeren?

Zie antwoord vraag 2.

Vraag 4

Waarom hebben namen van websites als DigiD en andere websites van de overheid (nog) geen specifieke domeinnamen?

Overheden zijn nu vrij domeinnamen voor hun websites te kiezen. Voor Rijksoverheden wordt deze vrijheid begrensd door de afspraken die zijn vastgelegd in het Domeinnaambeleid Rijksoverheid.6 De afspraken bevatten onder meer criteria voor het gebruik van topleveldomeinen door de Rijksoverheid zoals .nl, .eu, .com, .aw-, .cw- en .sx. En verder zijn er afspraken dat overige TLD’s zoals bijvoorbeeld .nu, .org, .net, .gov, .info, .biz, .mil niet gebruikt worden voor Nederlandse Rijksoverheidsdoeleinden.

Vraag 5

Hoe beoordeelt u dat er wordt gesteld dat de overheid domeinnamen van de eigen websites zo snel mogelijk moet aanpassen naar .gov of .overheid om de opmars van cybercriminaliteit de pas af te snijden?

De invoering van een uniform domeinnaamachtervoegsel zal de herkenbaarheid van de overheid online vergroten, zoals ik ook vermeldde in de «Werkagenda Waardengedreven Digitaliseren» die ik eind 2022 met u deelde. Het is echter geen middel om cybercriminaliteit met online overheidsdiensten volledig te voorkomen.
Zoals toegelicht in vraag 2 is de invoering van een top-level domeinnaam (TLD) voor de overheid nu niet mogelijk. De second-level domeinnamen (SLD) overheid.nl en gov.nl zijn al in bezit van de Nederlandse overheid. Deze domeinnamen kunnen als uniform achtervoegsel (ook wel suffix of extensie genoemd) worden gebruikt voor domeinnamen van de overheid. Daaronder kunnen dan domeinnamen voor organisaties worden geregistreerd zoals bijv. minbzk.overheid.nl of minbzk.gov.nl. Verschillende andere landen hanteren al een vergelijkbare aanpak of werken aan de invoering ervan, zoals Groot-Brittannië (gov.uk), Tsjechië (gov.cz), Griekeland (gov.gr), Polen (gov.pl) en Portugal (gov.pt). Ik ben voorstander van het invoeren van een SLD-extensie en zal me daarvoor ook blijven inzetten, maar een volledige overstap zal tijd kosten.

Vraag 6

Deelt u de mening dat er spoedig specifieke domeinnamen moeten komen voor de hiervoor genoemde websites? Zo neen, waarom niet?

Ik vind het belangrijk dat de digitale overheid herkenbaar en veilig is voor burgers en uit recent burgeronderzoek7 is gebleken dat één uniforme domeinnaamextensie zoals bijvoorbeeld overheid.nl of gov.nl bijdraagt aan de herkenbaarheid van de overheid. Een dergelijk extensie kan, na invoering, ook worden toegepast op websites zoals DigiD.

Vraag 7

Bent u voornemens de domeinnamen spoedig te veranderen? Zo neen, waarom niet? Zo ja, wanneer zou dat gerealiseerd kunnen zijn?

Op dit moment werkt het Ministerie van BZK interdepartementaal de mogelijkheid uit om één uniforme domeinnaamextensie voor alle publieksgerichte websites van de overheid in te voeren. Dat zal gebaseerd zijn op een SLD zoals overheid.nl of gov.nl. Ook is het Nationaal Cyber Security Centrum gevraagd een advies uit te brengen over welk extensiegebruik (gov.nl of overheid.nl) vanuit digitale veiligheid de voorkeur geniet.
Verder is begin oktober het Register van Overheidsorganisaties (ROO) uitgebreid met de bèta-versie van het Register Internetdomeinen Overheid (RIO).8 In het register staan alle publieke domeinen en -registraties van de Rijksoverheid opgenomen. Aan de hand van het register kunnen burgers nu al controleren of een domeinnaam die men bezoekt bij de overheidsorganisatie hoort die wordt verwacht. Vanaf begin 2024 worden ook de domeinen van andere overheden in het register vindbaar en zal meer bekendheid gegeven worden aan het RIO.

Vraag 8

Wanneer kan de voortgangsrapportage integrale aanpak onlinefraude worden verwacht, die zoals toegezegd tijdens het commissiedebat Cybercrime d.d. 30 maart jl.3, informatie bevat over de pilot gegevensuitwisseling, gezien banken, politie en het OM informatie hebben die helaas nog te weinig bij elkaar wordt gebracht, waardoor cybercriminelen vrij spel lijken te hebben?

De Minister van Justitie en Veiligheid zendt u uiterlijk begin 2024 de toegezegde voortgangsrapportage over 2023.

Vraag 9

In het debat Online veiligheid en cybersecurity van 29 juni 2023 is toegezegd4 om informatie over terugvalopties en de hele weerbaarheidsanalyse terug te laten komen in de update van de versterkte aanpak bescherming vitale infrastructuur: hoe staat het met de uitwerking van deze toezegging?

Uw Kamer wordt voor het einde van dit jaar door de Minister van Justitie en Veiligheid geïnformeerd over deze toezegging en over de motie Rajkowski en Van Raan over het in kaart brengen in hoeverre terugvalopties nodig zijn voor het versterken van de digitale weerbaarheid (26 643 nr. 1053).

Vraag 10

Bent u voornemens het onderzoek van Interpolis, waarnaar verwezen wordt in het artikel, mee te nemen in de aanpak tegen phishing en andere vormen van cybercriminaliteit? Zo ja, op welke manier zal dit terugkomen en wanneer verwacht het kabinet een update over de aanpak te kunnen geven? Zo nee, waarom niet?

De in het artikel genoemde noties over online weerbaarheid, en het herkennen en voorkomen van cybercriminaliteit zijn bekend. Dat wordt door de Minister van Justitie en Veiligheid meegenomen in de aanpak tegen cybercrime, en de aanpak tegen online fraude. Een voorbeeld hiervan is de campagne «Laat je niet interneppen», die op 10 oktober is gestart. Er wordt rekening gehouden met de verschillende (online) belevingswerelden van verschillende leeftijdsgroepen. Daarom is het eerste deel van de campagne met name gericht op jongeren tussen 15 en 23 jaar oud. Volgende delen zullen zich op andere doelgroepen richten.
In het voorjaar van 2024 zal de Minister van Justitie en Veiligheid een volgende update over de integrale aanpak cybercrime naar uw Kamer zenden.

Vraag 11

De drempel om te starten met cybercrime zoals phishing ligt steeds lager en daders worden steeds jonger. De Minister heeft eerder toegezegd programma’s als «Hack_Right» meer in te zetten om jongeren op het juiste pad te zetten: hoe staat het hiermee? Hoe vaak is een hack_right traject in 2023 tot dus ver opgelegd?

Er zijn verschillende interventies die door de politie en HALT worden ingezet om jongeren op het juiste te pad te houden of te zetten. Een voorbeeld hiervan is Re_B00tcmp, een terugkerend regionaal evenement voor jongeren met interesse in IT, en die de neiging hebben online grenzen op te zoeken. Tijdens het evenement leren zij middels verschillende presentaties van publieke en private partijen over online grenzen en positieve kansen van IT. Ook is er lesmateriaal ontwikkeld, dat ondersteuning biedt aan ouders, docenten en wijkagenten om jongeren met interesse in IT naar diverse positieve alternatieven te begeleiden. Ook is een aantal online interventies ontwikkeld, zoals de game Framed, en de inkoop van online advertenties om mensen die naar cybercriminele activiteiten (zoals DDoS) zoeken een advertentie van de politie te laten zien die informeert over de strafbaarheid en mogelijke consequenties. In 2023 zijn er tot dusver twee Hack_Right-trajecten opgelegd. Daarnaast is Hack_Right twee keer geadviseerd, eenmaal door de Raad van de Kinderbescherming, en eenmaal door de Reclassering. De rechter heeft daarover nog geen uitspraak gedaan.

Vraag 1

Kunt u bevestigen dat u op 27 september heeft gesproken met Klaus Schwab over «kunstmatige intelligentie in de mondiale economie»?1

Ja.

Vraag 2

Wie heeft dit gesprek geïnitieerd?

Het idee voor een gesprek is in gezamenlijkheid tot stand gekomen.

Vraag 3

Wat was de aanleiding voor dit gesprek?

Zie het antwoord op vraag 2. De keuze voor het onderwerp hangt samen met een van de thema’s voor de bijeenkomst in Davos van januari 2024.

Vraag 4

Waarom acht u het van belang om Klaus Schwab te spreken over dit onderwerp?

Zie het antwoord op vraag 3.

Vraag 5

Wie waren de andere deelnemers?

Aan het gesprek namen naast de heer Schwab ook de Minister van Financiën, de heer Dušek, de heer Halberstadt en de heer Sijbesma deel en ambtelijke ondersteuning.

Vraag 6

Wat was uw doel van het gesprek?

Het gesprek had geen specifiek doel of gewenste uitkomst. Het gesprek betrof een vrije gedachtenwisseling.

Vraag 7

Wat was de uitkomst van het gesprek?

Het gesprek had een informeel karakter en was bedoeld om vrij met elkaar van gedachten te wisselen. Het gesprek had niet tot doel om tot een uitkomst te leiden.

Vraag 8

Bent u bereid de notulen van het gesprek te delen? Zo nee, waarom niet?

Van het gesprek zijn geen notulen gemaakt. Het betrof een informeel gesprek.

Vraag 9

Zijn er naast dit gesprek nog andere activiteiten van overheidswege gepland, waar Klaus Schwab gedurende zijn verblijf in Nederland bij aanwezig is? Zo ja, kunt u de voorgaande vragen mutatis mutandis ook ten aanzien van die andere activiteiten beantwoorden?

Nee.

Vraag 1

Bent u bekend met het bericht «Minister gooit satellietbedrijf Inmarsat van 5G-frequentie»?1

Ja.

Vraag 2

Kunt u toelichten waarom de huidige wet- en regelgeving in Griekenland het niet toelaat om de duur van de vergunning voor Inmarsat te verlengen?

De Griekse overheid kan in de specifieke situatie van Inmarsat op basis van de Griekse wet- en regelgeving slechts vergunningen verlenen voor de duur van 5 jaar. Een vergunning voor een tweede 5-jaars termijn is daarbij mogelijk; dat is expliciet bepaald in deze vergunning. De aanvraag voor de tweede termijn kan al relatief vroeg worden ingediend en niet pas tegen het einde van de eerste 5-jaars termijn.

Vraag 3

Acht u de eis van Inmarsat om zekerheid voor minimaal tien jaar te krijgen realistisch en proportioneel?

Uit mijn antwoord op vraag 2 blijkt waarom de eis van Inmarsat om de duur van de door de Griekse autoriteiten verleende vergunning te verlengen niet realistisch is. Daarnaast acht ik deze eis ook niet proportioneel. Inmarsat heeft nu al voldoende zekerheid. De Griekse autoriteiten hebben Inmarsat immers al een vergunning verleend met een looptijd van 5 jaar en het uitgangspunt (van de Griekse autoriteiten) is dat zij ook een nieuwe vergunning zullen verlenen voor nogmaals een periode van 5 jaar. Dat uitgangspunt is expliciet opgenomen in de vergunning van Inmarsat. Er is slechts een uiterst kleine kans dat dit niet zal gebeuren of dat de Griekse autoriteiten een gewijzigde vergunning zouden verlenen (zie ook mijn antwoord op vraag 4). Dat leidt er dan niet toe dat de dienstverlening t.a.v. het nood-, spoed- en veiligheidsverkeer zou moeten worden beëindigd. In dat geval zou namelijk eerst naar (technische) aanpassingen worden gekeken om storing door mobiele telecommunicatienetwerken – die gebruik maken van de 3,5 GHz-band in Griekenland – op het grondstation van Inmarsat te voorkomen. Deze aanpassingen kunnen zien op technische maatregelen die genomen moeten worden aan de kant van mobiele telecommunicatienetwerken dan wel aan de kant van het grondstation van Inmarsat. EETT, de Griekse telecomtoezichthouder, heeft aangegeven zich actief op te stellen richting betrokken partijen in het geval zich storing zou voordoen. Gezien al deze waarborgen is het niet proportioneel om hiervoor de uitrol van 5G in Nederland langer uit te stellen of om hiervoor andere voorzieningen te treffen.

Vraag 4

Waaruit blijkt volgens u het door de Griekse autoriteiten getoonde commitment om de dienstverlening ten aanzien van nood-, spoed- en veiligheidsverkeer (NSV-verkeer) door Inmarsat te verwelkomen en te beschermen?

Ambtenaren van mijn ministerie hebben – deels in afstemming met Inmarsat – de afgelopen tijd verschillende overleggen gevoerd met het Griekse Ministerie van Digitale Zaken, EETT en het Ministerie van Transport. Uit de gevoerde gesprekken, waarin herhaaldelijk de verwelkoming van Inmarsat werd uitgesproken, blijkt dat het in de vergunning beschreven scenario waarin de licentie niet (ongewijzigd) zou worden verlengd, vooral ziet op de situatie dat Griekenland vanuit de Europese Unie wordt verplicht om met 5G-telecommunicatie zelfrijdende voertuigen voor goederentransport en personenvervoer op een nabijgelegen snelweg te faciliteren. Griekenland kan dit scenario niet uitsluiten, maar acht de kans op verwezenlijking daarvan binnen de relevante periode uiterst klein. Het door Inmarsat gevreesde risico wordt dan ook door EETT slechts als theoretisch beschouwd.

Vraag 5

Welke extra diplomatieke inspanning kunt u nog leveren richting de Griekse autoriteiten om extra waarborgen af te spreken die kunnen leiden tot een definitieve verhuizing?

Op 15 september jl. heb ik met de Griekse Minister van Digitale Zaken online overleg gevoerd over de verhuizing van Inmarsat. Het overleg verliep constructief.

Vraag 6

Was er in de onderhandelingen tussen u en Inmarsat al overeenstemming over een schadevergoeding of nadeelcompensatie voor Inmarsat?

Nee, er is met Inmarsat geen overeenstemming bereikt over schadevergoeding of nadeelcompensatie voor Inmarsat.

Vraag 7

Klopt het dat u in uw brief van 3 juli jl. heeft aangegeven dat in de situatie die nu is ontstaan de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten?2

Dat is inderdaad correct. De migratie naar Griekenland biedt in mijn ogen Inmarsat nu voldoende zekerheden om een wijziging van het Nationaal Frequentieplan 2014 (NFP) voor te bereiden waarin de bescherming van Inmarsat vanaf 1 februari 2024 wordt opgeheven. Ik vind dit nodig gelet op het belang voor Nederlandse bedrijven en consumenten van het zo snel mogelijk beschikbaar stellen van de 3,5 GHz-band voor mobiele communicatie ten behoeve van de uitrol van 5G. Zoals ik in mijn brief van 3 juli jl. uiteen heb gezet, zal voor deze wijziging de Uniforme Openbare Voorbereidingsprocedure conform de Algemene wet bestuursrecht moeten worden doorlopen waarbij een ontwerpbesluit zes weken in consultatie wordt gebracht. Na afloop van de consultatiefase worden de reacties verwerkt en zal ik het definitieve besluit nemen. Ook in dit scenario acht ik het verstandig de uitspraak van de rechter in de beroepszaak van eerste helft oktober af te wachten voor de start van de veilingprocedure. Dit gehele proces neemt op zijn minst een aantal maanden in beslag. Ik heb aangegeven te verwachten dat in dit scenario de veilingprocedure op zijn vroegst in het eerste kwartaal van 2024 zal kunnen starten.

Vraag 8

Bent u naar aanleiding hiervan voornemens om de 3,5Ghz-veilling uit te stellen naar 2024 en, zo ja, wat wordt het precieze nieuwe tijdpad?

De veiling van de 3,5 GHz-band zal inderdaad niet meer in 2023 plaatsvinden, maar in 2024. Het exacte tijdpad is echter afhankelijk van de uitkomst van de lopende gerechtelijke procedure tegen het NFP-wijzigingsbesluit m.b.t de 3,5 GHz-band. Ik kan om die reden op dit moment niet aangeven hoe het precieze tijdpad voor de veiling in 2024 er uit komt te zien.

Vraag 9

Is al duidelijk of de geplande zitting bij de rechtbank op 11 oktober a.s. wordt gehandhaafd of uitgesteld, zoals u in uw brief van 3 juli jl. suggereert?

De rechtbank Rotterdam heeft mij laten weten dat de geplande zitting op 11 oktober a.s. wordt gehandhaafd.

Vraag 10

Waarom heeft u ervoor gekozen om de deadline voor het vervallen van de vergunning van Inmarsat op 1 februari 2024 te stellen? Is deze deadline voldoende in lijn met een aangepaste tijdlijn voor de veiling?

Allereerst merk ik op dat Inmarsat in Nederland geen vergunning heeft, maar de bescherming van de verzorging van het NSV-verkeer ontleent aan het NFP. Deze bescherming komt per 1 februari 2024 te vervallen. Daarbij heeft Inmarsat voor de verzorging van het NSV-verkeer ten minste twee locaties nodig in Europa. Naast het grondstation in Burum, beschikte Inmarsat al over een tweede station in Fucino, Italië. De situatie in Italië is onveranderd; Inmarsat beschikt daar nog steeds over een grondstation. Inmarsat beschikt inmiddels ook over een grondstation in Griekenland. Na het uitkomen van het advies van de adviescommissie is door mijn ministerie ieder kwartaal overleg gevoerd met Inmarsat over de voortgang van de werkzaamheden die nodig waren voor verhuizing naar Griekenland. De afronding van de werkzaamheden voor de verhuizing naar Griekenland is concreet in zicht. De bouw van het satellietgrondstation is afgerond en op dit moment vinden in Griekenland de laatste configuratietesten plaats. Op basis van de laatste informatie zie ik geen beletsel voor Inmarsat om de migratie per 1 januari 2024 te kunnen afronden. Hoewel Inmarsat geacht wordt de migratie vóór 1 januari 2024 te voltooien, hanteer ik één maand speling tussen de migratie van het door Inmarsat verzorgde NSV-verkeer en de wijziging van het NFP. Dit betekent dat de (tijdelijke) bescherming die Inmarsat aan het huidige NFP kan ontlenen, per 1 februari 2024 vervalt. De continuïteit van de afwikkeling van het NSV-verkeer door Inmarsat is hiermee geborgd. Zo spoedig als mogelijk na 1 februari 2024 kan dan de veilingprocedure in gang worden gezet, waarbij ik voor het precieze tijdpad wel afhankelijk ben van de uitkomst van de gerechtelijke procedure zoals ik heb aangegeven in het antwoord op vraag 8.

Vraag 11

Hoe zorgt u ervoor dat de overheid als betrouwbare partner optreedt richting betrokken partijen zonder dat we nog verder achter gaan lopen in Europa door een trage uitrol van 5G?

Ik probeer zo transparant mogelijk te zijn in de stappen die nodig zijn om tot de daadwerkelijke ingebruikname van de 3,5 GHz-band over te kunnen gaan. Ik heb daarbij echter niet in de hand dat belanghebbende partijen juridische procedures aanspannen tegen de besluiten die ik neem. Er loopt nu een beroepsprocedure tegen het NFP-wijzigingsbesluit m.b.t. de 3,5 GHz-band uit 2023. De procedure en de uitkomst ervan kunnen effect hebben op de planning van de veiling van de 3,5 GHz-band en daarmee op de ingebruikname van deze frequentieband. Overigens kunnen voor de frequentieruimte die in de 3,5 GHz-band is bestemd voor perceelgebonden netten (de zgn. 2x50 MHz, lopend van 3400–3450 MHz en 3750–3800 MHz) vanaf 1 december 2023 vergunningen worden aangevraagd.

Vraag 1

Bent u bekend met het onderzoeksrapport «The Future of NATO’s European Land Forces: Plans, Challenges, Prospects»?1

Ja.

Vraag 2

Erkent u dat Duitsland slecht scoort op (digitale) interoperabiliteit, en de gebrekkige digitalisering partnerlanden dwingt hun eigen capaciteiten te «downgraden»?2

Nee. In de huidige landmachtsamenwerking met Duitsland is het in sommige gevallen niet mogelijk om onderling de maximale capaciteiten van Nederlandse systemen volledig te benutten. De systemen kunnen echter binnen de Nederlandse eenheden wel maximaal benut worden, zelfs wanneer geïntegreerd samengewerkt wordt met Duitsland. Er is daardoor geen sprake van «downgraden».

Vraag 3

Wat zijn de gevolgen hiervan voor de Nederlands-Duitse defensiesamenwerking? Heeft Nederland ook capaciteiten moeten «downgraden» om op één lijn te komen met de Duitsers?

In aanvulling op het antwoord op vraag 2 geldt dat Nederland en Duitsland doorlopend werken aan de verbetering van de digitale interoperabiliteit en standaardisatie. Defensie moderniseert binnen het vervangings- en moderniseringsprogramma Foxtrot haar grondgebonden mobiele militaire radio- en communicatieapparatuur (Kamerstukken 33 279, nr. 31 van 12 december 2019 en 27 830, nr. 316 van 2 oktober 2020). In een vergelijkbaar programma is de Duitse krijgsmacht in 2018 gestart met een groot moderniseringsprogramma om haar command & control middelen te moderniseren: D-LBO («Digitisation of Land-Based Operations», Kamerstuk 31 125, nr. 114 van 11 september 2020).

Vraag 4

Zijn er andere gebieden waarin de ontwikkeling en het opereren van onze landmacht wordt gehinderd door een gebrekkige inrichting van de Duitse landmacht? Zo ja, welke?

Nee, de ontwikkeling en het opereren van de Nederlandse landmacht wordt niet gehinderd door de inrichting van de Duitse landmacht.

Vraag 5

Deelt u de conclusie uit het rapport dat NAVO-lidstaten soms moeilijke keuzes moeten maken ten aanzien van de opbouw van hun landstrijdkrachten, zélfs als er voldoende budget is?

Ja. Niet alles kan. Keuzes moeten worden gemaakt. Hoewel het onderzoeksrapport van het International Institute for Strategic Studies (IISS) alleen ingaat op de landstrijdkrachten, geldt dit voor de gehele krijgsmacht en voor alle domeinen. Voor deze keuzes moeten onder andere bondgenootschappelijke verplichtingen worden afgewogen tegen nationale verplichtingen, zoals de inzet in het Caribisch deel van het Koninkrijk. Meerjarige zekerheid en financiële stabiliteit, gecombineerd met een duidelijke (strategische) visie maken dat er toekomstbestendige keuzes gemaakt kunnen worden die de krijgsmacht over de volle breedte versterkt.

Vraag 6

Voor welke moeilijke keuzes staat Duitsland, en bestaat het risico dat onze landmacht straks nog meer capaciteiten moet «downgraden» om maar te kunnen samenwerken met Duitsland?

Over de keuzes die in andere landen worden gemaakt, kan het kabinet geen uitspraken doen. Zoals aangegeven in de beantwoording van de vragen 2 en 3 is geen sprake van «downgraden».

Vraag 7

Wordt Duitsland diplomatiek bij de les gehouden en op scherp gezet om de in 2022 aangekondigde defensie-investeringen, in het belang van de NAVO, wel goed uit te voeren?

Elke bondgenoot rapporteert jaarlijks aan de NAVO over de verwachte ontwikkelingen van de defensie-uitgaven. De voortgang van de intensivering van de defensie-uitgaven worden ook besproken tijdens bijeenkomsten van NAVO-Ministers van Defensie en meest recent nog tijdens de afgelopen NAVO-top van 11 en 12 juli 2023 in Vilnius (zie ook: Kamerstuk 28 676, nr. 440 van 18 juli 2023). De ontwikkeling van de defensie-uitgaven wordt door NAVO gepubliceerd in het openbare burden sharing rapport.3

Vraag 8

Erkent u (met het oog op bovenstaande) de noodzaak om de Nederlandse krijgsmacht zo zelfstandig mogelijk te laten functioneren en dus niet samen te laten smelten met de Duitse krijgsmacht? Zo nee, waarom niet?

Nee. Door samenwerking wordt onze krijgsmacht sterker en Nederland veiliger. Over de landmachtsamenwerking met Duitsland is uw Kamer reeds geïnformeerd (Kamerstuk 33 279, nr. 37 van 23 februari 2023).

Vraag 1

Kent u het artikel «Dat zijn toch gewoon ál onze artikelen?»1

Ja.

Vraag 2

Kunt u bevestigen dat ChatGPT zijn taalmodel traint op basis van miljoenen onrechtmatig verkregen documenten van Docplayer.nl?

Ik beschik niet over informatie over de manier waarop ChatGPT gegevens verwerkt. Ik deel de zorg of gegevensverwerking door ChatGPT in overeenstemming met de regels van het gegevensbeschermingsrecht plaatsvindt. Ik vind het dan ook een goede zaak dat de Autoriteit Persoonsgegevens (AP), als toezichthouder op de naleving van de Algemene Verordening Gegevensbescherming (AVG), op 7 juni jl. bekend heeft gemaakt dat zij OpenAI per brief om opheldering heeft gevraagd over ChatGPT.2 De AP schrijft op haar website dat zij van OpenAI wil weten welke data worden gebruikt om het algoritme te trainen op welke manier dat gebeurt. Verder schrijft de AP zorgen te hebben omtrent informatie over mensen die GPT gebruikt. De gegenereerde inhoud kan onnauwkeurig zijn, verouderd, onjuist, ongepast, beledigend, of aanstootgevend en kan een eigen leven gaan leiden. Of en zo ja hoe OpenAI die gegevens kan rectificeren of verwijderen, vindt de AP nog onduidelijk, zo volgt uit haar bericht.

Vraag 3

Klopt het dat die documenten vol staan met onder andere BSN-nummers, persoonlijke belastingaangiftes, curricula vitae en andere persoonsgegevens?

Zie antwoord vraag 2.

Vraag 4

Deelt u de stelling uit het artikel: «De persoonlijke informatie van docplayer.nl was op de website zélf al in strijd met de wet, laat staan wanneer die ook nog eens in chatbots wordt verwerkt»? Zo nee, waarom niet?

Er is mij onvoldoende bekend over docplayer.nl om hierover stelling in te nemen. Dat is ook niet de taak van het kabinet; de toezichthouder op de verwerking van persoonsgegevens dient dat in de eerste plaats te beoordelen, of het Openbaar Ministerie indien wordt vermoed dat sprake is van strafbare feiten.

Vraag 5

Klopt het dat ChatGPT hiermee onrechtmatig en onwettig persoonsgegevens verwerkt?

Het kabinet deelt de zorgen van uw Kamer over de risico’s die generatieve AI-systemen, zoals ChatGPT, met zich mee kunnen brengen voor onder meer privacy, desinformatie en manipulatie. We zetten ons als kabinet vol in op het nemen van passende stappen op dit onderwerp.
Het kabinet werkt momenteel aan een visietraject over generatieve AI, zoals verzocht door uw Kamer middels de motie van de leden Dekker-Abdulaziz en Rajkowski. Deze visie wordt op een transparante wijze ontwikkeld en getoetst in diverse sectoren. U ontvangt deze visie voor het einde van het jaar. Over de voortgang is uw Kamer op 7 juli jl. al separaat geïnformeerd3. In deze visie formuleert het kabinet een standpunt over generatieve AI, waar ook een van de meest gebruikte generatieve AI-tools onder valt: ChatGPT. Ook wordt uiteengezet welk handelingsperspectief de Nederlandse overheid heeft om te waarborgen dat deze technologie op een verantwoorde manier in onze samenleving wordt ingebed.
Nederland speelt daarnaast een actieve rol in de onderhandelingen over zowel de AI-verordening van de EU als het AI-verdrag van de Raad van Europa. De AI-verordening stelt specifieke eisen aan de ontwikkelaars en gebruikers van hoog-risico AI-systemen, bijvoorbeeld als het gaat om transparantie en productveiligheid. Wij vinden het – net als het Europees Parlement – van belang dat er in deze wet speciale aandacht is voor foundation models en generatieve AI, zoals GPT en ChatGPT. Het kabinet zet zich ervoor in dat deze wet zo snel mogelijk wordt aangenomen.
De AP heeft mij geïnformeerd dat het samenwerkingsverband van Europese privacytoezichthouders (EDPB) op 13 april heeft besloten om, naar aanleiding van het Italiaanse optreden tegen OpenAI inzake ChatGPT, een taskforce in te stellen. Deze taskforce heeft tot doel de samenwerking en informatie-uitwisseling over mogelijke handhavingsmaatregelen te bevorderen. Alle Europese privacytoezichthouders zijn in dit samenwerkingsverband vertegenwoordigd, dus ook de AP. Generatieve AI, zoals het grote taalmodel artificiële intelligentie (AI) systeem ChatGPT, is een grensoverschrijdend fenomeen dat vraagt om een geharmoniseerde aanpak. Daarom hecht de AP grote waarde aan een effectief gezamenlijk optreden van de Europese privacytoezichthouders. Of ChatGPT rechtmatig persoonsgegevens verwerkt, is uiteindelijk ter beoordeling van de toezichthouders.

Vraag 6

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Zie antwoord vraag 5.

Vraag 7

Klopt het dat ChatGPT voor zijn taalmodel ongeveer net zoveel geleerd heeft van de neonazistische website Stormfront als van de website van RTL Nieuws?2

Vraag 8

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 9

Klopt het dat ChatGPT gebruik heeft gemaakt van onder andere 594.000 NRC artikelen en 162.000 Volkskrant artikelen?

Vraag 10

Deelt u de mening dat ChatGPT hiermee inbreuk maakt op het auteursrecht?

Dat valt niet op voorhand te zeggen. Op grond van artikel 25a, derde lid, van de Auteurswet wordt onder tekst- en datamining verstaan een geautomatiseerde analysetechniek die gericht is op de ontleding van tekst en gegevens in digitale vorm om informatie te genereren zoals, maar niet uitsluitend, patronen, trends en onderlinge verbanden. De definitie is ruim en omspant waarschijnlijk ook het trainen van generatieve artificiële intelligentie zoals ChatGPT. In principe is voor iedere reproductie van een werk van letterkunde, wetenschap of kunst voorafgaande toestemming van de maker of zijn rechtverkrijgende nodig. Zonder die toestemming wordt inbreuk op het auteursrecht gemaakt. Artikel 15o van de Auteurswet voorziet echter in een uitzondering op het reproductierecht voor tekst- en datamining. Aan de inroepbaarheid van die uitzondering zijn twee voorwaarden verbonden. In de eerste plaats moet de degene die zich op de uitzondering beroept rechtmatig toegang hebben tot het werk dat wordt gekopieerd om tekst- en datamining mogelijk te maken. Van rechtmatige toegang tot het werk is uiteraard sprake als het werk voor het publiek online vrijelijk beschikbaar is gesteld. In de tweede plaats moet de maker van het werk of zijn rechtverkrijgende het recht om een reproductie te maken ten behoeve van tekst- en datamining niet op passende wijze hebben voorbehouden. Of daarvan sprake is bij de artikelen waaruit ChatGPT put, is mij niet bekend. Een reproductie mag blijkens het bepaalde in artikel 15o, tweede lid, van de Auteurswet worden bewaard zolang dit nodig is voor tekst- en datamining. Daarna moet de reproductie worden verwijderd. Anders is sprake van inbreuk op het auteursrecht. De regeling is geënt op artikel 4 van richtlijn (EU) 2019/790 van het Europees Parlement en de Raad van 17 april 2019 inzake auteursrechten en naburige rechten in de digitale eengemaakte markt en tot wijziging van Richtlijnen 96/9/EG en 2001/29/EG (PbEU 2019, L130/92). Het geven van een interpretatie is daarmee uiteindelijk aan het Hof van Justitie van de Europese Unie voorbehouden.
In de kabinetsvisie generatieve AI wordt een nadere analyse uitgevoerd van auteursrechtelijke vraagstukken gerelateerd aan generatieve AI, zoals ChatGPT. Daarnaast onderzoekt het Rathenau Instituut – in opdracht van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties – hoe huidig beleid en de bestaande wet- en regelgeving zich verhouden tot generatieve AI. Hierbij zal ook aandacht uitgaan naar (juridische) auteursrechtelijke kwesties betreffende generatieve AI.

Vraag 11

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 12

Klopt het dat het «kwaliteitsfilter» is gebaseerd op drie bronnen waarvan er twee (Wikipedia en Reddit) een zeer sterke oververtegenwoordiging van mannelijke input kennen?3

Vraag 13

Hoe oordeelt u daarover? Wat gaat u er aan doen?

Vraag 14

Deelt u de mening dat de Autoriteit Persoonsgegevens zo snel mogelijk met een spoedoordeel moet komen over ChatGPT en het blokkeren ervan geen taboe is? Kunt u de Autoriteit Persoonsgegevens daartoe aansporen?

Graag verwijs ik naar het antwoord op de vragen 2 en 3, waaruit volgt dat de AP zelf reeds een stap heeft gezet.

Vraag 15

Kunt u deze vragenset zo snel als mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het artikel «Geplande slijtage bij je iPhone: Franse overheid ziet aanwijzingen»?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe beoordeelt u deze werkwijze van Apple (mits aangetoond)? Wat kan de Nederlandse overheid doen om de repareerbaarheid van producten zoals de iPhone af te dwingen en om geplande veroudering tegen te gaan?

In een circulaire economie moeten repareerbare producten de norm zijn en is voor geplande veroudering geen plaats. Uit het genoemde artikel blijkt dat de Franse autoriteiten onderzoeken in hoeverre Apple probeert te voorkomen dat hun producten gerepareerd kunnen worden door onafhankelijke reparateurs, doordat onderdelen niet door het product herkend worden in verband met een afwijkend serienummer.2 Het is van belang om onderscheid te maken tussen dergelijke praktijken en de praktijk van vroegtijdige (geplande) veroudering. Van dit laatste is sprake wanneer producten opzettelijk zo zijn ontworpen dat deze vroegtijdig gebreken gaan vertonen, terwijl de consument mocht verwachten dat het product langer zou meegaan.
Er kan sprake zijn van een oneerlijke handelspraktijk wanneer verkopers consumenten misleiden3 over de voornaamste kenmerken van het product, bijvoorbeeld met betrekking tot de te verwachten levensduur.4 De Autoriteit Consument & Markt (ACM) houdt toezicht op deze regelgeving. Het is echter belangrijk om op te merken dat het doorgaans de producent is en niet de verkoper die informatie heeft over de gebruikte ontwerptechnieken waardoor een product vroegtijdig veroudert. De ACM kan eventueel besluiten om, op basis van de Mededingingswet, een onderzoek te starten naar praktijken die het onafhankelijke reparateurs onmogelijk maken om producten te repareren. Het is hierbij van belang om te vermelden dat de ACM onafhankelijk is in haar toezicht en geen mededelingen doet over lopende of eventueel te starten onderzoeken.
Het verbeteren van de repareerbaarheid en daarmee de levensduur van producten is bij uitstek een Europese aangelegenheid, gezien de interne markt. Dit gebeurt via de Europese Ecodesign richtlijn. Zie ook de beantwoording van vraag 3.

Vraag 3

In hoeverre hebt u in beeld wat de omvang is van «geplande veroudering» van producten? In welke productgroepen komt deze handelwijze het meest voor en welke maatregelen zijn op nationaal en Europees gebied reeds genomen om deze praktijk tegen te gaan?

In de praktijk is het lastig vast te stellen dat veroudering bewust is gepland door producenten. Over de omvang van geplande veroudering is mede daardoor weinig informatie beschikbaar. Wel laat de effectbeoordeling bij het EU voorstel voor een «Grotere rol voor de consument bij de groene transitie» zien dat consumenten steeds vaker te maken krijgen met snellere veroudering en het onverwacht stukgaan van producten. In de bijbehorende publieksconsultatie gaf 76% van de respondenten aan te maken te hebben gehad met vroegtijdige veroudering in de voorgaande drie jaar. De respondenten gaven aan dat vooral ICT producten (47%), kleine huishoudelijke apparaten (20%), kleding en schoenen (19%), andere elektronische apparaten (18%), grote huishoudelijke apparaten (16%) en software programma’s (15%) onverwachts stuk gingen. De effectbeoordeling noemt daarnaast dat de levensduur van producten steeds korter wordt en dat technische mankementen de voornaamste reden zijn voor vervanging.
Onder de huidige Ecodesign-richtlijn wordt al aandacht besteed aan levensduur en repareerbaarheid van energiegerelateerde apparaten, door levensduureisen of duurzaamheidseisen aan producten te stellen. Bijvoorbeeld de minimumeisen die worden gesteld aan de levensduur van elektrische motoren in stofzuigers en stofzuigerslangen of aan de levensduur voor de batterij in smartphones en tablets. Op dit moment wordt er onderhandeld over de vervanging van de Ecodesign-richtlijn door een verordening.5
De Minister van Economische Zaken en Klimaat onderhandelt momenteel over het Europese voorstel voor een «Grotere rol voor de consument bij de groene transitie»6 dat onder andere tot doel heeft om consumenten in de aankoopfase beter te informeren over de (on)mogelijkheden tot reparatie. In dat EU-voorstel is onder meer de verplichting voor de softwareleverancier opgenomen om consumenten te informeren over de negatieve impact (verouderende werking) van een update op de werking van een product met een digitaal element. De Minister en ik werken in deze onderhandelingen nauw samen.

Vraag 4

Hoe kijkt u in het algemeen naar «geplande veroudering» van producten in het licht van de doelstellingen van een circulaire economie in 2050? Welke concrete oplossingen biedt het maart 2023 gepresenteerde voorstel van de Europese Commissie voor een «recht op reparatie» voor deze problematiek en in hoeverre zijn deze voldoende?

Ik vind dat er geen plaats is voor geplande veroudering in een circulaire economie, waarin het langer gebruiken van producten juist erg belangrijk is. In een circulaire economie produceren we producten van hoge kwaliteit en gebruiken we producten die lang meegaan en goed repareerbaar zijn.
Onlangs zijn de onderhandelingen over het Commissievoorstel voor een recht op reparatie gestart. De Minister van Economische Zaken en Klimaat voert die onderhandelingen vanuit het kabinet en ook hier werken onze ministeries nauw met elkaar samen. Dit voorstel moet het voor consumenten gemakkelijker maken om hun producten ook buiten de garantieperiode te (laten) repareren. Zo worden producenten verplicht om (tegen betaling) bepaalde producten7 buiten de garantieperiode te herstellen en consumenten over deze verplichting te informeren.8 Daarnaast moeten producenten ervoor zorgen dat onafhankelijke reparateurs toegang hebben tot specifieke reserveonderdelen voor een periode tot maximaal tien jaar nadat het laatste model op de markt is verschenen. Bovendien moeten onafhankelijke reparateurs toegang krijgen tot aan reparatie gerelateerde informatie.9 In de onderhandelingen over het voorstel zal om verduidelijking worden gevraagd of deze informatie ook betrekking heeft op de onverenigbaarheid van reserveonderdelen met het oorspronkelijke product, conform de praktijk die beschreven wordt in het door u aangehaalde artikel.

Vraag 5

Bent u bekend met de Franse «Repairability Index»?2 Gaat deze index ook onderdeel zijn van het Europese Ecodesign pakket? Gaan we in Nederland ook een dergelijke «Repairability Index» op producten zien? Hoe worden consumenten daarbij voorgelicht over de levensduur van producten?

Ja, ik ben bekend met de Franse «Repairability Index». Op basis van de huidige EU productregelgeving is het al mogelijk om een repareerbaarheidsindex op producten te verplichten. In de nog vast te stellen verordening voor smartphones en tablets onder de huidige Ecodesign-richtlijn is bijvoorbeeld een repareerbaarheidsindex opgenomen. Deze komt op het energielabel te staan. De Europese Commissie zal deze later dit jaar opstellen in het kader van de energielabelverordening voor smart phones en tablets. De energielabels, inclusief repareerbaarheidsindex, moeten dan 21 maanden later in de winkels, fysiek en online, bij de producten te zien zijn.
De verwachting is dat een dergelijke repareerbaarheidsindex in ieder geval voor steeds meer energiegerelateerde producten zal worden ingevoerd, zoals wasdrogers en wasmachines. Bovendien wordt momenteel onderhandeld over de herziening van de huidige Europese richtlijn naar een Kaderverordening Ecodesign voor duurzame producten. Daarmee kan het ook mogelijk worden om een repareerbaarheidsindex te ontwikkelen voor niet-energiegerelateerde producten.
Onder het voorstel voor een «Grotere rol voor de consument bij de groene transitie» moeten handelaren consumenten vervolgens informeren over de repareerbaarheid van producten wanneer zij die informatie hebben ontvangen van de producent. Bijvoorbeeld via een repareerbaarheidsscore, of door middel van andere relevante reparatie-informatie.11 Consumenten kunnen ook via particuliere initiatieven zoals reparatiedienst Ifixit informatie vinden over de mate van repareerbaarheid van smartphones, tablets en laptops.12

Vraag 1

Bent u bekend met het bericht «Eindhovense toeleverancier van Philips en ASML opent vestiging in China»?1

Ja.

Vraag 2

Klopt het dat een Nederlands bedrijf door een vestiging in China te openen Amerikaanse restricties op de Chinese chipsector kan omzeilen en, zo ja, welke maas in de Nederlandse, Europese of Amerikaanse regelgeving maakt dit mogelijk?

Nee. In algemene zin is productie op grondgebied van het ene land niet gebonden aan regelgeving van een ander land. Wel kan het in het eigen belang van een bedrijf zijn om regelgeving uit een ander land, in dit geval de VS, te volgen terwijl hier geen plicht toe is. Verder kan de export van goederen, technologie of kennis uit de EU, bijvoorbeeld ten bate van lokale productie wel vergunningplichtig zijn, wanneer het om dual use- of sanctiegoederen gaat.

Vraag 3

Vallen de goederen die het bedrijf KMWE in China wil gaan produceren onder (dual-use) exportrestricties wanneer deze vanuit Nederland uitgevoerd worden?

Het is de verantwoordelijkheid van bedrijven om vergunningen aan te vragen voor de export van goederen die onder exportcontrole vallen. Daar ziet de Douane in opdracht van de Minister voor Buitenlandse Handel en Ontwikkelingssamenwerking scherp op toe. Het kabinet doet geen uitspraken over individuele gevallen.

Vraag 4

Hoe verhoudt de verplaatsing van productie vanuit Nederland naar China zich tot de doelstelling van de EU Chips Act om Europees technologisch leiderschap juist te versterken en tot de kabinetsdoelstelling van het behoud van Nederlands technologisch leiderschap rond halfgeleidertechnologie? (Kamerstuk 22 054, nr. 384)

Zoals ook toegelicht in de Beantwoording Schriftelijk Overleg Raad voor Concurrentievermogen2 van 17 mei 2023 zetten de EU en Nederland met de Europese Chips Act in op het versterken van het Europees technologisch leiderschap op het gebied van halfgeleidertechnologie. De Europese Chips Act zorgt voor het stimuleren van innovatie, het aantrekken van investeringen en de voorbereiding van de EU op mogelijke verstoringen in de halfgeleiderwaardeketen. De Europese Chips Act heeft zo tot doel de Europese halfgeleiderindustrie te versterken. De Europese Chips Act bevat geen bepalingen die tegenhouden dat bedrijven niet-gecontroleerde technologie bedoeld voor de afzetmarkt in betreffende derde land, produceren. Daarbij valt op te merken dat het openhouden van wereldwijde waardeketens ook van groot belang is voor de financiering van (toekomstige) innovaties en daarmee ons technologisch leiderschap.

Vraag 5

Hoe verhoudt de verplaatsing van productie vanuit Nederland naar China zich tot de doelstelling van het kabinet om te «voorkomen dat Nederlandse goederen bijdragen aan ongewenst eindgebruik, zoals militaire inzet» (Kamerstuk 22 054, nr. 384)?

Zoals aangegeven in het antwoord op vraag 2 en 3 is de export van machines, technologie of kennis vanuit Nederland naar China vergunningplichtig, indien het om dual-usegoederen gaat. Er zal in dat geval een toetsing plaats vinden of er een risico is op ongewenst eindgebruik.

Vraag 6

Is het mogelijk dat productie door KMWE in China uiteindelijk bijdraagt aan de ontwikkelingen van capaciteiten in dat land, waarvan de VS en Nederland nu juist via uitvoerbeperkingen rond de chipsector proberen te voorkomen dat China hier de beschikking over krijgt?

De aanvullende Nederlandse exportcontrolemaatregelen richten zich op geavanceerde productie apparatuur voor halfgeleiders, omdat daar risico’s voor de (inter)nationale veiligheid bestaan. Deze maatregelen zijn heel gericht. De productie van KMWE valt heden niet binnen de scope van deze maatregelen.3 Indien het bedrijf zich op dit specifieke segment richt, zal het te maken krijgen met exportcontrole-maatregelen.

Vraag 7

Hoe verhoudt de investering van KMWE in China zich tot het criterium uit de EU Chips Act dat een ontvanger van eventuele subsidie een plan moet hebben om de diefstal van intellectueel eigendom te voorkomen, gezien de Chinese bereidheid om deze technologie langs alle mogelijke wegen te bemachtigen?

Ondernemingen die binnen de EU Chips Act staatssteun willen ontvangen voor de opzet van productiefaciliteiten zullen voor het voldoen aan de Geïntegreerde productiefaciliteitof Open EU Foundry-criteria, en zo voor het ontvangen van staatssteun door de lidstaat bij de Europese Commissie, moeten aantonen dat zij gedegen beleid hebben om intellectueel eigendom te beschermen. Het is in het kader van de EU Chips Act aan de Europese Commissie om te toetsen of een onderneming voldoet aan deze eis. Nederland heeft in aanvulling daarop eveneens wet- en regelgeving om intellectueel eigendom en octrooien te beschermen, bijv. via de Wet bescherming bedrijfsgeheimen.

Vraag 8

Welke mogelijkheden heeft het kabinet nu om de opening van productiefaciliteiten in China door KMWE te screenen en eventueel op gronden van nationale veiligheid of behoud van cruciale kennis te verhinderen?

Er is alleen sprake van screening van bedrijven die in Nederland willen investeren. Indien er geen regels worden overtreden bij de transactie, zijn er geen instrumenten om een opening van productiefaciliteit door een Nederlands bedrijf in het buitenland te verhinderen. De export van machines, technologie of kennis vanuit Nederland naar China, bijvoorbeeld ten bate van lokale productie kan wel vergunningplichtig zijn, indien het om dual-usegoederen gaat.

Vraag 9

Vindt u ook dat bovenstaande de noodzaak van een screening op uitgaande investeringen aantoont, als aanvulling op de screening van inkomende investeringen en exportcontroles? Hoe gaat u zich hiervoor inzetten?

Het kabinet heeft kennisgenomen van het voornemen van de Europese Commissie om de risico’s die mogelijk voortkomen uit uitgaande investeringen te gaan onderzoeken. De Europese Commissie heeft aangegeven op basis van de resultaten van deze analyse te bepalen of een aanvullend instrument voor uitgaande investeringen nodig is. Het kabinet wacht deze resultaten af.

Vraag 10

Welke andere instrumenten of drukmiddelen staan er tot de beschikking van Nederland, de EU en/of de VS om op basis van deze stap van KMWE de activiteiten of handel van KMWE in respectievelijk Nederland, de EU en/of de VS te beperken of sanctioneren?

Zoals aangegeven in het antwoord op vraag 3 is het de verantwoordelijkheid van het individuele bedrijf om eventuele vergunningen aan te vragen voor de export van dual-usegoederen of sanctiegoederen. Indien er geen sprake is van zulke vergunningplichtige goederen of technologie is er geen reden om de handel te beperken of te sanctioneren.

Vraag 11

Ziet u aanleiding om op basis van deze stap van KMWE de activiteiten of handel van KMWE in Nederland te beperken of te sanctioneren?

Zie antwoord vraag 10.

Vraag 12

Is de toename van activiteiten van de Nederlandse chipsector in China, en specifieker de stap van KMWE, besproken tijdens het bezoek van de Chinese vicepresident Han Zheng aan Nederland?

Nee, deze specifieke onderwerpen zijn niet besproken tijdens het bezoek van de Chinese Vice-President.

Vraag 1

Bent u bekend met het artikel van RTL Nieuws dat Twitter hun gebruikers tegen betaling de mogelijkheid gaat bieden om versleutelde privéberichten te sturen naar andere betalende gebruikers?1

Ja.

Vraag 2

Welk basisniveau bescherming acht u noodzakelijk voor gebruikers van sociale mediaplatforms, waaronder Twitter?

Sterke versleuteling is van groot belang om veilig online te communiceren. De Rijksoverheid schrijft geen specifiek basisniveau voor in de zin van specifieke maatregelen betreffende de beveiliging van Twitter (tegenwoordig X). Wel bestaat er wetgeving waar X aan moet voldoen en wordt er gewerkt aan een verdere aanscherping van wetgeving. Hieronder wordt daar nader op ingegaan.

Vraag 3

Hoe verhoudt de beveiliging van reguliere, niet-betalende twittergebruikers zich tot dit basisniveau?

Indien bij het gebruik van een sociale mediaplatform zoals X persoonsgegevens worden verwerkt, is daarop de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Een van de beginselen van de AVG is integriteit en vertrouwelijkheid. Dit beginsel houdt onder andere in dat de nodige technische en organisatorische maatregelen dienen te worden getroffen om een passende beveiliging van persoonsgegevens te borgen. Dit kan in de praktijk betekenen dat persoonsgegevens dienen te worden versleuteld (encryptie). Daarnaast kunnen andere aanvullende beveiligingsmaatregelen ook noodzakelijk zijn, zoals het beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen. Welk basisniveau in concrete gevallen is vereist, vraagt om een risicoanalyse waarin met alle relevante omstandigheden wordt rekening gehouden. Of in concrete gevallen is voldaan aan het vereiste niveau van beveiliging uit de AVG, is uiteindelijk aan de toezichthouder om te beoordelen. In Nederland is dat de Autoriteit Persoonsgegevens (AP), die onafhankelijk toeziet op de naleving van de AVG.
Daarnaast wordt op dit moment de herziene Europese netwerk- en informatiebeveiligingsrichtlijn1 (NIS2) geïmplementeerd. Deze richtlijn heeft als doel om de cyberbeveiliging van entiteiten in de EU naar een hoger niveau te tillen. Met de komst van de NIS2-richtlijn wordt het aantal sectoren dat onder de richtlijn valt uitgebreid; één van de nieuwe sectoren zijn aanbieders van platforms voor sociale netwerkdiensten, waaronder X. De zorgplicht voortkomend uit de NIS2 houdt in dat entiteiten passende en evenredige technische, operationele en organisatorische maatregelen moeten nemen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. De Rijksinspectie Digitale Infrastructuur (RDI) is in Nederland de beoogde toezichthouder op de sector digitale aanbieders, waar aanbieders van platforms voor sociale netwerkdiensten onder vallen.Lidstaten dienen de NIS2-richtlijn uiterlijk op 17 oktober 2024 in hun nationale wetgeving te hebben omgezet.
Deze huidige en toekomstige wettelijke kaders zijn van toepassing ongeacht of gebruikers betalen voor de dienst.

Vraag 4

Hoe verhoudt de nieuw voorgestelde mogelijkheid om tegen betaling versleutelde berichten te kunnen versturen en ontvangen zich tot dit basisniveau?

Zie antwoord vraag 3.

Vraag 5

Hoe verhoudt zowel de beveiliging van regulier als betaald gebruik van Twitter zich tot nationale en internationale grond- en mensenrechten? Waarin zitten op dit vlak de verschillen tussen reguliere en betalende gebruikers?

Zoals hierboven beschreven zijn er een aantal wettelijke kaders waar X zich aan moet houden, ongeacht of het gaat om betalende of niet betalende gebruikers. Het is aan de desbetreffende toezichthouder om in een concreet geval te bepalen of de getroffen maatregelen passend zijn.
Ook heeft iedereen recht op de bescherming van de persoonlijke levenssfeer en privécommunicatie. De grond- en mensenrechten schrijven niet voor hoe die bescherming moet plaatsvinden. Ook hier geldt dat de persoonlijke levenssfeer en de veiligheid van communicatie beschermd moeten worden, onafhankelijk van betaling.

Vraag 6

Heeft u indicaties dat privéberichten van niet-betalende gebruikers van Twitter onvoldoende beveiligd zijn, bijvoorbeeld doordat deze ingezien kunnen worden door partijen die daartoe niet bevoegd zijn? Kunt u uitsluiten dat dit gebeurt?

Zie antwoord vraag 5.

Vraag 7

Heeft u zicht op het gebruik van versleutelde communicatiekanalen, zoals dat voor betalende Twittergebruikers mogelijk wordt, door bewindspersonen? Hoe zou u een verbod daarop beoordelen, in het licht van een juiste naleving van de Wet Open Overheid?

Het gebruik van berichtenapps voor formeel zakelijke communicatie wordt zoveel mogelijk beperkt. Voor bestuurlijke aangelegenheden wordt het gebruik ontraden. Dit beleid is nog steeds van kracht. Het feit dat gegevensstromen tijdens gebruik versleuteld zijn, staat op geen enkele manier in de weg dat bestuursorganen invulling kunnen en moeten geven aan hun verplichtingen omtrent archivering en openbaarmaking.

Vraag 1

Bent u bekend met het bericht «Aantal getroffen websites met ernstig kindermisbruik in twee jaar tijd verdubbeld»?1

Ja.

Vraag 2

Bent u het eens met de stelling dat het buitengewoon schrikbarend is dat het aantal websites met de meest ernstige vormen van kindermisbruik in twee jaar tijd is verdubbeld, namelijk naar 51.369 websites?

Ja; deze wereldwijde trend baart mij zorgen. Ieder jaar presenteert de Internet Watch Foundation (IWF) jaarcijfers waarin veel aandacht wordt geschonken aan enerzijds meldingen vanuit het publiek en anderzijds het eigen onderzoek van IWF naar de aanwezigheid van kinderpornografisch materiaal op het openbare deel van het internet. De aantallen die worden genoemd zijn dus afhankelijk van factoren als het aantal meldingen bij IWF en hoe eenvoudig en openbaar de toegang tot het materiaal is.

Vraag 3

Wat is volgens u de oorzaak van deze verdubbeling?

Het is niet eenvoudig om een enkele oorzaak van de verdubbeling van het aantal websites met ernstige vormen van kindermisbruik aan te wijzen; zeker omdat het lijkt te gaan om een wereldwijde trend. Daarbij is duidelijk dat seksueel getint beeldmateriaal dat zelf door minderjarigen wordt gemaakt in opkomst is. Laat ik duidelijk stellen dat hierbij niet altijd hoeft te gaan om materiaal dat vrijwillig tot stand is gekomen: het is mogelijk dat minderjarigen hiervoor onder druk worden gezet of gechanteerd of ze zijn zich er niet van bewust dat ze gefilmd worden. Vanuit Nederlands perspectief zal ik me blijven inzetten voor preventie en voorlichting om minderjarigen en hun ouders en voogden meer weerbaar te maken tegen deze vorm van misbruik.

Vraag 4

Welke redenen maken het aantrekkelijk om bijna een derde van deze websites op Nederlandse servers te hebben?

Het valt niet met zekerheid te zeggen waarom Nederland zo aantrekkelijk lijkt te zijn. Nederland beschikt over een uitstekende digitale infrastructuur. Dat betekent dat er sprake is van snelle verbindingen en beschikbaarheid van voldoende servers en opslagruimte voor webhosting. Deze aspecten leveren de Nederlandse economie veel voordelen op, maar kunnen ook misbruikt worden door criminelen. Daartegen moet doelgericht en effectief worden opgetreden. Juist door deze belangrijke rol van Nederland als wereldwijd internetknooppunt, is de aanpak van online criminaliteitsvormen, waaronder die van online seksueel kindermisbruik, ook een prioriteit van dit kabinet.

Vraag 5

Bent u bereid om maatregelen te nemen om verspreiding via Nederlandse servers aan te pakken? En zo ja, welke concrete maatregelen gaat u nemen?

Ja, daar ben ik zeker toe bereid. De ambitie van het kabinet is er te allen tijde op gericht al het beeldmateriaal van online seksueel kindermisbruik van Nederlandse servers te weren. Het rapport bevestigt dat dit een omvangrijk, ernstig en lastig te bestrijden fenomeen is. Het belang van de opsporing en vervolging van dit materiaal is opgenomen in de Veiligheidsagenda 2023–2026.2
Het is echter niet eenvoudig om het opslaan of online plaatsen van illegale content aan te pakken. Het is middels de EU-Richtlijn Elektronische Handel verboden om aan internettussenpersonen een algehele monitoringsverplichting op te leggen. Veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Datacentra hebben daarom niet altijd zicht op wie aan het eind van de keten precies gebruik maken van hun diensten en welke content wordt gehost.
De inzet bij de bestrijding van illegale content gaat voor een belangrijk deel uit van zelfregulering door de internetsector. De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is al in 2008 een Notice-and-Takedown-gedragscode (NTD) overeengekomen tussen overheden, internetaanbieders, hostingbedrijven, en andere tussenpersonen.3 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Materiaal dat door het in de NTD-gedragscode als «trusted flagger» aangewezen Expertisebureau Online Kindermisbruik (EOKM) als strafbaar wordt aangemerkt, wordt hierdoor in de meeste gevallen al binnen 24 uur na het ontvangen van een verzoek daartoe verwijderd door hostingpartijen. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten.
Zoals reeds bekend bij uw Kamer, heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader. Het wetsvoorstel dat voorziet in de wettelijke grondslag van deze autoriteit voor de handhaving met betrekking tot kinderpornografisch materiaal, is begin juni bij de Tweede Kamer ingediend.

Vraag 6

Welke consequenties kunnen websites verwachten die online kindermisbruik op hun sites tonen, als het gaat om controle en sancties?

Om bestuursrechtelijk te kunnen handhaven heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Het wetsvoorstel is op 12 juni jl. naar uw Kamer verzonden.
Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen danwel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Doen ze dat niet, dan kunnen er boetes worden opgelegd. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content in het zelfreguleringskader.
In geval van verdenking van een misdrijf als omschreven in artikel 67, eerste lid, Sv kan de officier van justitie met een machtiging van de rechter-commissaris aan een aanbieder van een communicatiedienst bevelen om gegevens ontoegankelijk te maken als dit noodzakelijk is ter beëindiging van een strafbaar feit. Dit is geregeld in artikel 125p Sv. In artikel 54a Sr is vervolgens bepaald dat als een aanbieder voldoet aan dat bevel, de aanbieder niet wordt vervolgd. Mocht er toch geen uitvoering worden gegeven aan een dergelijk bevel dan is vervolging voor het niet opvolgen daarvan mogelijk. Dat is geregeld in artikel 184 Sr.
Indien een tussenpersoon bewust criminaliteit faciliteert, zoals beeldmateriaal van online seksueel kindermisbruik, kan deze strafrechtelijk aansprakelijk worden gehouden. Zo heeft het Gerechtshof in Den Haag bepaald dat een telecommunicatiedienstprovider die zich ervan bewust is dat zijn klanten crimineel gedrag vertonen en/of criminele content aanwezig hebben dan wel verspreiden, en deze klanten daarbij desalniettemin faciliteert, mogelijk strafrechtelijk aansprakelijk kan worden gehouden, ook als de officier van justitie niet vooraf een verwijderbevel heeft afgegeven.4 Of daar sprake van is, dient per geval te worden beoordeeld.

Vraag 7

Het jaarrapport van de Internet Watch Foundation (IWF) laat zien dat online kindermisbruik steeds zichtbaarder wordt en niet meer weggestopt is op hetdark web: is het voor de opsporingsdiensten dan juist niet makkelijker om online kindermisbruik offline te laten halen en de websites en dader(s) te sanctioneren? Zo nee, waarom niet?

De mogelijkheden voor handhaving die opsporingsdiensten hebben op het openbare internet lijken inderdaad groter omdat hostingdiensten beter bereikbaar zijn. Daartegenover staat dat veel van het beeldmateriaal wordt gedeeld via interpersoonlijke communicatiediensten, private chats of beveiligde fora die versleuteld zijn via end-to-end encryptie.5 Dat maakt de opsporing lastig.
Voor de afspraken in de Veiligheidsagenda is leidend dat opsporingscapaciteit wordt ingezet daar waar het maatschappelijk effect daarvan het grootst is. Dit is wanneer slachtoffers ontzet worden uit acute misbruiksituaties, zowel nationaal als internationaal. Dit kan door het opsporen en vervolgen van daders, het verstoren van de netwerken die seksueel kindermisbruik aanjagen of het tegengaan van het reizen van daders die voor het plegen van seksueel kindermisbruik naar het buitenland gaan. Daarom zal de komende jaren gefocust worden op opsporingsonderzoeken in categorie A (vervaardigers en misbruikers) en categorie B (keyplayers en netwerken).
De politie draagt bij aan de bereidheid van slachtoffers om zich te melden bij organisaties die hen kunnen helpen, bijvoorbeeld bij het offline halen van beeldmateriaal. De politie doet dit bijvoorbeeld door het ondersteunen van deze hulporganisaties of het uitvoeren van voorlichtingscampagnes.

Vraag 8

Hoeveel online kindermisbruik is dit jaar verwijderd en hoeveel websites zijn gesanctioneerd voor het vertonen van online kindermisbruik?

Onlangs heb ik uw Kamer een brief gestuurd waarin enkele aspecten rondom de bevoegdheden van de ATKM nader worden toegelicht en de resultaten van de jaarlijkse TU Delft Monitor over het hosten van materiaal van online seksueel kindermisbruik worden meegenomen.6 Ik herhaal dat het erop lijkt dat het totale volume van dergelijk materiaal dat aangetroffen is verlaagd is, maar dat er een teruggang lijkt te zijn in verwijderingssnelheid. Dat baart mij zorgen. Daarnaast is het landschap qua hostingbedrijven veranderd; bekende hostingbedrijven zetten zich meer in om materiaal van online seksueel kindermisbruik te verwijderen, maar nieuwe partijen lijken zich volgens de TU Delft monitor minder bewust van de regels en afspraken te zijn. Ook dat laat zien dat een doorlopende samenwerking en overleg met de sector van groot belang is.
Offlimits, voorheen bekend als het Expertisebureau Online Kindermisbruik, houdt een overzicht bij van ontvangen meldingen, de beoordeling daarvan en het aantal verzoeken tot verwijdering die vervolgens worden gedaan. Het meest recente overzicht is te vinden in het jaarverslag van 2021.7 In dat jaar zijn in totaal 236.743 meldingen binnen Nederland gedaan, waarbij het bij 212.556 van de meldingen inderdaad ging om illegale inhoud waarvoor een verwijderverzoek is gedaan.
In beginsel zijn platformen en websites niet aansprakelijk voor de inhoud die zij laten zien. Zij hebben volgens de EU-Richtlijn Elektronische handel onder voorwaarden een vrijstelling van aansprakelijkheid. De strafrechtelijke sanctionering ziet daarom met name op degenen die het materiaal van seksueel kindermisbruik online hebben gezet, niet op websites zelf. Over 2022 zijn geen cijfers bekend van het sanctioneren van websites.

Vraag 9

Hoe kunt u ervoor zorgen dat de makers en verspreiders van online kindermisbruik sneller en harder worden bestraft?

Zoals aangegeven in de beantwoording op de vragen 5 en 6 hierboven heeft de aanpak van online kindermisbruik hoge prioriteit. Deze aanpak is in de eerste plaats gericht op het effectief opsporen en vervolgen van daders via het strafrecht. Om te voorkomen dat eenmaal gepubliceerd strafbaar materiaal op het internet blijft staan of blijft rondgaan, wat voor slachtoffers eveneens zeer schadelijk is, richt mijn aanpak zich daarnaast op de snelle verwijdering ervan. Ik verwijs u in dit kader naar mijn beantwoording van vraag 5.

Vraag 10

In hoeverre kunnen de Digital Services Act en het voorstel voor nieuwe Europese wetgeving tegen online kindermisbruik voorkomen dat online kindermisbruik wordt verspreid en op het internet blijft circuleren?

De Digital Services Act zal de verplichtingen voor de sector met betrekking tot illegale activiteit of inhoud verscherpen. Zo moeten zeer grote onlineplatformen en zoekmachines bijvoorbeeld een risicoanalyse doen van hun systemen om te controleren in hoeverre zij vatbaar zijn voor criminele activiteiten. Vervolgens dienen ze daarop risicobeperkende maatregelen te nemen. Ook worden er minimumvereisten gesteld aan het afhandelen van meldingen over illegale content. Indien zij niet voldoen aan deze vereisten kan er op gehandhaafd worden: voor grote platformen en zoekmachines is dat de Europese Commissie; voor in Nederland gevestigde hostingbedrijven zal dat de nationale digitaledienstencoördinator worden.
Het voorstel van de Europese Commissie voor een verordening ter voorkoming en bestrijding van seksueel kindermisbruik is erop gericht om nadere regels vast te stellen voor de specifieke illegale content die beeldmateriaal van seksueel kindermisbruik is. De onderhandelingen hierover tussen de Europese Commissie en de Europese lidstaten lopen nog.

Vraag 11

In welke mate wordt versleutelde end-to-end-encryptie gebruikt om online beelden van kindermisbruik te delen?

Vanwege het wijdverbreide gebruik van end-to-end-encryptie voor berichtenverkeer is het lastig om een compleet beeld te hebben van de hoeveelheid materiaal dat via dergelijk berichtenverkeer wordt gedeeld. Wel is het duidelijk, zoals ook het rapport van de Internet Watch Foundation aangeeft, dat er steeds meer gebruik wordt gemaakt van dergelijke interpersoonlijke communicatiediensten voor het delen van beeldmateriaal. Daarom is het van belang dat er mogelijkheden zijn om onder bepaalde omstandigheden toegang tot dit berichtenverkeer te krijgen, onder passende voorwaarden en waarborgen.

Vraag 12

Welke mogelijkheden hebben de Nederlandse opsporingsdiensten nu om verspreiding via versleutelde end-to-end-encryptie een halt toe te roepen?

De opsporingsdiensten zijn, in de meeste gevallen, sterk afhankelijk van de wijze waarop versleutelde communicatiediensten de verspreiding van dergelijk materiaal zélf trachten te voorkomen op hun platform. Bepaalde communicatiediensten doen dit bijvoorbeeld door foto- en videomatching van niet-versleutelde informatie, zoals profiel- en groepsfoto’s of groepsinformatie of op basis van verdacht gedrag waarbij wordt gekeken naar metadata. Wanneer de communicatiedienst, op basis van deze technieken, een melding stuurt naar de Amerikaanse toezichthouder NCMEC (conform Amerikaanse wetgeving) en de toezichthouder deze zaak doorverwijst naar Nederland, dan kunnen Nederlandse opsporingsdiensten in bepaalde gevallen optreden tegen individuele daders.
Wanneer een vermoeden bestaat dat een persoon in bezit is van materiaal van seksueel kindermisbruik, is het voor de opsporingsdiensten in bepaalde gevallen mogelijk om toegang te krijgen tot dit materiaal – en zo de verspreiding daarvan te voorkomen. Meestal gaat het dan om toegang tot individuele apparaten, bijvoorbeeld middels een ontsleutelbevel of de bevoegdheid om binnen te dringen in een geautomatiseerd werk, zoals opgenomen in de Wet Computercriminaliteit III. Deze middelen zijn – gelet op de inbreuk die de inzet maakt op de grondrechten – alleen onder strenge voorwaarden inzetbaar, en de uitkomsten zijn afhankelijk van een (grote) set van externe factoren.

Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.

Vraag 2

Wat is uw reactie op de schatting van het Centraal Bureau voor de Statistiek dat 2,2 miljoen mensen vorig jaar zijn getroffen door cybercriminaliteit?

Het getal is zorgelijk. De hoge slachtofferaantallen in het rapport onderschrijven dat onze inzet om online criminaliteit tegen te gaan onverminderd nodig is. De aanpak van diverse vormen van online criminaliteit, zoals cybercrime en online fraude, heeft al langer mijn aandacht. Daar bent u eerder over geïnformeerd in onder meer de Kamerbrief over de integrale aanpak cybercrime,2 de Kamerbrief over de integrale aanpak online fraude3 en de Kamerbrief over de preventie cybercrime voor het midden- en kleinbedrijf.4

Vraag 3

Gestolen inloggegevens zijn onderdeel van de ondergrondse online economie en zijn een bron van vele soorten online criminaliteit, dit komt ook voor bij overheidsorganisaties. Welke maatregelen neemt u om datalekken binnen de overheid te voorkomen?

Uit de Algemene Verordening Gegevensbescherming (AVG) volgt dat de verwerking van persoonsgegevens aan bepaalde eisen dient te voldoen. Zo schrijft de AVG voor dat persoonsgegevens deugdelijk dienen te worden beveiligd.5 Overheidsorganisaties nemen mede om die reden verschillende beschermingsmaatregelen om datalekken6 of andere incidenten te voorkomen. De Baseline Informatiebeveiliging Overheid, het basisnormenkader voor informatiebeveiliging bij de overheid, bevat bijvoorbeeld een minimale set aan maatregelen voor overheidsorganisaties om beter beschermd te zijn tegen digitale dreigingen. Het doel hiervan is om zoveel mogelijk te voorkomen dat overheidsorganisaties slachtoffer worden van digitale aanvallen.
De overheid neemt verschillende maatregen om voorbereid te zijn indien, ondanks de genomen maatregelen, toch incidenten plaatsvinden. Een voorbeeld hiervan is de jaarlijkse Overheidsbrede Cyberoefening waar verschillende overheidsorganisaties oefenen met gesimuleerde hackaanvallen. Op deze manier worden bestaande crisisplannen getest in de praktijk en leren organisaties hoe ze moeten handelen tijdens incidenten. Aan de meest recente oefening van oktober 2022 hebben meer dan 70 overheidsinstanties deelgenomen. Daarnaast hebben ruim 450 mensen de livestream van de centrale crisisoefening gevolgd. Deze Overheidsbrede Cyberoefening is aanvullend op wat de verschillende bestuurslagen zelf al organiseren, zoals de oefenpakketten van de Informatiebeveiligingsdienst van de Vereniging Nederlandse Gemeenten 7.
De Netwerk- en informatiebeveiligingsrichtlijn (NIS2) geeft handvatten om maatregelen van de Baseline Informatiebeveiliging Overheid wettelijk te verankeren en het toezicht op de overheid in te richten. Deze richtlijn wordt momenteel omgezet in nationale wetgeving. Het toezicht op informatieveiligheid bij de gehele overheid zorgt dat de maatregelen zoals benoemd in de Baseline Informatiebeveiliging Overheid op een goede manier worden toegepast.

Vraag 4

Ransomsware komt steeds vaker voor bij grote bedrijven en het mkb. U adviseert dringend om geen losgeld te betalen. Wat zijn volgens u adequate stappen die een bedrijf kan zetten als er cruciale data zijn gestolen en worden aangeboden voor losgeld?

Als organisaties als gevolg van een ransomware-aanval te maken krijgen met een datalek, is het belangrijk dat er direct actie wordt ondernomen, zoals het melden van het datalek bij de Autoriteit Persoonsgegevens en het informeren van de slachtoffers. Door het informeren van de slachtoffers kunnen zij (tijdig) maatregelen treffen om verdere schade te beperken. De Autoriteit geeft op haar website advies over de maatregelen die moeten worden genomen bij een datalek.8 Bij een complex datalek, zoals vaak het geval is bij een ransomware-aanval, adviseert de Autoriteit om een expert in te schakelen, bijvoorbeeld een forensisch expert.
Het Digital Trust Center (van het Ministerie van Economische Zaken en Klimaat biedt op haar website handelingsperspectieven voor ondernemers bij een ransomware-aanval.9 Naast de handelingsperspectieven van het Digital Trust Center, geeft het incidentresponseplan van het Nationaal Cyber Security Centrum praktische handvatten voor de voorbereiding op en ondersteuning bij een ransomware-aanval voor organisaties. Het plan gaat onder meer in op de situatie waarin data zijn gestolen10 en voor losgeld worden aangeboden.
Slachtoffers van ransomware worden uitdrukkelijk opgeroepen aangifte of melding te doen bij de politie. Het dringende advies blijft om geen losgeld te betalen. Het betalen van losgeld biedt geen garantie dat data niet verder zullen worden verhandeld en/of criminelen de systemen weer toegankelijk maken. Bovendien wordt door het betalen van losgeld het criminele verdienmodel in stand gehouden.
Op de website NoMoreRansom.org, mede beheerd door de politie, worden slachtoffers van ransomware geholpen om versleutelde data te herstellen zonder dat het slachtoffer losgeld betaalt. Ook kan de politie in bepaalde gevallen andere (potentiële) slachtoffers van ransomware tijdig waarschuwen om beschermingsmaatregelen te treffen.

Vraag 5

Hoe kijkt u in dat kader naar het recente voorbeeld van de woningcorporatie uit Zwijndrecht die een aanzienlijk bedrag aan losgeld zou hebben betaald?2

Slachtoffer worden van een ransomware-aanval kan veel impact hebben. De schade kan enorm oplopen. Ik begrijp dat dit slachtoffers in een moeilijke positie plaatst, zeker als cruciale gegevens zijn gestolen. Het advies blijft echter om geen losgeld te betalen. Misdaad mag niet lonen. Het betalen van losgeld houdt het criminele verdienmodel in stand en kan meer criminaliteit stimuleren. Door het betalen van losgeld wordt het signaal aan cybercriminelen afgegeven dat ransomware effectief en lucratief is. Cybercriminelen raken hierdoor gemotiveerd om hun criminele activiteiten verder te ontplooien. Bovendien biedt het betalen van losgeld geen garantie dat de gestolen gegevens worden hersteld of niet verder worden verhandeld.

Vraag 6

Hoe kijkt u naar de oprichting van een gemeenschappelijk fonds voor mkb, waaruit losgeld zou kunnen worden betaald als hier goede reden toe is? Zo kan ook gezamenlijk worden geïnvesteerd in preventie en signalering.

Om criminaliteit tegen te gaan en weerbaarder te zijn tegen aanvallen is het onder meer van belang de eigen beveiliging op orde te hebben. Organisaties zijn verantwoordelijk voor hun eigen digitale beveiliging en moeten hiervoor de juiste preventieve maatregelen treffen. Organisaties kunnen hierin worden ondersteund door commerciële cybersecuritydiensten. Vanuit de overheid wordt op meerdere manieren voorlichting gegeven en worden hulpmiddelen ter beschikking gesteld via het Nationaal Cyber Security Centrum en het Digital Trust Centre. Ook waarschuwen het Nationaal Cyber Security Centrum en het Digital Trust Centre in meer algemene zin voor kwetsbaarheden en dreigingen.
Het betalen van losgeld houdt het criminele verdienmodel in stand en kan meer criminaliteit stimuleren. Zie ook het antwoord op vraag 5. De markt voorziet overigens reeds in cyberverzekeringen voor geleden schade na een ransomware-aanval. Een fonds om losgeld te betalen lijkt niet de juiste weg voorwaarts.

Vraag 7

Heeft u in beeld hoeveel procent van de ransomware-aanvallen resulteert in een aangifte?

Over de hoeveelheid ransomware-aanvallen in Nederland en de schade die deze aanvallen veroorzaken zijn weinig kwantitatieve gegevens beschikbaar. Het beeld, mede op basis van het Cybersecuritybeeld Nederland van 2022 en mediaberichtgeving, is dat het aantal aanvallen toeneemt en dat de hoogte van het geëiste losgeld toeneemt. De politie geeft aan dat zij jaarlijks rond de 200 aangiftes van ransomware ontvangt. De aangiftebereidheid bij cybercrimedelicten is echter laag, wat ook geldt voor ransomware. Het aantal aangiften is daarom naar verwachting geen goede weerspiegeling van de omvang van de problematiek.

Vraag 8

Welke stappen neemt u om de aangiftebereidheid onder getroffen bedrijven/personen te verhogen?

De politie heeft het voor diverse cybercriminele fenomenen mogelijk gemaakt om online aangifte doen, waardoor aangifte doen eenvoudiger is geworden en minder tijd kost. Zoals afgesproken in de Veiligheidsagenda 2023–2026 maakt de politie vanaf 2023 voor meer fenomenen digitale aangifte mogelijk. Heden wordt er gewerkt om online aangifte voor ransomware in het derde kwartaal van 2023 mogelijk te maken.
Het Digital Trust Centre en het Nationaal Cyber Security Centrum adviseren bedrijven altijd om aangifte te doen indien zij slachtoffer van een digitaal misdrijf zijn geworden. Daarnaast heeft het Nationaal Cyber Security Centrum samen met de politie, het Openbaar Ministerie en Cyberveilig Nederland in januari 2023 een whitepaper over data-exfiltratie bij een ransomware-aanval uitgebracht. Ook hierin adviseert het Nationaal Cyber Security Centrum om naast het melden van de ransomware-aanval bij het Centrum aangifte bij de politie te doen.12

Vraag 9

Hoe reflecteert u op het gegeven uit het rapport «The State of Data Security» waaruit blijkt dat van de deelnemende bedrijven in Nederland slechts 9 procent in staat is om alle data te herstellen na betaling van cybercriminelen? Ondanks deze zorgelijke cijfers betaalt driekwart van de bedrijven losgeld bij een ransomware-aanval.3

Het rapport bevestigt dat de grootste winst valt te behalen door te investeren in risicomanagement en preventieve maatregelen. Er is geen enkele garantie dat de sleutel (decryptor) of het wachtwoord wordt overhandigd nadat het gevraagde losgeld is betaald. Hierdoor blijft het risico bestaan dat de nieuwe of herstelde bestanden versleuteld worden en de afpersing nogmaals plaats zal vinden. Bovendien kan de gestolen data later alsnog door de cybercriminelen worden verhandeld. Het veilig herstellen van de data is in veel gevallen onmogelijk of bijna onmogelijk. Het Nationaal Cyber Security Centrum biedt in het incidentresponseplan diverse handvatten voor organisaties om preventieve maatregelen te treffen.

Vraag 10

Wat vindt u van het gegeven uit hetzelfde rapport dat slechts 58 procent van de deelnemende organisaties een crisisplan voor cyberaanvallen opstelt? Ziet u een rol voor uzelf om dit percentage te verhogen. Zo ja, welke rol?

Ik deel de zorg dat nog te weinig organisaties crisisplannen hebben voor cyberincidenten. Dit kabinet stimuleert het schrijven van deze plannen door via verschillende wegen organisaties te adviseren crisisprocessen in te richten en vast te leggen, en door oefeningen zoals ISIDOOR te organiseren en een goede voorbereiding bij de deelnemers te benadrukken.
Onder de NIS2 wordt het voor organisaties die onder de richtlijn vallen verplicht om maatregelen te hebben voor bedrijfscontinuïteit en crisisbeheersing. Het is de verwachting dat daardoor meer organisaties voorbereidingen voor cyberincidenten treffen en vastleggen.
Voor zelfstandigen zonder personeel, kleine organisaties en midden- en kleinbedrijven biedt het Digital Trust Centre op haar website een leidraad om een incidentresponseplan op te stellen. Daarnaast voorziet de Cyberveilig Check van het Digital Trust Centre in meerdere maatregelen die zowel preventief werken als de schade van een cyberincident beperken.

Vraag 11

Hoeveel financiële middelen worden er in totaal de komende jaren per jaar uitgetrokken om het bedrijfsleven beter te faciliteren om beschermd te zijn tegen ransomware-aanvallen?

Het budget voor de uitvoering van de Nederlandse Cybersecurity Strategie betreft een bedrag oplopend tot 111 miljoen euro per jaar structureel. Dit bedrag komt ten goede aan de cybersecurity van Nederland, wat de weerbaarheid tegen onder meer ransomware-aanvallen versterkt. De middelen zijn onderverdeeld bij de departementen en uitvoeringsorganisaties, met een eigen verantwoordelijkheid voor de toekenning van voldoende capaciteit en financiële middelen om de in de Nederlandse Cybersecuritystrategie en het actieplan vastgelegde beleidsdoelen en acties te realiseren.
Daarnaast ondersteunen het Nationaal Cyber Security Centrum, het Digital Trust Centre, het Openbaar Ministerie, de politie en andere partners binnen en buiten de (Rijks)overheid doorlopend op verschillende manieren het bedrijfsleven en andere organisaties in het verhogen van de cyberweerbaarheid tegen onder andere ransomware.

Vraag 12

MiND (meldpunt internet discriminatie) kan een belangrijke rol spelen in het tegengaan van hate-speech en discriminatie online, maar uit de cijfers (339 meldingen vorig jaar) blijkt dat het meldpunt onvoldoende wordt gevonden. Welke stappen onderneemt u om het meldpunt beter onder de aandacht te brengen, en kunt u specifiek ingaan op hoe u de doelgroep jongeren hier attent op wilt maken?

Ik vind het van groot belang dat het Meldpunt Internetdiscriminatie goed gevonden wordt. Op dit moment is dat onvoldoende het geval. Mijn ministerie verstrekt jaarlijks subsidie aan Meldpunt. Met het Meldpunt is afgesproken dat zij zich de komende tijd sterk inzetten om een betere naamsbekendheid te genereren. Als resultaat van een herpositionering zal het meldpunt deze zomer een nieuwe merknaam introduceren met bijbehorende communicatie(uitingen). Door middel van (online) campagnes worden doelgroepen, waaronder jongeren, bereikt om hen te informeren over het meldpunt en de oproep tot het melden van online discriminatie.

Vraag 1

Bent u bekend met het bericht: «Aantal aangetroffen websites met ernstig kindermisbruik in twee jaar verdubbeld»?1

Ja.

Vraag 2

Uit het jaarrapport van de Britse Internet Watch Foundation (IWF) blijkt dat er in 2022 meer dan 255.000 websites met beelden van (ernstig) kindermisbruik zijn aangetroffen. Kunt u aangeven hoeveel en welke Nederlandse hostingbedrijven hier betrokken bij zijn? Kunt u aangeven of er in 2022 met al deze bedrijven gesprekken zijn gevoerd om adequate maatregelen af te dwingen?

Uit hetzelfde rapport van de Internet Watch Foundation (IWF) blijkt dat in 2022 82.500 keer is gerapporteerd over het aantreffen van beeldmateriaal van seksueel kindermisbruik op een Nederlandse server. Dat wil nog niet zeggen dat het daarbij ook gaat om een Nederlandse website: veel Nederlandse datacentra verhuren opslagruimte en verzorgen de aansluiting daarvan op het internet. Hun klanten plaatsen daar hun netwerkapparatuur, servers en opslagruimte voor webhosting. Deze hostingdiensten worden vaak doorverhuurd aan tussenpersonen in andere landen (die de webhosting daar veelal onder een eigen merk leveren), die vervolgens weer webruimte verhuren aan privépersonen of organisaties. Zij kunnen de ruimte bijvoorbeeld gebruiken om hun eigen website in te richten.
Het kabinet heeft tussen 2019 en 2022 door middel van een jaarlijkse steekproef van de TU Delft vinger aan de pols gehouden over onder andere het aantal Nederlandse hosters van dit beeldmateriaal en wie dit zijn. Ik heb uw Kamer over de laatste monitor recent bericht in mijn brief van 7 juli 2023. Ook zal ik hierop nader ingaan onder vraag 5. Het opdrachtgeverschap van de monitor van de TU Delft zal worden overgedragen aan de Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM). Vanaf de inwerkingtreding van het wetsvoorstel bestuursrechtelijke aanpak online kinderpornografisch materiaal wordt de ATKM de bevoegde autoriteit om te gaan handhaven op online materiaal van seksueel kindermisbruik. Daartoe kan het in de toekomst dus zelfstandig besluiten om de monitor in te zetten.
Ook de gesprekken met de sector over online materiaal van seksueel kindermisbruik zullen voornamelijk door de ATKM worden gevoerd. Hiervoor zal binnen de ATKM een zogenaamde sectorraad worden opgericht waarin met regelmaat met de hostingsector zal worden gesproken over de aanpak.

Vraag 3

Kunt u aangeven waarom nog steeds (ondanks een daling van 41% naar 32%) bijna éénderde van al het kinderpornografisch materiaal dat door IWF in 2022 is gevonden in Nederland wordt gehost en welke maatregelen u treft om kinderpornografisch materiaal tegen te gaan?

Nederland beschikt over een uitstekende digitale infrastructuur. Dat betekent dat sprake is van snelle verbindingen en beschikbaarheid van voldoende servers en opslagruimte voor webhosting. Deze aspecten leveren de Nederlandse economie veel voordelen op, maar kunnen ook misbruikt worden door criminelen.
De ambitie van het kabinet is er te allen tijde op gericht al het beeldmateriaal van online seksueel kindermisbruik van Nederlandse servers te weren. In die zin ben ik blij om in het rapport van de IWF te lezen dat het wereldwijde aandeel van Nederlandse servers is gedaald van 41% naar 32%. Dat is natuurlijk bij lange na niet genoeg, maar wel een stap in de goede richting.
De inzet bij de bestrijding van illegale content gaat voor een belangrijk deel uit van zelfregulering door de internetsector. De Nederlandse overheid werkt reeds jaren samen met de internetsector aan de bestrijding van illegale content online. Zo is er al in 2008 een Notice-and-Takedown (NTD) gedragscode overeengekomen tussen overheden, internetaanbieders, hostingbedrijven en andere tussenpersonen.2 Daar is in 2018 een addendum op gekomen voor het verbeteren van de bestrijding van materiaal van online kindermisbruik. Meldingen die van het Expertisebureau Online Kindermisbruik (EOKM) komen worden niet meer zelf door tussenhandeldiensten beoordeeld en het materiaal wordt binnen maximaal 24 uur verwijderd. Aanvullend bevat de in 2021 geactualiseerde Gedragscode Abusebestrijding maatregelen die hostingproviders kunnen nemen tegen misbruik van hun diensten voor meerdere vormen van illegale activiteiten.
Zoals reeds bekend bij uw Kamer, heeft het kabinet de oprichting van een Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) aangekondigd. Deze Autoriteit krijgt de wettelijke bevoegdheid aanbieders van hostingdiensten op bestuursrechtelijke basis te verplichten online kinderpornografisch en/of terroristisch materiaal op hun server ontoegankelijk te maken of te verwijderen dan wel deze partijen op te dragen passende en evenredige maatregelen te treffen om de opslag en doorgifte van online kinderpornografisch en/of terroristisch materiaal via hun diensten te beperken. Hiermee krijgt de Autoriteit middelen om in te grijpen indien de bestaande zelfregulering hapert, bijvoorbeeld wanneer een hoster weigert gehoor te geven aan een verwijderverzoek van illegale content, bijvoorbeeld van het Expertisebureau Online Kindermisbruik (EOKM) in het kader van de zelfregulering.

Vraag 4

Voeren het Ministerie van Justitie en Veiligheid en het Expertisebureau Online Kindermisbruik (EOKM) nog steeds overleg met de IWF over het in kaart brengen van de hostingbedrijven en de aanpak van online kinderpornografisch materiaal? Zo ja, wat zijn de resultaten hiervan? Worden bijvoorbeeld tussen EOKM en de IWF best practices uitgewisseld?

Het Ministerie van Justitie en Veiligheid heeft geen regulier overleg met de IWF over het in kaart brengen van hostingbedrijven. Wel zijn zowel het EOKM als de IWF aangesloten bij INHOPE, een internationaal netwerk van meer dan 50 meldpunten. Binnen dit netwerk worden inderdaad best practices uitgewisseld, informatie gedeeld en trainingen verzorgd voor medewerkers. De Nederlandse overheid is ondertussen aangesloten bij overleggen van de WeProtect Global Alliance, een internationaal samenwerkingsverband tussen overheden, bedrijven en organisaties wereldwijd voor de aanpak van online seksueel kindermisbruik. Zo neemt Nederland actief deel aan de bijeenkomsten van de door de WeProtect Global Alliance opgerichte Global Taskforce on Child Sexual Abuse Online, die tweemaal per jaar bijeenkomt met als doel het faciliteren van internationale informatiedeling ten behoeve van een effectieve wereldwijze aanpak van online seksueel kindermisbruik.

Vraag 5

Wanneer wordt de eerstvolgende rapportage van de TU Delft Monitor – online seksueel beeldmateriaal naar de Kamer gestuurd en kunt u in deze rapportage ingaan op de bevindingen in het jaarverslag van de IWF?

Ik heb de Kamer op 7 juli jl. een brief gestuurd waarin ik nader inga op enkele aspecten rondom de bevoegdheden van de ATKM. In deze brief heb ik ook de resultaten van de TU Delft Monitor over 2022 meegenomen. Deze monitor is echter gebaseerd op een steekproef van twee maanden en niet, zoals het IWF-jaarrapport, op wereldwijde meldingen die een jaar lang zijn bijgehouden. Daar waar dit opportuun is, zal ik de resultaten van het IWF-rapport meenemen.

Vraag 6

Hoeveel hostingbedrijven zijn in 2021 en 2022 uit Nederland vertrokken vanwege maatregelen die verband houden met de aanpak van kinderpornografisch materiaal, zoals het publiceren van de bedrijven waar het meeste afbeeldingen worden gehost?

Ik beschik niet over concrete cijfers over het vertrek van hostingbedrijven uit Nederland omdat ze strenger gereguleerd worden door de overheid op het gebied van kinderpornografisch materiaal. Er zijn volgens de TU Delft monitor wel enige indicaties dat bepaalde domeinnamen, dat wil zeggen klanten van sommige hosters, zich verplaatsen naar het buitenland. Ook kan worden gezegd dat de hostingbedrijven die eerder zijn uitgelicht in de rapportages van de TU Delft monitor, over het algemeen hun inzet op het weren van beeldmateriaal van online seksueel kindermisbruik stevig hebben vergroot, zoals ik ook in mijn brief op 7 juli jl. aan uw Kamer heb opgenomen.

Vraag 7

Wanneer hostingbedrijven uit Nederland vertrekken en zich elders registreren, krijgen de lokale autoriteiten dan van Nederland een signaal dat een hostingbedrijf zich heeft gevestigd dat te weinig maatregelen treft om hosting van kinderpornografisch materiaal tegen te gaan?

Hostingbedrijven bieden diverse diensten aan en vertrekken in de regel niet zo snel uit Nederland. Wel is het zo dat klanten van hostingbedrijven, zoals eigenaren van bepaalde websites of resellers, zich kunnen verplaatsen indien de hostingpartij meer maatregelen treft om online materiaal van seksueel kindermisbruik tegen te gaan. Uit de TU Delft monitor van 2022 blijkt dit voor enkele websites te zijn gebeurd. Hier wordt internationaal informatie met elkaar over gedeeld. Meldpunten, zoals het NCMEC3 in de Verenigde Staten, kijken bij een melding of er informatie is over de locatie van de website waar het materiaal op staat. Indien vastgesteld kan worden dat een dergelijke website bijvoorbeeld onder een Nederlandse hostingpartij valt, wordt deze informatie gedeeld met de Nederlandse politie en gaat er via het Nederlandse meldpunt, het EOKM, een notice-and-take-down verzoek naar zowel de hostingpartij als de eigenaar van de website. Andersom kan ook het EOKM andere landen erop wijzen dat er websites zijn in hun jurisdictie die beeldmateriaal van seksueel kindermisbruik bevatten. Er zijn helaas partijen die zich om deze reden constant verplaatsen om uit handen van opsporingsdiensten te blijven.

Vraag 8

Kunt u de wet Bestuursrechtelijke Aanpak online kinderpornografisch materiaal voor het zomerreces 2023 naar de Kamer sturen, nu de afdeling Advisering van de Raad van State al meer dan een jaar geleden advies uitbracht over dit wetsvoorstel? Zo nee, waarom niet?

Ja, ik heb het wetsvoorstel bestuursrechtelijke aanpak online kinderpornografisch materiaal op 12 juni jl. naar uw Kamer verstuurd.4

Vraag 1

Kunt u de correspondentie met Twitter met betrekking tot de «aanvraag voor review van accounts die mogelijk nepnieuws verspreiden» van 7 april 2020 (zoals blijkt uit beantwoording op vragen van het lid Van Houwelingen over communicatie tussen Nederlandse ministeries, op 20 april 2023 naar de Kamer is verstuurd) met de Kamer delen?

Ja. De opgevraagde e-mail stuur ik uw Kamer hierbij als bijlage met deze beantwoording toe. Daarbij geef ik graag een korte toelichting over de context waarin de e-mail is verzonden. Ook om te illustreren hoe zorgvuldig daarbij gehandeld is:
Een aantal van de gemelde accountnamen heb ik omwille van de privacy van de mensen achter die accounts gelakt. Die accounts, of de bio’s ervan, bevatten persoonsgegevens waardoor ze herleidbaar zijn tot een persoon. Omdat ik maximale transparantie wil betrachten heb ik de accounts die ik niet direct heb kunnen herleiden tot personen niet gelakt.

Vraag 1

Bent u bekend met het bericht «Steekspel rond mysterieuze datadiefstal; Bedrijven delen data van klanten met hun leveranciers, maar hoe veilig is dat?»?1

Ja.

Vraag 2

Kunt u een update geven van het datalek bij Nebu en het aantal klanten en bedrijven en organisaties dat in Nederland getroffen is?

Op dit moment is het onduidelijk hoeveel klanten, bedrijven en organisaties in Nederland zijn getroffen door het datalek. Wel is bekend dat een van de klanten van Nebu, marktonderzoeker Blauw, een kort geding is gestart tegen Nebu. In dat kort geding heeft Blauw nadere informatie van Nebu gevorderd over de aanval, de gevolgen ervan en de door Nebu getroffen maatregelen. Ook heeft zij om een onafhankelijk forensisch onderzoek gevraagd. De voorzieningenrechter heeft in het vonnis van 6 april 2023 een groot deel van de vorderingen van Blauw toegewezen. Nebu moet Blauw uitgebreid informatie verschaffen over het datalek en vragen van Blauw beantwoorden. Daarnaast moet Nebu een onafhankelijk forensisch onderzoek naar het datalek laten uitvoeren.
Ten aanzien van Rijksoverheidsorganisaties is het volgende bekend. Binnen de rijksoverheid zijn voor zover bekend 16 organisaties geraakt, een aantal daarvan maken gebruik van meerdere bureaus voor marktonderzoek. De geraakte rijksorganisaties zijn het Ministerie van Economische Zaken en Klimaat, de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO), de Rijksdienst voor Ondernemend Nederland (RVO), het College ter beoordeling van Geneesmiddelen (CBG), het Centraal Informatiepunt Beroepen Gezondheidszorg (CIBG), het Rijksinstituut voor Volksgezondheid en Milieu (RIVM), het Sociaal en Cultureel Planbureau (SCP), het Ministerie van Onderwijs, Cultuur en Wetenschap, de Koninklijke Bibliotheek, de Huurcommissie (DHC), de Dienst Publieke Communicatie (DPC) en de Raad voor Rechtsbijstand (RvR).
Betrokkenen binnen de rijksoverheid zijn burgers, eigen medewerkers, en medewerkers van reisbureaus, werkgeversorganisaties, onderwijsinstellingen, bedrijven en klanten. Gelekte gegevens betreffen naam, e-mailadres, telefoonnummer, (telefonische) enquêteresultaten/inhoud onderzoek. Waar relevant is melding gedaan bij de Autoriteit Persoonsgegevens. De omvang van het datalek varieert per organisatie. Zo zijn bij één van de organisaties de gegevens van één medewerker gelekt. En bij een andere organisatie, een onderzoeksbureau, zijn gegevens van 22.000 burgers gelekt met naam, emailadres en de resultaten van een onderzoek.
Met het antwoord op deze vraag wordt tevens tegemoetgekomen aan de toezegging uit het debat Informatiebeveiliging bij de overheid met de Staatssecretaris van Koninkrijksrelaties en Digitalisering van 5 april 2023 om de Tweede Kamer te informeren over het onderzoek naar getroffenen bij de rijksoverheid van het datalek bij Nebu.

Vraag 3

Klopt het dat een bedrijf of (overheids)organisatie zelf verantwoordelijk is voor de data die een klant met het bedrijf deelt, ook als het bedrijf die data met een externe partij deelt?

Ja, dat klopt. In de Algemene Verordening Gegevensbescherming (AVG) wordt een onderscheid gemaakt tussen de rol van «verwerkingsverantwoordelijke» en de rol van «verwerker».
Het bedrijf dat of de (overheids)organisatie die het doel en de middelen van een verwerking van persoonsgegevens bepaalt, is de «verwerkingsverantwoordelijke».
De verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van persoonsgegevens in overeenstemming met de AVG. Dit omvat ook de verplichting om passende technische en organisatorische maatregelen te nemen om persoonsgegevens te beveiligen.
In de praktijk schakelen veel verwerkingsverantwoordelijken andere partijen in om voor hen persoonsgegevens te verwerken. Een dergelijke partij is de «verwerker». Ook verwerkers moeten passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beveiligen, maar de verwerkingsverantwoordelijke blijft (eind)verantwoordelijk voor de naleving van de AVG.

Vraag 4

Wie is er volgens u aansprakelijk voor dit datalek? Is dat het bedrijf aan het begin van de keten die klantdata deelt of de externe partij bij wie het lek plaatsvindt?

Het is nog niet duidelijk welke partij aansprakelijk is voor het datalek bij Nebu. Er zijn meerdere partijen betrokken. In het geval van Nebu moet goed worden onderzocht wat er is afgesproken over de beveiliging en wat er nu feitelijk is gebeurd.
De rollen van verwerkingsverantwoordelijke en verwerker zijn omschreven in de AVG, maar partijen kunnen in een (verwerkers)overeenkomst nadere of andere afspraken maken over de aansprakelijkheid bij bijvoorbeeld een datalek. Partijen die betrokken zijn bij een datalek kunnen zich eventueel wenden tot de civiele rechter om de aansprakelijkheid en de omvang daarvan te laten vaststellen. In de vaststelling van aansprakelijkheid is geen rol voor de overheid weggelegd. Het is dan ook niet aan mij om hierover uitspraken te doen.

Vraag 5

Deelt u de mening dat het gevaar op datalekken vooral in de keten zit van partijen die samenwerken met bedrijven zoals IT-leveranciers, onderzoeksbureaus en andere partijen met wie (klant)data wordt gedeeld?

(Overheids)organisaties en bedrijven dienen de bepalingen die betrekking hebben op hun privacyrechtelijke rol van verwerkingsverantwoordelijke of verwerker uit de AVG na te leven, waaronder de bepalingen die zien op het beveiligen van persoonsgegevens. In de praktijk komt het voor dat de verwerker een sub-verwerker inschakelt voor de verwerking van (een deel van de) persoonsgegevens. Hiermee ontstaat de keten verwerkingsverantwoordelijke – verwerker – sub-verwerker. De AVG schrijft voor dat verwerkingsverantwoordelijke en verwerker afspraken dienen te maken over de verwerking van persoonsgegevens, maar ook dat de verwerker afspraken moet maken met de sub-verwerker voor de verwerking van persoonsgegevens, waaronder de beveiliging van persoonsgegevens.
Een verwerkingsverantwoordelijke of verwerker kan er bewust voor kiezen (een deel van de) verwerkingen uit te besteden aan een (sub-)verwerker met meer expertise op het gebied van onder meer beveiliging. Ook kan het voorkomen dat een (sub-)verwerker gecertificeerd is op het gebied van informatiebeveiliging terwijl de verwerkingsverantwoordelijke of verwerker die de sub-verwerker inschakelt, dit niet is. Het inschakelen van een andere partij biedt in een dergelijk geval voordelen. Ook wanneer de ingeschakelde (sub-)verwerker niet over een bepaalde expertise of certificering beschikt, betekent dit niet dat daarom de kans op datalekken toeneemt. Iedere ingeschakelde (sub-)verwerker dient immers de verplichtingen uit de AVG na te leven, waaronder het treffen van voldoende passende maatregelen om de persoonsgegevens te beschermen.
In zijn algemeenheid kan aldus niet worden gesteld dat het gevaar op datalekken vooral zit in de keten van partijen.

Vraag 6

Welke verantwoordelijkheid hebben bedrijven en (overheids)organisaties volgens u om digitaal verantwoord ondernemen in de keten te waarborgen?

Er zijn wettelijke kaders die reguleren hoe organisaties en bedrijven met bepaalde gegevens moeten omgaan. In de AVG zijn verschillende beginselen opgenomen die gelden bij iedere verwerking van persoonsgegevens.
Een van die beginselen is dat persoonsgegevens moeten worden verwerkt op een manier dat door het nemen van passende technische of organisatorische maatregelen een passende beveiliging ervan is gewaarborgd en dat persoonsgegevens onder neer beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Ieder bedrijf en elke (overheids)organisatie die onder het toepassingsbereik van de AVG valt, dient uitvoering te geven aan dit beginsel door invulling te geven aan alle verplichtingen voor die partij zoals opgenomen in de AVG, zoals de verplichting om persoonsgegevens te beveiligen.
Binnen de kaders van de wet is het de eigen verantwoordelijkheid van bedrijven om hun weerbaarheid te verhogen. De overheid kan deze verantwoordelijkheid niet overnemen. Wel zet het Digital Trust Center («DTC») zich op verschillende manieren in om bedrijven te helpen met verantwoord digitaal ondernemen. Het DTC stimuleert en faciliteert ondernemers om zelfstandig of in samenwerkingsverband aan de slag te gaan met het verbeteren van hun cyberweerbaarheid. De doelgroep van ruim twee miljoen ondernemers in de zogenoemde «niet vitale» sectoren is zeer uiteenlopend. Via het DTC helpt het Ministerie van Economische Zaken en Klimaat deze ondernemers om hun digitale veiligheid te verhogen. Om bedrijven te informeren, deelt het DTC via website en social mediakanalen laagdrempelige kennis, informatie en advies over digitaal veilig ondernemen waar ondernemers zelf mee aan de slag kunnen. Ondernemers kunnen via verschillende tools inzicht krijgen in de cyberweerbaarheid van hun bedrijf, en kunnen via een zelfscan inventariseren in welke risicoklasse ze vallen. De uitkomsten van deze scans kan een bedrijf delen met een IT-dienstverlener, ketenpartners of een verzekeraar.
Om de digitale weerbaarheid in de keten te verhogen zet het DTC in op samenwerking. Via een landelijk dekkend netwerk van samenwerkingsverbanden worden bedrijven gestimuleerd de cyberweerbaarheid te vergroten en de risico’s in de keten te verkleinen. In een cyberweerbaarheidsnetwerk werken ondernemers samen met andere organisaties aan het vergroten van de cyberweerbaarheid, binnen en tussen niet-vitale branches, sectoren en regio's. Het DTC stimuleert deze samenwerkingsverbanden in niet-vitale sectoren en kan in bepaalde gevallen ook ondersteunen door middel van een subsidie.
De DTC Community is een online community waarbij ondernemers zich vrijblijvend kunnen aansluiten. Deze omgeving biedt ondernemers de kans om, in een besloten omgeving, actuele en relevantie informatie over cybersecurity uit te wisselen. De DTC Community stimuleert op deze manier informatie-uitwisseling tussen ondernemers en cyberprofessionals. Meldingen van bedrijfsspecifieke kwetsbaarheden waar het DTC kennis van heeft, deelt het direct met betrokken bedrijven. Dit biedt bedrijven de mogelijkheid om snel te reageren en mitigerende maatregelen te treffen. In 2023 zijn al ruim 13.000 notificaties naar Nederlandse bedrijven verzonden over digitale kwetsbaarheden.

Vraag 7

Schiet de huidige regelgeving niet tekort als een externe partij waar een datalek plaatsvindt niet meewerkt aan onderzoek en geen informatie deelt over het datalek? Hoe kan een externe partij gedwongen worden om informatie te delen, zodat consumenten weten waar zij aan toe zijn? Deelt u de mening dat de consument in dit geval onvoldoende wordt beschermd?

De verwerkingsverantwoordelijke is op grond van de AVG verplicht een melding te doen van een datalek bij de nationale toezichthouder (de Autoriteit Persoonsgegevens), tenzij het niet waarschijnlijk is dat het datalek een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. In sommige gevallen moet de verwerkingsverantwoordelijke het datalek ook melden aan de betrokkenen. Voor het doen van deze melding(en) heeft de verwerkingsverantwoordelijke informatie nodig over de omvang en de aard van het datalek. Als het datalek bij een verwerker heeft plaatsgevonden, is de verwerker de aangewezen partij om de verwerkingsverantwoordelijke in te lichten. De verwerker is dat ook verplicht op grond van de AVG.
Naast deze wettelijke verplichting die op de verwerker rust, worden er in de praktijk vaak afspraken gemaakt in de verwerkersovereenkomst over de wijze waarop de verwerker de informatie aan de verwerkingsverantwoordelijke dient te verschaffen en binnen welke termijn. Omdat de termijn waarbinnen de verwerkingsverantwoordelijke de melding aan de gegevensautoriteit moet doen slechts 72 uur bedraagt nadat de verwerkingsverantwoordelijke kennis geeft genomen van het datalek, worden doorgaans ook korte termijnen aangehouden in de verwerkersovereenkomst. Partijen kunnen in de overeenkomst afspreken dat wanneer een partij de contractuele afspraken schendt, deze partij boetes moet betalen aan de andere partij.
Indien de verwerker desondanks het voorgaande geen informatie verstrekt, kan de verwerkingsverantwoordelijke zich wenden tot de civiele rechter. Afhankelijk van de door de verwerkingsverantwoordelijke ingestelde vorderingen, kan de civiele rechter bepalen dat de verwerker nadere informatie moet verschaffen over de aard en de omvang van het datalek. De civiele rechter kan een dergelijke veroordeling versterken met fikse dwangsommen. Gelet op het bovenstaande is geen reden om te veronderstellen dat het huidig kader tekortschiet.

Vraag 8

Zijn er regels voor bedrijven ten aanzien van het bewaren van klantgegevens binnen het bedrijf of bij een externe partij? Zo nee, waarom niet?

De AVG bepaalt dat persoonsgegevens niet langer mogen worden bewaard dan nodig voor het doel waarvoor ze verzameld zijn. In de AVG zijn geen concrete bewaartermijnen omschreven omdat dit in zijn algemeenheid niet mogelijk is; daar wordt in de praktijk invulling aan gegeven. De verwerkingsverantwoordelijke kan met inachtneming van de regels van de AVG dus zelf bewaartermijnen vaststellen. In sommige gevallen zijn wel wettelijke bewaartermijnen voorgeschreven. Een medisch dossier moet door een zorgverlener bijvoorbeeld 20 jaar bewaard worden op basis van de Wet op de geneeskundige behandelingsovereenkomst.
Is geen sprake van een wettelijke bewaartermijn, dan legt de verwerkingsverantwoordelijke zelf vastgestelde bewaartermijnen op aan de externe partij (de verwerker). De verwerker mag niet zelf bepalen hoe lang de persoonsgegevens van de verwerkingsverantwoordelijke worden bewaard.
In de AVG is bepaald dat na afloop van de verwerkingsdiensten door de verwerker, de verwerker alle persoonsgegevens moet wissen of aan de verwerkingsverantwoordelijke moet terugbezorgen. Ook moeten alle kopieën door de verwerker worden gewist. Naast deze wettelijke plicht kunnen verwerkingsverantwoordelijke en verwerker in de verlichte verwerkersovereenkomst nadere afspraken maken over de bewaartermijnen. Partijen kunnen bijvoorbeeld afspreken dat bij het schenden van de contractuele afspraken ten aanzien van de bewaartermijnen, contractuele boetes zullen worden verbeurd.

Vraag 9

Hoe zorgt u ervoor dat in ieder geval binnen de overheid altijd wordt samengewerkt met partijen die hun informatiebeveiliging op orde hebben?

De overheid mitigeert risico’s door het uitvoeren van een zorgvuldig inkoopproces. Met geselecteerde (keten)partijen wordt vervolgens een verwerkersovereenkomst of overeenkomst gegevensdeling overeengekomen. In deze overeenkomsten worden de afspraken vastgelegd hoe een (keten)partij de persoonsgegevens dient te beschermen, welk beveiligingsniveau met elkaar is overeengekomen en hoe een (keten)partij moet handelen in geval van een datalek.

Vraag 10

Klopt het dat er Europese regelgeving aankomt, zoals de Digital Operational Resilience Act en de Netwerk- en Informatiebeveiligingsrichtlijn 2, die ervoor zorgen dat er meer eisen aan de beveiliging van klantdata gesteld worden? Zo ja, om welke regels gaat het en hoe zorgt dit ervoor dat data-uitwisseling tussen bedrijven en (overheids)organisaties en externe partijen in de keten beter wordt beveiligd?

Europese regelgeving, zoals de Netwerk- en Informatiebeveiligingsrichtlijn 2 (NIS-2) en de Digital Operational Resilience Act, stelt nadere eisen aan de beveiliging van netwerk- en informatiesystemen. Zij hebben echter betrekking op specifieke en vast gedefinieerde sectoren en organisaties. Daarmee zorgen ze er niet voor dat in generieke zin er nadere eisen aan de beveiliging van klantdata worden gesteld.

Vraag 1

Herkent en erkent u de kritiek van honderden techprominenten dat er onvoldoende oog is voor de mogelijke maatschappelijke ontwrichtende effecten die kunstmatige intelligentie toepassingen met zich mee brengen? Kunt u uw antwoord uitgebreid toelichten?1

Het is uiteraard belangrijk dat er aandacht is voor de impact die de inzet van (krachtige) AI-systemen op onze samenleving kan hebben. Het afgelopen half jaar heeft de aandacht voor met name generatieve AI-systemen daarbij een enorme vlucht genomen.
Enerzijds maakt het karakter van deze technologie het mogelijk om als zeer geavanceerd hulpmiddel taken uit handen te nemen of te vergemakkelijken en bij te dragen aan maatschappelijke opgaven, anderzijds heeft het de potentie om bij te dragen aan desinformatie of manipulatie. Deze ongewenste, en in sommige gevallen potentieel ontwrichtende, effecten zijn zorgwekkend. Het tempo waarin deze technologie zich ontwikkelt brengt daarnaast onzekerheden met zich mee en daarbij bestaan er nog vraagtekens.
De Wetenschappelijke Raad voor het Regeringsbeleid (WRR) schrijft in haar rapport «opgave AI» dat effecten van (nieuwe) AI op publieke waarden niet vooraf te voorspellen zijn.2 Het is daarom belangrijk dat er in de maatschappij een continu debat gevoerd wordt en dat de overheid structureel signalen uit de samenleving ophaalt en uitgaat van een lerende aanpak. Momenteel wordt er daarom gewerkt aan het ontwikkelen van een visie op generatieve AI, naar aanleiding van een motie van de leden Dekker-Abdulaziz en Rajkowski.3 Ik informeer uw Kamer nog voor de zomer over de vorderingen. Deze visie zal open tot stand komen en zullen burgers, bedrijven en overheden actief worden gevraagd om bij te dragen aan dit traject.
Tegelijkertijd zet het kabinet zich in om de reeds bekende risico’s van AI te adresseren, in de eerste plaats via regulering. Naast al bestaande voor AI relevante wet- en regelgeving (zoals de AVG en de Grondwet) richt de Europese AI-verordening – die op dit moment nog in onderhandeling is – zich specifiek op een aanscherping van het reguleren van AI-systemen in de Europese Unie. De AI-verordening is productwetgeving, opdat AI systemen pas op de markt komen als aan de eisen van de verordening is voldaan. In de concept AI-verordening4 zijn AI-systemen onderverdeeld in verschillende categorieën. Afhankelijk van de categorie waarin een AI-systeem valt, gelden zwaardere of minder zware eisen. Het merendeel van de eisen geldt voor AI-systemen met hoge risico’s voor gezondheid, veiligheid en mensenrechten.
Daarnaast blijft het kabinet zich inzetten op het stimuleren van mensgerichte AI. Dit gebeurt onder andere door te investeren in de ontwikkeling van oplossingen voor verantwoorde en veilige AI via onder meer de ELSA-labs5 en het ROBUST-programma.6 Naast het weren van negatieve AI-toepassingen, moeten we positieve AI-toepassingen blijven omarmen.

Vraag 2

Bent u het eens met de stelling dat de maatschappelijke vraagstukken die voortkomen uit de toepassing van kunstmatige intelligentie niet bepaald moeten worden door techbedrijven maar een maatschappelijk en politiek debat verdienen? Vindt u dit maatschappelijke en politieke debat tot op heden voldoende gevoerd? Kunt u uw antwoord uitgebreid toelichten?

Ja, ik kan mij vinden in de stelling dat maatschappelijke vraagstukken die voortkomen uit AI-toepassingen een brede maatschappelijke dialoog verdienen. Daarbij onderstreep ik dat het debat zowel maatschappelijk als politiek hierover momenteel op veel verschillende manieren wordt gevoerd.
Door de recente ontwikkelingen op het gebied van AI is de aandacht voor AI in het publieke debat sterk toegenomen. Dit is bijvoorbeeld merkbaar aan de grote (social) media-aandacht voor het onderwerp. Het maatschappelijk debat over de impact van AI op onze samenleving wordt echter al langere tijd gevoerd. Hierbij is aandacht voor zowel de enorme kansen die met een technologie als AI gemoeid gaan, alsook de risico’s. Zo is er afgelopen jaren veel aandacht geweest voor onderwerpen als transparantie, bias en het belang van menselijk toezicht op AI. Deze signalen zijn actief meegenomen in het nationale AI-beleid.
Om zicht te houden op nieuwe maatschappelijke vraagstukken en risico’s van AI is het van groot belang het gesprek hierover met verschillende partijen te blijven voeren. Deze maatschappelijke dialoog staat ook centraal bij het in 2023 komen tot een (kabinets)visie op generatieve AI, waarbij een stevig maatschappelijk debat over de maatschappelijke impact van (generatieve) AI met burgers, overheden en bedrijven zal worden gevoerd en als belangrijke input fungeert.
Hier ligt ook een brede en gedeelde verantwoordelijkheid, ook bij aanbieders en gebruikers van AI, wetenschappers, onderwijsinstellingen, burgers en overheden. En daar zet het kabinet zich vol voor in, bijvoorbeeld via de Nederlandse AI Coalitie. Via dit publiek-private samenwerkingsverband werken overheid, bedrijfsleven, onderwijs- en onderzoeksinstellingen en maatschappelijke organisaties in gezamenlijkheid aan maatschappelijk verantwoorde AI-toepassingen.
Daarnaast is de (aankomende) AI-verordening een directe reactie op de in de maatschappij gesignaleerde risico’s. De Europese Unie pakt met deze verordening de regie rondom de maatschappelijke vraagstukken rondom AI. Dit geldt ook voor een aantal andere Europese wetten, zoals de Digital Markets Act en de Digital Services Act. Bedrijven mogen alleen (digitale) producten en diensten leveren op de Europese markt als deze veilig zijn en mensenrechten respecteren.

Vraag 3

Kunt u de concrete uitwerking van het waardenkader sturen, naar aanleiding van aangenomen motie Leijten en Ceder? Zo nee, wanneer kan de Kamer deze concrete uitwerking verwachten?2

Met uw Kamer deel ik de behoefte aan één duidelijk waardenkader dat toegepast kan worden in digitalisering in alle sectoren. Tegelijkertijd constateer ik dat er al meerdere waardenkaders zijn die tegelijkertijd gelden. Zo zijn de waarden die wij als maatschappij van fundamenteel belang achten vastgelegd in de Grondwet. Hierbij valt te denken aan non-discriminatie, privacy en vrijheid van meningsuiting. De bescherming van deze waarden is uitgewerkt in wetgeving. De AVG ziet bijvoorbeeld toe op de bescherming van persoonsgegevens. Op basis van deze wet- en regelgeving zijn er diverse handreikingen opgesteld om organisaties te helpen deze waarden ook in de praktijk te beschermen. Voorbeeld hiervan zijn de Impact Assessment Mensenrechten Algoritmen (IAMA),8 de handreiking non-discriminatie by design en de Code Goed Digitaal Openbaar Bestuur (CODIO)9.
Welke publieke waarden een rol spelen in concrete situaties is (mede) afhankelijk van de sector en het specifieke geval. Zo is de hierboven genoemde CODIO voor digitalisering in het openbaar bestuur opgebouwd als een bouwwerk dat bestaat uit drie fundamenten: (1) democratie, (2) rechtstaat en (3) bestuurskracht; zes principes: (1) participatie, (2) maatschappelijke waarde, (3) mensenrechten, (4) procedurele rechtvaardigheid, (5) bestuurskwaliteit en (6) verantwoordelijkheid; en 30 specifieke waarden. De code biedt een rijkheid aan waarden maar ook drie heldere ankerpunten: democratie, rechtstaat en bestuurskracht. De vraag die in het openbaar bestuur wordt gesteld ziet minder op een aanvullend waardenkader dan op handreiking bij de toepassing van alle bestaande kaders. Daarom ontwikkel ik bijvoorbeeld een implementatiekader «verantwoorde inzet van algoritmes» met daarin alle verplichte en aanbevolen onderdelen waarmee rekening moet worden gehouden bij het ontwikkelen en inzetten van algoritmes.
Tegelijkertijd heb ook ik de behoefte om de bestaande waardenkaders in samenhang te beschouwen en te verbinden. In de brief over het implementatiekader, die u nog voor de zomer van mij ontvangt, zal ik aangeven hoe we daartoe willen komen.

Vraag 4

Kunt u zich vinden in de oproep van de techprominenten om een pauze in te lassen met betrekking tot het gebruik van vergaande kunstmatige intelligentie en kunt u in uw antwoord betrekken hoe zich dit verhoudt tot het normenkader dat moet worden opgesteld door de Autoriteit Persoonsgegevens en dat nog niet ontwikkeld is?

Ik herken zorgen die genoemd worden in de oproep van techprominenten en het is goed dat zij daarvoor aandacht vragen.
De oproep richt zich echter in grote mate op toekomstige ontwikkelingen, terwijl we nu al impact zien van generatieve AI. Daarbij gaat het bijvoorbeeld om desinformatie en gevolgen voor het onderwijs. Deze gevolgen worden niet opgelost met een pauze. Het is daarom van belang om ook nu al actie te nemen.
Op de korte termijn werkt het kabinet aan adresseren van die gevolgen.10 Het kabinet werkt ook aan een integrale visie op generatieve AI naar aanleiding van een motie11 van uw Kamer.
Daarnaast is de oproep een steun in de rug voor de Nederlandse en Europese aanpak om tot mensgerichte AI te komen. Zoals in antwoord 1 beschreven, investeren we in het veiliger kunnen maken van AI-systemen en stellen gaan we via de AI-verordening eisen stellen om deze veiligheid te waarborgen.
In Nederland werken we ook aan het versterken van toezicht op algoritmes en AI. Diverse toezichthouders hebben met AI en algoritmes te maken. De DCA bij de AP richt zich vanaf januari 2023, conform de doelen in de inrichtingsnota algoritmetoezichthouder, op het komen tot gezamenlijke en sectoroverstijgende normuitleg.12 Bijvoorbeeld over transparantieverplichtingen in wet- en regelgeving. Ook faciliteert de AP het gezamenlijk uitleggen van juridische normen en kaders op het gebied van algoritmes en AI. Dit moet bijdragen aan het scheppen van duidelijkheid aan ondertoezichtgestelden – bijvoorbeeld bedrijven of overheden – over hoe en aan welke normen zij moeten voldoen als het gaat om de (verantwoorde) inzet van AI. Naast deze inspanningen van de DCA zal het kabinet het toezicht op basis van de AI verordening vormgeven zodra deze definitief tot stand is gekomen. Bij de voorbereiding, die nu al loopt zijn diverse toezichthouders betrokken.

Vraag 5

Kunt u aangeven welke adviescolleges, instanties of andere gremia de overheid en bestuurders adviseren over de ethische aspecten van het gebruik van kunstmatige intelligentie en nieuwe digitale toepassingen?

Bij de ontwikkeling en het gebruik van AI en nieuwe digitale toepassingen wint de overheid advies in over de ethische aspecten van een breed scala aan organisaties, bedrijven en personen, waaronder de wetenschap en het maatschappelijk middenveld. Recente voorbeelden daarvan zijn onderzoeken van het Rathenau Instituut en de WRR. Deze organisaties worden ook betrokken bij het opstellen van de kabinetsvisie op generatieve AI.
Onderdelen van de rijksoverheid en andere (mede-)overheden hebben daarnaast ook zelf adviesorganen voor de ethische aspecten van het gebruik van AI en digitale toepassingen. Voorbeelden daarvan zijn de Commissie Data Ethiek van het UWV en de Adviescommissie Analytics bij het Ministerie van Financiën en ethische commissies bij gemeenten en provincies.

Vraag 1

Bent u bekend met het bericht «NS waarschuwt honderdduizenden klanten over mogelijk lekken van persoonsgegevens»?1

Ja, ik ben bekend met dit bericht.

Vraag 2

Wat is uw reactie op het feit dat de privégegevens van honderdduizenden klanten op deze manier op straat zijn komen te liggen?

Ik betreur dat persoonsgegevens van NS-klanten mogelijk onderdeel zijn van een hack bij een betrokken partij bij reizigerstevredenheidsonderzoeken. De privacy van reizigers die hun medewerking verlenen aan deze onderzoeken, moet beschermd zijn.

Vraag 3

Is inmiddels bekend op welke wijze de gegevens op straat zijn beland? Komt dit door een hack bij de softwareleverancier of door onzorgvuldige beveiliging van de persoonsgegevens?

Marktonderzoeker Blauw is door NS ingeschakeld voor het uitvoeren van verschillende reizigerstevredenheidsonderzoeken. Subverwerker Nebu uit Wormerveer levert het softwareplatform waarop Blauw haar onderzoeken uitvoert. Nebu is, volgens Blauw, gehackt en tijdens die hack is alle data van klanten en onderzoeken gedownload (geëxfiltreerd). Het is echter nog niet zeker welke data precies zijn gelekt en of ook NS-data onderdeel waren van het datalek.

Vraag 4

Het datalek is volgens de berichtgeving niet ontstaan bij NS zelf, maar bij een softwareleverancier van het ingehuurde marktonderzoeksbureau dat klanttevredenheidsonderzoek doet in opdracht van NS. Kunt u aangeven welke afspraken NS maakt met externe partijen, teneinde de veiligheid van klantdata te maximeren?

Om de veiligheid van klantdata te beschermen, sluit NS met externe partijen een verwerkersovereenkomst. Daarin worden ook afspraken gemaakt over het inschakelen van een subverwerker.
Dit heeft NS ook met marktonderzoeksbureau Blauw gedaan. Deze verwerkersovereenkomst is afgesloten conform artikel 28 lid 3 AVG. In deze verwerkersovereenkomst zijn afspraken gemaakt over de verwerking van persoonsgegevens door Blauw en de beveiliging van persoonsgegevens. Ook zijn in deze verwerkersovereenkomst afspraken gemaakt over de inschakeling van een subverwerker door Blauw.

Vraag 5

Wat is de wettelijke grondslag op basis waarvan persoonsgegevens zijn verwerkt door NS, het marktonderzoeksbureau en diens softwareleverancier?

In het Privacystatement op de website van NS2 is beschreven welke grondslag van toepassing is (zie onder «Marktonderzoek en wetenschappelijk onderzoek»). NS hanteert voor het NS panel onderzoek en het reizigersonderzoek de grondslag «toestemming» en voor het contactbelevingsonderzoek en overige klantonderzoeken de grondslag «gerechtvaardigd belang».

Vraag 6

Is er op enig moment een DPIA (data protection impact assessment) uitgevoerd voordat de gegevensverwerking tot stand werd gebracht? Zo nee, waarom niet?

NS heeft mij laten weten dat er een DPIA is uitgevoerd door NS. Deze verwerking is opgenomen in het register van verwerkingen van NS.

Vraag 7

Wist de NS op elk moment wie er van de softwareleverancier inzage had in de persoonsgegevens die werden verwerkt? Zo nee, wat vindt u daarvan?

NS was ervan op de hoogte dat Blauw subverwerker Nebu heeft ingeschakeld. NS heeft Blauw in de verwerkersovereenkomst specifieke schriftelijke toestemming gegeven om Nebu in te schakelen. Hieraan zijn evenwel specifieke condities verbonden. Bij NS is niet bekend welke medewerkers van Nebu inzage hebben (gehad) in persoonsgegevens.

Vraag 8

Vindt u dat er voldoende regels zijn omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen? Zo ja, waarom? Zo neen, waarom niet?

De Algemene Verordening Gegevensbescherming (AVG) verplicht ertoe dat wanneer persoonsgegevens worden verwerkt, de verwerkingsverantwoordelijke maatregelen neemt om te zorgen dat de verzamelde gegevens niet langer bewaard worden dan nodig is en dat organisatorische en technische maatregelen getroffen worden, zodat gegevens goed beveiligd en vertrouwelijk blijven. De verwerkingsverantwoordelijke moet kunnen aantonen dat aan deze zorgvuldigheidsnormen is voldaan. Wanneer voor de verwerking een externe partij wordt ingeschakeld, dan moeten diens taken in een overeenkomst worden vastgelegd. De genoemde zorgvuldigheidsnormen zijn ook dan onverkort van toepassing. Het ontbreekt dan ook niet aan regels omtrent de veiligheid van klantdata van publieke instellingen en bedrijven die met externe partijen werken en hun klantdata met deze partijen delen.

Vraag 9

Wat gaat u doen om te voorkomen dat kritieke data van klanten in de toekomst zonder strenge regels door externe partijen wordt gebruikt?

Elke organisatie die persoonsgegevens verwerkt is er in de eerste plaats zelf verantwoordelijk voor om dit volgens de regels te doen en er scherp op toe te zien dat dit ook daadwerkelijk gebeurt. De Autoriteit Persoonsgegevens (AP) heeft daarnaast een voorlichtende taak. Het Ministerie van Justitie en Veiligheid zorgt dat de AP beschikt over voldoende financiering voor de uitvoering van alle taken die samenhangen met de AVG, zo ook deze. In het Coalitieakkoord is daarom extra budget voor de AP opgenomen.

Vraag 1

Wat is de reden dat u in uw brief aan de Kamer van 8 maart 2023 specifiek niet «China» benoemde met betrekking tot de uitgebreide exportcontrole van halfgeleiders?

Het Nederlands exportcontrolebeleid is landenneutraal. Bij de beoordeling van een exportvergunningaanvraag wordt per geval een afweging gemaakt en getoetst op het aanvullend strategisch kader voor exportcontrole (Kamerstuk 22 054, nr. 376), waarbij gekeken wordt naar onder meer de eigenschappen van het te exporteren product, de toepasbaarheid van het product, de eindgebruiker en het land van bestemming.

Vraag 2

Is er een mogelijkheid dat Nederlandse productieapparatuur van halfgeleiders via tussenhandelaren en tussenlanden alsnog in handen kan komen van China? Kunt u uw antwoord toelichten?

Het risico op doorgeleiding naar een andere eindgebruiker is onderdeel van de beoordeling voor een vergunningaanvraag. Als hierover gerede twijfels zijn, kan de aanvraag worden afgekeurd. Bovendien geldt bij geavanceerde productieapparatuur voor halfgeleidertechnologie dat gebruikers deze systemen niet zomaar op een andere plek kunnen installeren. Dit is onder meer vanwege de omvang en complexiteit van de systemen en de technische vereisten voor de installatielocatie. Ook zullen er te allen tijde medewerkers uit Nederland betrokken zijn om de machine in te regelen en te laten werken. Daar zijn exportvergunningen voor benodigd.

Vraag 3

Hoe gaat u voorkomen en controleren dat Nederlandse chipmachines niet via-via alsnog in handen komen van China, bijvoorbeeld via andere landen en bedrijven waarmee China een vriendschappelijke band heeft?

Zie antwoord vraag 2.

Vraag 4

Bent u voorstander van het opzetten van een internationale samenwerking tussen gelijksoortige landen die chipmachines produceren, bijvoorbeeld gelijkvormig aan de Organization of the Petroleum Exporting Countries (OPEC)? Zo nee, waarom niet?

Er is reeds een internationaal forum voor het bespreken van exportcontrole op (opkomende) technologie in multilateraal verband: het Wassenaar Arrangement. Nederland is hier lid van. Daarnaast spreekt Nederland uitvoerig met diverse landen die een sterke positie hebben in de halfgeleiderwaardeketen en/of specifieke productieapparatuur hiervoor, zoals de Verenigde Staten, Japan, Zuid-Korea en EU-lidstaten.

Vraag 5

Lopen andere chipproducerende landen zoals Duitsland gelijk met Nederland wat betreft exportbeperking van chiptechnologie aan China?

De Nederlandse industrie maakt unieke producten in de halfgeleiderwaardeketen en daarom speelt Nederland hier een leidende rol. De exportcontrolemaatregel die Nederland op 8 maart aan uw Kamer heeft aangekondigd, ziet alleen op Nederlandse technologieën. Daarbij streeft Nederland, zoals ook in de brief genoemd, naar Europese inbedding van nationale besluiten, dus er is intensief contact met Europese partners. Conform artikel 9 en 10 van de Dual Use Verordening zal Nederland de Europese Commissie en de lidstaten over de nationale controlemaatregel informeren, waarna andere lidstaten deze kunnen overnemen.

Vraag 6

Waarom gaat Nederland «per geval» exportvergunningaanvragen beoordelen? Creëert een heldere scheidslijn niet meer duidelijkheid en zorgt een beoordeling «per geval» niet juist voor veel grijze gebieden waardoor Nederlandse chiptechnologie uiteindelijk op onwenselijke plekken kan eindigen?

Het Nederlandse exportcontrolebeleid is erop gericht om (inter)nationale veiligheid te waarborgen, maar de risico’s op ongewenst eindgebruik zijn niet gelijk bij elke transactie naar hetzelfde land. Daarom maakt de overheid altijd en voor iedere vergunningaanvraag een zorgvuldige afweging voorafgaand aan elke individuele uitvoer.

Vraag 7

Betekent uw uitspraak dat u exportvergunningen «per geval» gaat verlenen dat elke vergunning een soort «internationale koehandel» wordt waarin ook per geval onderhandeld moet worden?

Nee. Elke aanvraag voor een exportvergunningaanvraag wordt op eigen merites en in nationaal verband beoordeeld.

Vraag 8

Voor hoelang geldt deze exportbeperking?

Bij de aankomende ministeriële regeling is geen einddatum voorzien. In algemene zin kan worden gesteld dat het altijd mogelijk is om een ministeriële regeling in te trekken, indien de noodzaak voor de regeling is komen te vervallen.

Vraag 9

Welke andere stappen kan Nederland nog nemen om de exportbeperking te verbreden, bijvoorbeeld door niet alleen geavanceerde chiptechnologie in te perken maar ook de meer gangbare technologie?

Bij exportcontrole van geavanceerde productieapparatuur voor halfgeleidertechnologie is het voor Nederland van belang dat onnodige verstoringen in de waardeketens voor gangbare technologie worden voorkomen. De keuze voor additionele controlemaatregelen wordt zo zorgvuldig en precies mogelijk (chirurgisch) gemaakt en is daarom gericht op specifieke apparatuur. Wanneer blijkt dat de export van meer gangbare technologieën mogelijk een negatieve impact heeft op (inter)nationale veiligheid, zal het kabinet overwegen om aanvullende maatregelen te nemen. Daarbij houdt Nederland wel rekening met een internationaal gelijk speelveld.

Vraag 10

Kunt u deze vragen beantwoorden alvorens 4 april 17:00 (vanwege het ingeplande commissiedebat China op 5 april)?

De vragen zijn zo spoedig als mogelijk beantwoord.

Vraag 1

Kent u het bericht «Identiteitsfraude: Energiedirect scherpt beleid aan op aandringen van Radar»?1

Ja.

Vraag 2

Beschikt u over gegevens waaruit blijkt hoe vaak het in Nederland voorkomt dat met behulp van het gebruik maken van identiteitsgegevens van een ander online contracten worden afgesloten of goederen worden gekocht? Zo ja, wat zijn die gegevens? Zo nee, bent u bereid dit te onderzoeken?

De gevraagde gegevens over fraude met identiteitsgegevens worden niet centraal verzameld, daarom ontbreken algemene cijfers. Fraudecasussen zijn ook vaak complex en kunnen tegelijk uit meerdere fenomenen bestaan (zoals kopie identiteitskaart misbruikt en/of nepprofiel aangemaakt en vervolgens bestelling op naam gedaan). Bij het vermoeden van identiteitsfraude kunnen burgers contact leggen met de organisatie waar hun gegevens misbruikt zijn of aangifte doen bij de politie of zich melden bij het Centrale Meldpunt voor Identiteitsfraude (CMI). Daarnaast zijn er gegevens uit de tweejaarlijkse Fraudemonitor van het Openbaar Ministerie.
Bij het CMI zijn de volgende gegevens bekend: het CMI heeft in 2022 in totaal 6.151 (6.397 in 2021) meldingen geregistreerd. 1.096 (1.759 in 2021) van deze meldingen betroffen specifiek het fenomeen «bestelling op naam», waarbij gegevens van een burger misbruikt worden voor bestellingen bij diverse organisaties. Specifiek over het afsluiten van energiecontracten op naam zijn 23 meldingen gedaan in 2022 (49 in 2021).
In de tweejaarlijkse Fraudemonitor wordt door het Openbaar Ministerie verslag gedaan van het aantal opsporingszaken (verdachten) voor identiteitsfraude in het algemeen. De Fraudemonitor over de jaren 2021 en 2022 wordt naar verwachting rond de zomer door het Openbaar Ministerie gepubliceerd en zal vervolgens door de Minister van Justitie en Veiligheid aan de Tweede Kamer worden aangeboden. Het ging in 2019 om 655 verdachten van ID-fraude en om 118 verdachten van ID-fraude via internet. In 2020 ging het om 480 verdachten van ID-fraude en 145 verdachten van ID-fraude via internet2. De Fraudemonitor bevat geen nadere uitsplitsing naar ID fraude in verband met het afsluiten van energiecontracten.

Vraag 3

Is er verband tussen het grootschalig hacken of stelen van onlinegegevens van Nederlanders en online identiteitsfraude? Zo ja, waar bestaat dat verband uit en hoe vaak komt het voor dat er met deze gegevens gefraudeerd wordt? Zo nee, kunt u dit verband uitsluiten?

Ja. Bij het inbreken in bepaalde systemen (computervredebreuk) kunnen grote hoeveelheden persoonsgegevens wederrechtelijk worden overgenomen. De aard en hoeveelheid van de gegevens kunnen sterk verschillen. Bepaalde gegevens kunnen worden gebruikt voor het plegen van diverse vormen van fraude, waaronder online identiteitsfraude. Er zijn gevallen bekend waarbij zeer grote hoeveelheden persoonsgegevens zijn overgenomen en vervolgens online zijn aangeboden. Daardoor worden deze gegevens voor veel kwaadwillenden bereikbaar en neemt het risico op misbruik voor fraude fors toe. Er zijn echter geen kwantitatieve gegevens bekend hoe vaak fraude wordt gepleegd met gegevens die na inbraak in systemen zijn verkregen.

Vraag 4

Deelt u de mening dat consumenten, die slachtoffer van online identiteitsfraude zijn en dus niet zelf een overeenkomst hebben gesloten, dit niet zelf zouden moeten aantonen, maar dat het aan de ondernemer is bij wie een overeenkomst is gesloten om aan te tonen dat die overeenkomst met de desbetreffende consument is gesloten? Zo ja, hoe is de geldende wet- en regelgeving dienaangaande en behoeft die aanpassing? Zo nee, waarom deelt u die mening niet?

Artikel 150 van de Wet van Burgerlijke Rechtsvordering stelt dat de partij die zich beroept op rechtsgevolgen van door haar gestelde feiten of rechten, de bewijslast daarvan draagt. Dat betekent in dit geval dat een ondernemer die betaling eist voor een overeenkomst, moet kunnen bewijzen dat hij die daadwerkelijk met de desbetreffende consument heeft gesloten.
In het bericht van Radar wordt verwezen naar identiteitsfraude bij een energieleverancier. Wanneer consumenten een geschil hebben met een energieleverancier kunnen zij terecht bij de Geschillencommissie. Alle energieleveranciers die leveren aan consumenten zijn wettelijk verplicht om hierbij aangesloten te zijn.

Vraag 5

Deelt u de mening dat ondernemers die onlinegoederen of diensten aanbieden zelf moeten zorgen dat er op een laagdrempelige wijze de identiteit van een klant wordt geverifieerd, bijvoorbeeld door het online betalen van 1 eurocent? Zo ja, waarom en welke (andere) mogelijkheden ziet u voor zich? Zo nee, waarom niet?

In het antwoord op vraag vier is toegelicht dat de ondernemer die de betaling eist voor een overeenkomst de bewijslast draagt. Het is daarom denkbaar dat ondernemers binnen de grenzen die de wet op dit moment biedt, in specifieke situaties ervoor kiezen om een verificatiemethode toe te passen. Hierbij kan gedacht worden aan overeenkomsten waar bijvoorbeeld voor consumenten grotere bedragen zijn gemoeid.
De 1-cent methode waar naar wordt verwezen in deze vraag kan een optie zijn. Het is echter niet wenselijk dat deze methode bij elke aankoop wordt ingezet. Er zijn namelijk gevallen bekend waarbij fraudeurs op online handelsplaatsen ook met die methode fraude plegen. De Fraudehelpdesk wijst op dit risico en hoe hiermee om te gaan.3
Een andere mogelijkheid binnen de wet is het vragen van een handtekening. Dit kan tot gevolg hebben dat sommige overeenkomsten niet per direct gesloten kunnen worden. Hier staat tegenover dat een handtekening via het identiteitsbewijs geverifieerd kan worden in het geval de consument aangeeft de overeenkomst niet zelf gesloten te hebben.
Ten aanzien van de energiesector, waar naar wordt verwezen in het bericht van Radar, ontvangt de Tweede Kamer naar verwachting voor de zomer een brief van de Minister voor Klimaat en Energie over de Energiewet. Daarin wordt o.a. de nieuwe gegevensuitwisselingsentiteit in de energiesector toegelicht.
Het is in het algemeen onwenselijk dat ondernemers meer gegevens dan noodzakelijk ontvangen van burgers. Zoals bij het antwoord op vraag drie is toegelicht, kan deze informatie juist gebruikt worden voor het plegen van fraude, als wordt ingebroken in de systemen van ondernemers.

Vraag 6

Deelt u de mening dat als ondernemers zelf meer de identiteit van hun onlineklanten gaan verifiëren dat daarmee misdaad en onnodige belasting van de politie en andere actoren in de strafrechtketen kan worden voorkomen? Zo ja, waarom? Zo nee, waarom niet?

Voor elke vorm van fraude en oplichting geldt dat de meeste winst te behalen is met het vergroten van het bewustzijn van risico’s en met preventieve maatregelen om slachtofferschap zo veel mogelijk te voorkomen. In het geval van identiteitsfraude bij consumentenaankopen is het ook belangrijk dat ondernemers zich bewust zijn van identiteitsverificatie, mede omdat de bewijslast bij hen ligt (zie antwoord op vraag vier). Ondernemers die zijn opgelicht kunnen dit melden en aangifte doen bij de politie. Informatie is belangrijk voor de opsporing om snel zicht te krijgen op de aard, omvang en handelwijze van oplichting. Het informeren van ondernemers over identiteitsverificatie kan op verschillende manieren; algemene informatieverstrekking en sectorspecifiek wanneer aanvullende eisen worden gesteld aan identiteitsverificatie.
Ten aanzien van algemene informatie ondersteunt het CMI voornamelijk slachtoffers van identiteitsfraude met informatie en concreet advies, maar levert ook een bijdrage aan bewustwording en preventie van identiteitsfraude met presentaties, workshops en andere voorlichtingsactiviteiten. Ondernemers kunnen in het fysieke en in het digitale domein controle en verificatie toepassen om te voorkomen dat ook zij slachtoffer worden van oplichters die zich schuldig maken aan identiteitsfraude. Het CMI kan met organisaties meedenken over of en hoe er kans is op identiteitsfraude met de buitgemaakte gegevens. Daarnaast kan het CMI meedenken over hoe getroffen organisaties de slachtoffers van een hack of datalek kunnen informeren. Zo is het CMI te gast geweest bij meerdere online bijeenkomsten van de contactcentra van grote woningcorporaties. Tijdens deze bijeenkomsten heeft het CMI de medewerkers geïnformeerd en geadviseerd hoe zij konden antwoorden op mogelijke vragen van verontruste burgers/klanten.

Vraag 7

Bent u bereid om met ondernemersverenigingen en brancheorganisaties in overleg te treden om laagdrempelige wijzen van identiteitsverificatie te bevorderen? Zo ja, wilt u de Kamer van de uitkomst van dat overleg op de hoogte stellen? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 1

Kunt u reflecteren op het artikel «Rapidus Official Calls US Semiconductor Regulations Too Aggressive, Calls for Cooperation between Korea, Japan» van Business Korea van 10 maart 2023?1

Dit Koreaanse krantenartikel betreft de halfgeleidermarkt in Azië. Mede gezien de geringe link met het Nederlandse beleid terzake, vind ik het niet op mijn pad liggen op dit Koreaanse krantenartikel te reageren.

Vraag 2

Wat is uw reactie op de uitspraak van Yasumitsu Orii, senior bestuurslid van Rapidus (een joint venture dat vorig jaar is opgericht door acht Japanse conglomeraten, waaronder Toyota, Sony, Softbank, Kioxia en NTT, om een sterke lokale industrie voor geavanceerde halfgeleiders op te zetten gesteund door de Japanse overheid) dat «Amerikaanse regelgeving eerder de Japanse semiconductor-industrie heeft verzwakt. Maar nu de Verenigde Staten weer via regelgeving proberen om wereldwijd dominant in halfgeleiders te worden, moeten Korea en Japan wel samenwerken om te reageren op deze stappen van de VS»?

Zie antwoord vraag 1.

Vraag 3

Hoe plaatst u deze opmerking in het licht van de onderhandelingen tussen de VS, Japan en Nederland over maatregelen om de export van geavanceerde chiptechnologie naar China te beperken?

Op 8 december 2022 en 8 maart 2023 heeft u vertrouwelijke briefings gehad met ambtenaren over dit onderwerp. Zoals ook gemeld in het antwoord van 8 november 2022 op Kamervragen van VOLT, kan ik niet in details treden over gesprekken over dit onderwerp met partnerlanden. Voor het overige verwijs ik graag naar mijn brieven aan uw Kamer op 8 maart jl. en 1 december 2022.

Vraag 4

Welke garantie heeft u dat Japan meedoet met de maatregelen die de VS, Japan en Nederland hebben afgesproken?

Net als Nederland gaat Japan over zijn eigen beleid. Op 31 maart jl. heeft het Ministry of Economy, Trade and Industry (METI) een lijst van items gepubliceerd die het onder exportcontrole wil laten brengen. Het gaat hier om geavanceerde productieapparatuur voor halfgeleiders.
Inhoudelijk is er veel gelijkgezindheid tussen Europa, VS en partnerlanden in de Indo-Pacific wat betreft het belang dat we onze nationale veiligheid schragen met passende maatregelen op halfgeleiderterrein. Tijdens mijn recente ontmoeting met Minister Nishimura in Japan heb ik het belang van samenwerking op het gebied van exportcontrole benoemd. Maar ook Japan maakt hier uiteindelijk een eigen afweging.

Vraag 5

Eerder stond Japan achter de maatregel om de export van EUV-machines naar China te verbieden, omdat deze maatregel enkel ASML trof, de grote concurrent van Japanse lithografiebedrijven. Hoe treffen de nieuwe maatregelen Japanse bedrijven?

Door Nederland ingestelde exportcontrolemaatregelen zijn alleen gericht op export vanuit Nederland. Over de Nederlandse maatregelen bent u in de brief van 8 maart jl. geïnformeerd.

Vraag 6

Is het mogelijk dat Japan enkel akkoord gaat met de maatregelen die haar Nederlandse concurrenten treffen en de maatregelen die Japanse bedrijven hard treffen, negeert?

Zie antwoord op vraag 4.

Vraag 7

Welke gevolgen heeft dat voor de concurrentiepositie van de Nederlandse chiptechnologiebedrijven?

Zie antwoord vraag 6.

Vraag 8

Bent u bereid de exportmaatregelen voor Nederlandse chiptechnologiebedrijven in te trekken als de Japanse regering enkel de maatregelen invoert die de Japanse bedrijven nauwelijks raken?

Nee. Het kabinet maakt hierin een eigen afweging van belangen en in de Kamerbrief van 8 maart is deze afweging met uw Kamer gedeeld.

Vraag 1

Bent u bekend met de berichten: «Naaktbeelden borstkankerpatiënten VS gepubliceerd om ziekenhuis af te persen», en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland»?1, 2

Ja.

Vraag 2

Is bekend of meer Nederlandse ziekenhuizen of zorginstellingen slachtoffer zijn (geweest), of doelwit zijn van ransomware-aanvallen waarbij patiëntgegevens en gegevens van (zorg)medewerkers zoals foto’s en persoonsinformatie buit zijn gemaakt? Om hoeveel gevallen gaat het? Welke stappen zijn gezet om de schade voor patiënten zo veel mogelijk te beperken?

De afgelopen jaren zijn meerdere ziekenhuizen en zorginstellingen slachtoffer geweest van ransomware-aanvallen. Uit het dreigingsbeeld cybersecurity van het Computer Emergency Response Team voor de zorg (Z-CERT) blijkt dat er in 2022 vijf ransomware-incidenten bij Nederlandse zorginstellingen zijn geregistreerd door Z-CERT.3 In het jaar 2021 betrof dit ook vijf geregistreerde ransomware incidenten. In 2023 is er voorlopig sprake van twee genoteerde incidenten.4 Het is mij niet bekend bij hoeveel van deze incidenten er gegevens van patiënten of (zorg-)medewerkers zijn ontvreemd.
Zorgaanbieders die geraakt worden door ransomware kunnen (technische) experts inzetten om de gevolgen van het incident te beperken. Zorgaanbieders die zijn aangesloten bij Z-CERT kunnen hierbij rekenen op ondersteuning door Z-CERT. Het is daarnaast van belang dat zorginstellingen contact opnemen met de betrokken patiënten of medewerkers om hen te informeren over de gevolgen die het incident voor hen heeft, en in overleg met de ICT-leverancier maatregelen treffen ten behoeve van de informatieveiligheid.

Vraag 3

Welke veiligheidsmaatregelen worden getroffen door Nederlandse ziekenhuizen en zorginstellingen om patiëntgegevens, gegevens van (zorg)medewerkers en andere gevoelige data zo goed mogelijk te beschermen, de continuïteit van zorgprocessen te borgen en om cybercriminelen buiten de deur te houden? In hoeverre wordt de zorgsector hierbij ondersteund door Z-CERT? In hoeverre wordt Z-CERT ook actief benaderd en betrokken door de zorgsector zelf wanneer het gaat om bijstand bij cyberaanvallen? Is Z-CERT ook in het verleden betrokken geweest bij cyberaanvallen op Nederlandse ziekenhuizen en andere zorginstellingen? Zo ja, wat was hun rol?

Zorginstellingen nemen maatregelen om de gevolgen van cyberaanvallen te beperken en zo spoedig mogelijk te mitigeren. Deze maatregelen vloeien voort uit hun verantwoordelijkheden en zijn uitgewerkt in wettelijk verplicht gestelde normen voor informatiebeveiliging in de zorg. Dit betreft de NEN7510, 7512 en 7513. Kern hierbij is de NEN 7510 norm, die met name voorschrijft dat zorginstellingen de risico’s voor informatiebeveiliging in kaart brengen en hiervoor passende maatregelen nemen. De norm vereist ook beheersmaatregelen voor de bescherming van netwerken, bedrijfscontinuïteit en bereikbaarheid. De aanvullende normen NEN 7512 en 7513 zien er daarnaast op toe dat er wordt voldaan aan eisen voor veilige gegevensuitwisseling en logging.
Op dit moment zijn meer dan 300 instellingen uit verschillende sub-sectoren aangesloten bij Z-CERT. Z-CERT voorziet hun deelnemers van advies en dreigingsinformatie, en in het geval van een incident kan Z-CERT een zorginstellingen ondersteunen bij het mitigeren van de gevolgen van een cyberaanval. Z-CERT heeft dit in het verleden ook gedaan, bijvoorbeeld tijdens de recente DDoS-aanvallen op Nederlandse ziekenhuizen. Door gebruik te maken van de diensten van Z-CERT zoals het Zorgdetectienetwerk, kunnen zorginstellingen informatie over incidenten met elkaar delen. Z-CERT monitort daarnaast actief op signalen van incidenten bij haar deelnemers. Ook scant Z-CERT op internet naar kwetsbare systemen bij de deelnemers en informeert deze daarover om zo mogelijke incidenten te voorkomen.
Het Ministerie van VWS ondersteunt het gefaseerd aansluiten van de gehele zorgsector op basis van een risicogebaseerde aansluitstrategie, zodat steeds meer zorginstellingen deelnemer worden van Z-CERT. Het Ministerie van VWS blijft zich inzetten om de dienstverlening van Z-CERT zo breed mogelijk beschikbaar te stellen binnen de gehele zorgsector.

Vraag 4

Welke maatregelen worden genomen om te voorkomen dat een klik op een verkeerde link door een (zorg)medewerker cybercriminelen toegang geeft tot de meest gevoelige en kwetsbare informatie van patiënten?

Bewustwording van risico’s en het belang van zorgvuldig handelen door eigen medewerkers is essentieel voor goede informatieveiligheid, ook in de zorg. Het Ministerie van VWS zet daarom ten eerste in op het stimuleren van informatieveilig gedrag van zorgprofessionals. In de brief «Voortgang op elektronische gegevensuitwisseling» van 15 december 2022 heb ik u hier nader over geïnformeerd.5 In 2019 is het Ministerie van VWS het project informatieveilig gedrag gestart. Via dit project werkt het ministerie aan een gestructureerde methode voor gedragsverandering op het gebied van informatieveiligheid, toegespitst op de Nederlandse zorgsector. De methode is uitgewerkt in een Wegwijzer, waarin manieren zijn opgenomen om informatie veilig gedrag in de zorg te bevorderen. Hierin wordt onder andere ingegaan op welke interventies mogelijk zijn om te voorkomen dat (zorg)medewerkers slachtoffer worden van phishing.
Daarnaast heeft Z-CERT een publicatie over phishing gemaakt waarin maatregelen en een handelingsperspectief beschreven worden.6 Deze publicatie is terug te vinden op website van Z-CERT en is door Z-CERT verspreid onder haar deelnemers. Hierin staan naast bewustwordingsmaatregelen ook technische maatregelen die zorginstellingen kunnen toepassen om beter beschermd te zijn tegen phishing.

Vraag 5

Welke maatregelen neemt Z-CERT om de cyberbewustwording en weerbaarheid bij Nederlandse ziekenhuizen en zorginstellingen te verhogen?

Z-CERT biedt hun deelnemers een breed pakket aan diensten om hun cybersecurity bewustwording en weerbaarheid te verhogen. Zoals ik in mijn antwoord op vraag 3 heb aangegeven gaat het hierbij onder andere om het verspreiden van dreigingsinformatie, adviseren over preventieve maatregelen en het ondersteunen bij het mitigeren van de impact van een cyberaanval. Concreet gaat het bijvoorbeeld om adviezen over hoe te reageren op een ransomwareaanval, en hoe e-mailstandaarden en monitoring te implementeren.7 Z-CERT helpt hun deelnemers daarnaast bij het organiseren van cybercrisisoefeningen, en Z-CERT informeert deelnemers geregeld over cyberbewustwordingsonderwerpen. Op de website van Z-CERT is eveneens een kennisbank te vinden met daarin documentatie die informatie bevat over verschillende thema’s. Het doel van deze publicaties is om het zorgveld cyberweerbaar en cyberbewust te maken. Deze informatie is voor iedereen toegankelijk.

Vraag 6

Hoe hoog wordt het dreigingsniveau van eventuele aanvallen door cybercriminelen op Nederlandse ziekenhuizen en zorginstellingen, maar ook breder dan deze sector, geschat? Hoe beoordeelt u de digitale weerbaarheid van Nederlandse sectoren in vergelijking met de huidige toenemende digitale dreiging waar Nederland nu mee te maken heeft? Welke maatregelen worden op dit moment in Nederland genomen om weerstand te bieden aan deze toenemende dreiging, ook in aanloop naar de implementatie van de NIS2?

In het dreigingsbeeld cybersecurity 2022 geeft Z-CERT per type cyberdreiging voor het zorgveld een risico-inschatting. Zo wordt het dreigingsniveau met betrekking tot de impact van ransomware-aanvallen op Nederlandse ziekenhuizen en zorginstellingen aangemerkt als «hoog».8
In het meest recente Cybersecuritybeeld Nederland staat genoteerd dat er sprake is van een scheefgroei tussen de toenemende dreiging en de ontwikkeling van de weerbaarheid.9 Omdat digitale systemen het «zenuwstelsel» van onze maatschappij vormen, maakt het kabinet zich daarom hard voor de versterking van onze digitale weerbaarheid via de verschillende ambities die omschreven staan in de Nederlandse Cybersecuritystrategie (NLCS), zodat deze scheefgroei geadresseerd wordt.10 In het actieplan van de NLCS staan de maatregelen waarmee deze ambities worden gerealiseerd en wie daarvoor verantwoordelijk is.

Vraag 7

Hoe staat het met de toezegging dat Nederland zich inzet om de zwaarste cybercriminelen op Europese sanctielijsten te krijgen? Deelt u de mening dat de cybercriminelen van onder andere Black Cat en Qilin hier ook op thuishoren? Zo nee, waarom niet? Zo ja, wat gaat u doen om dit te bereiken?

Als internationaal recht en in VN-verband overeengekomen normen geschonden worden door cyberaanvallen, kunnen diplomatieke maatregelen in coalitieverband worden genomen. In EU-verband hebben we hiertoe de Cyber Diplomacy Toolbox, die mede door Nederland tot stand is gekomen. Het EU Cyber Sanctie Regime is onderdeel van deze Toolbox. Inmiddels zijn acht personen en vier entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen op de sanctielijst van de EU geplaatst. Op de sanctielijst staan onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast kregen personen en entiteiten uit China en Noord-Korea sancties opgelegd. Op dit moment wordt de Cyber Diplomacy Toolbox herzien, met als doel daadkrachtiger op te kunnen treden tegen ontwrichtende cyberoperaties, hier speelt Nederland wederom een actieve rol in. Welke respons opportuun is, zal afhankelijk zijn van de ernst en impact van het incident. Voor inzet van het sanctiemiddel is bovendien unanimiteit vereist in de EU-besluitvorming.

Vraag 8

Hoe gaat u er zorg voor dragen dat de KopieID-app van de rijksoverheid, waarmee identiteitsbewijzen veilig gekopieerd, verstuurd en getraceerd kunnen worden, meer bekendheid en gebruikers krijgt, zodat in geval van diefstal en lekken locaties sneller te achterhalen zijn?

Vanaf juni dit jaar wordt de KopieID-app extra onder de aandacht gebracht. Dat zal gebeuren via social media, advertorials en bij bibliotheken waar de Informatiepunten Digitale Overheid zijn. De KopieID-app zelf zal in juni ook gebruiksvriendelijker zijn dan de huidige app. Zo is de app straks in meer talen te gebruiken en kunnen documenten automatisch worden herkend zodat men niet meer zelf met de vinger onderdelen onzichtbaar hoeft te maken te maken. De app herkent dan ook documenten als de Sédula, de identiteitskaarten die gebruikt worden in het Caribisch deel van het Koninkrijk.

Vraag 9

Hoe kan er zorg voor gedragen worden dat «vervuilde data», zoals verlopen paspoorten, sneller opgeruimd worden, zodat deze niet meer onderdeel kunnen worden van een cyberaanval? Hoe groot is het probleem van vervuilde data in Nederland?

De kopieën van de identiteitsbewijzen in het artikel en «Paspoorten van dokters op straat na hack bij oudereninstelling Gelderland» waren van werknemers. Die kopieën worden gemaakt als iemand in dienst treedt bij een werkgever. Werkgevers zijn verplicht om deze kopieën, zonder doorgestreepte elementen, te bewaren. Dat moet tot vijf jaar nadat een werknemer weg is bij deze werkgever. Het komt dus voor dat er terecht kopieën worden bewaard van identiteitsbewijzen die inmiddels zijn verlopen. Werkgevers dienen kopieën van oud-werknemers niet onnodig lang te bewaren. Of en hoeveel kopieën onnodig worden bewaard, is onbekend.11

Vraag 10

Ziet u mogelijkheden om, in het kader van de toenemende internationale cyberdreiging, aanvullende maatregelen te nemen op de korte termijn om de digitale weerbaarheid van de zorgsector en andere sectoren te vergroten? Zo ja, welke concrete maatregelen bent u bereid te treffen? Zo nee, waarom niet?

Zoals in het antwoord op vraag 6 is aangegeven staan in het actieplan van de NLCS alle acties die het kabinet uit zal voeren om de algehele digitale weerbaarheid van de maatschappij te versterken. Hierin vindt u dus ook welke concrete maatregelen op korte termijn getroffen (zullen) worden. Een voorbeeld van belangrijke maatregelen die de digitale weerbaarheid op korte termijn zullen vergroten is het bieden van meer zicht op cyberincidenten, -dreigingen en -risico’s aan organisaties door meer en efficiëntere informatie-uitwisseling. Daarnaast wordt er dit jaar geoefend met het Landelijk Crisisplan Digitaal middels de nationale oefening ISIDOOR.
Het actieplan 2022–2023 van de NLCS is het startpunt. Het actieplan wordt jaarlijks geactualiseerd, waardoor adequaat ingespeeld kan worden op de snelle ontwikkeling van het cybersecurity domein en bijgestuurd kan worden als hier aanleiding toe is. De komende jaren geeft het kabinet samen met medeoverheden, bedrijfsleven en wetenschap invulling aan de noodzakelijke vervolgstappen richting een digitaal veilig Nederland.

Vraag 11

Herinnert u zich de eerdere schriftelijke vragen over de Pro-Russische DDoS-aanval op Nederlandse ziekenhuizen? Kunt u toezeggen deze en bovenstaande schriftelijke vragen te beantwoorden vóór het aanstaande commissiedebat Cybercrime d.d. 30 maart 2023?3

Ja.

Vraag 1

Kunt u uitleggen hoe het kan dat Microsoft ondanks het ontbreken van een vergunning toch doorbouwt? Wat gaat u hieraan doen?1

Het college van gedeputeerde staten van de provincie Noord-Holland is het bevoegd gezag voor vergunningverlening, toezicht en handhaving (VTH) op het gebied van de Wabo (bouwen) en de Wet natuurbescherming (stikstof) als het gaat om de bouw en ingebruikname van het datacentrum van Microsoft. De omgevingsdienst Noordzeekanaalgebied en de omgevingsdienst Noord-Holland Noord voeren deze taken namens hen uit.
De provincie geeft aan dat de start van de bouwwerkzaamheden door Microsoft is toegestaan op basis van twee gedoogbeslissingen2 die de omgevingsdienst Noordzeekanaalgebied heeft genomen. Het gaat om een gedoogbeslissing om te mogen starten met bouwen en een gedoogbeslissing om te mogen starten met bouwen van een onderstation ten behoeve van het datacentrum. De provincie geeft aan dat een beslissing tot gedogen alleen wordt genomen als er concreet zicht is op legalisatie (in dit geval het verlenen van de omgevingsvergunning). Dit is in lijn met de landelijke handhavingsstrategie3.
De omgevingsvergunning is inmiddels op 19 april jl. verleend. De vergunning is nog niet onherroepelijk. De provincie geeft aan dat het risico van het bouwen, vooruitlopend op de onherroepelijke omgevingsvergunning, bij Microsoft ligt. Dat risico is dat bijvoorbeeld de bouw wordt stilgelegd, indien de vergunning door de rechter wordt vernietigd. De keuze om in die situatie te gaan handhaven en op welke manier ligt bij het bevoegd gezag (provincie Noord-Holland).

Vraag 2

Erkent u dat een voorkeursbehandeling het draagvlak en het vertrouwen in de overheid schaadt, omdat regels dan niet voor iedereen lijken te gelden? Hoe gaat u dit voorkomen?

Voor alle partijen, zowel burgers als bedrijven, gelden dezelfde juridische kaders. Zodoende wordt elk beoogd project getoetst aan dezelfde wet- en regelgeving. De beslissingen in het proces van vergunningverlening zijn openbaar. Voor zover ik dat kan beoordelen heb ik niet de indruk dat Microsoft een voorkeursbehandeling krijgt ten opzichte van andere bedrijven en burgers. Zoals toegelicht in mijn antwoord op vraag 1 zijn gedeputeerde staten van de provincie Noord-Holland het bevoegd gezag en voeren de omgevingsdiensten deze taken namens het college uit. De uitvoering van de taken door gedeputeerde staten wordt gecontroleerd door provinciale staten.

Vraag 3

Heeft u ook de indruk dat de samenwerking tussen lokale autoriteiten en Microsoft een voorkeursbehandeling betreft? Kunt u uw antwoord toelichten?

Die indruk heb ik, op basis van de informatie waarover ik beschik, niet. Zie voor een toelichting mijn antwoorden op vraag 1 en 2.

Vraag 4

Hoe voorkomt u dat invloedrijke partijen een voorkeursbehandeling genieten bij vergunningsaanvraagprocedures, zoals ook bij de situatie met Facebook en het datacentrum in Zeewolde?2

Ik vertrouw erop dat provincies en gemeenten, als bevoegd gezag, de hun toebedeelde taken en verantwoordelijkheden bij het verlenen van omgevingsvergunningen op een eerlijke en transparante wijze uitvoeren, zonder dat bepaalde aanvragers een voorkeursbehandeling krijgen. Gemeenteraden en provinciale staten hebben hierin een belangrijke taak, als organen die het college van B&W en het college van gedeputeerde staten controleren bij het uitoefenen van hun taken. Op deze manier is geborgd dat het proces van vergunningverlening volgens de wettelijke regels verloopt.

Vraag 5

Hoeveel projecten liggen stil in de kop van Noord-Holland omdat er geen aansluiting op het elektriciteitsnetwerk mogelijk is? Welke daarvan zouden doorgang kunnen vinden als Microsoft geen energie meer nodig heeft?

Microsoft sluit direct aan op het hoogspanningsnet van TenneT die volgens huidige regelgeving handelt op basis van het «first come, first served» principe (non-discriminatiebeginsel). Vanwege de aansluiting op het hoogspanningsnet concurreert Microsoft niet direct met andere regionale projecten, aangezien deze op de regionale netinfrastructuur worden aangesloten.

Vraag 6

Nu blijkt dat het datacenter in de Kop van Noord-Holland niet de juiste vergunningen heeft om te bouwen, geldt dan niet direct het afgegeven moratorium uit de datavisie? Kunt u uw antwoord toelichten?3

Zoals aangegeven in het antwoord op vraag 1 geeft de provincie Noord-Holland aan dat de start van de bouwwerkzaamheden door Microsoft wetmatig was, op basis van de twee gedoogbeslissingen die de omgevingsdienst Noordzeekanaalgebied heeft genomen. Inmiddels is de omgevingsvergunning verleend.
De uitbreiding van het hyperscale datacentrum in de gemeente Hollands Kroon past binnen de Ruimtelijke Strategie Datacenters (2019) die u aanhaalt. In deze strategie stellen we dat groei en/of uitbreiding van hyperscale datacentra kansrijk wordt geacht in de Eemshaven en Middenmeer (dit is de locatie van het datacentrum van Microsoft). Dit uitgangspunt hebben we bekrachtigd in de Nationale Omgevingsvisie (2020).
Het datacentrum van Microsoft ligt in een gebied dat door de gemeente Hollands Kroon is bestemd voor onder andere de uitbreiding van het bestaande hyperscale datacentrum. Deze locatie is ook uitgezonderd van het verbod op de vestiging van nieuwe hyperscale datacentra. Dit is opgenomen in de landelijke voorbeschermingsregels. Deze voorbeschermingsregels zijn vastgesteld vooruitlopend op de in procedure zijnde regelgeving voor de vestiging van hyperscale datacentra. Ook binnen deze regelgeving is dit gebied uitgezonderd van het verbod op vestiging van nieuwe hyperscale datacentra.

Vraag 7

Vindt u dat Microsoft door het overtreden van de wettelijke vereisten zijn vergunning moet verliezen en de bouw van het datacenter moet worden gestaakt? Waarom geldt de wet niet voor Microsoft?

Uit contact met de provincie Noord-Holland blijkt dat de start van de bouwwerkzaamheden door Microsoft wetmatig was, op basis van de twee genoemde gedoogbeslissingen. Inmiddels is de omgevingsvergunning verleend.
Zoals aangegeven in het antwoord op vraag 1 zijn gedeputeerde staten van de provincie Noord-Holland bevoegd gezag voor vergunningverlening, toezicht en handhaving. Provinciale staten controleert of gedeputeerde staten hun taken naar behoren uitvoert. Ik vertrouw erop dat de provincie de hun toebedeelde taken goed uitvoert.

Vraag 8

Kunt u laten weten welke bemoeienis het Ministerie van Economische Zaken en Klimaat (EZK) en/of de Netherlands Foreign Investment Agency (NFIA) heeft gehad met het faciliteren van Microsoft om het datacenter te ontwikkelen? Onder welke projectnaam is er met en voor Microsoft contact geweest? Welke onderzoeken, werkbezoeken, contacten, overleggen zijn er gefaciliteerd vanuit de NFIA en/of het Ministerie van EZK?

Naast het aantrekken van buitenlandse investeringen in Nederland, heeft NFIA als kerntaak om buitenlandse bedrijven te helpen bij vervolginvesteringen in ons land. Tot begin 2020 was het aantrekken van datacentra een strategisch speerpunt binnen het acquisitiebeleid van de NFIA, om de Nederlandse ICT infrastructuur te versterken. Dit was in lijn met het strategische acquisitiebeleid van ICT-bedrijven, zoals opgenomen in het plan «the Netherlands: Digital Gateway to Europe».6 Vanuit de opdracht om hoofdkantoor-, onderzoeks- en innovatieactiviteiten van buitenlandse bedrijven in Nederland te laten vestigen is NFIA derhalve sinds 2009 bij vrijwel alle projecten van Microsoft datacentra betrokken geweest, zo ook dit specifieke project, onder de projectnaam «Microsoft».
Sinds begin 2020 worden datacentra niet meer actief naar Nederland aangetrokken door de NFIA. Dit geldt zowel voor hyperscale datacentra als voor andere soorten datacentra. Als een bedrijf zich meldt bij de NFIA wordt deze doorverwezen naar regionale overheden (aangezien de vestiging regionaal is belegd).
Voor dit project in de gemeente Hollands Kroon geldt dat met name de regionale Invest in Holland partner van NFIA, het Ontwikkelingsbedrijf Noord-Holland-Noord (NHN), in contact met Microsoft is geweest. Bij uitbreidingen voeren over het algemeen regionale onderwerpen zoals vergunningprocedures de boventoon en is de rol van NFIA beperkt. NFIA heeft geen rol bij vergunningverlening en verwijst hiervoor naar het bevoegd gezag.
Omdat Microsoft een belangrijke partij is binnen het ICT ecosysteem en de digitale infrastructuur van Nederland, onderhoudt NFIA in het kader van «Investor Relations» algemeen periodiek contact met het bedrijf. Aangaande dit specifieke uitbreidingsproject in de gemeente Hollands Kroon heeft NFIA tot 2021 regelmatig contact gehad om op de hoogte te blijven over de voortgang. De laatste bezoekmomenten van NFIA aan Microsoft in het kader van dit project dateren van september en december 2021.