Vraag 1

Herinnert u zich uw antwoorden op de schriftelijke vragen van het lid Van Helvert over de beoogde bouw van VN-datacentra in China?1

Ja.

Vraag 2

Kunt u iets uitgebreider ingaan op de taken van het UN Geospatial and Innovation Center en het International Research Center of Big Data en uiteenzetten welke data zullen worden ondergebracht in deze VN-datacentra?

Het United Nations Global Geospatial Knowledge and Innovation Centre in de Chinese stad Deqing is bedoeld om te functioneren als een multilaterale kennis- en innovatiehub die ertoe dient om capaciteiten ten aanzien van ruimtelijke en geografische informatie te bevorderen, gezamenlijke kennis te ontwikkelen, en om ruimtelijke en geografische informatie op nationaal niveau te verbeteren om ontwikkelende landen te helpen bij het realiseren van de Duurzame Ontwikkelingsdoelstellingen (SDG’s). Het centrum valt onder het United Nations Department of Economic and Social Affairs (UNDESA).
Naast het United Nations Global Geospatial Knowledge and Innovation Centrein Deqing zijn op regionaal niveau drie regionale hubs opgericht, namelijk in China (Hangzhou), Rwanda en de Verenigde Arabische Emiraten. Een vierde regionale hub wordt opgericht in Rio de Janeiro. De regionale hubs ondersteunen het werk van het VNGlobal Platform, dat is opgericht door de VN Global Working Group on Big Data. Het hoofddoel van de regionale hub in China is het faciliteren van internationale samenwerking bij de ontwikkeling van officiële statistieken met behulp van nieuwe gegevensbronnen (big data) en innovatieve methoden om landen te helpen bij het meten van de SDG's. Naast het ontwikkelen en delen van kennis over nieuwe methodes, algoritmes en tools, wordt er ook geïnvesteerd in het geven van trainingen in het gebruik van big data voor de gemeenschap van statistici. De regionale hubs zijn gericht op de desbetreffende regio’s, de hub in Hangzhou richt zich met name op Zuidoost Azië en de Pacific.
Het gaat hierbij dus om technische samenwerking met activiteiten gericht op het gezamenlijk ontwikkelen van innovatieve statistische methodologie. Hierbij worden geen vertrouwelijke data (zoals persoonsgegevens) gedeeld. De data die mogelijk gebruikt worden bestaan uit vrij beschikbare gegevens, zoals bijvoorbeeld scheepvaart trackinggegevens (AIS) of geografische gegevens (OpenStreetMap).

Vraag 3

Welke Nederlandse data komen bij de VN-databases in China terecht?

Buiten het mogelijke gebruik van vrij beschikbare gegevens komen er geen vertrouwelijke Nederlandse data (zoals persoonsgegevens) bij de VN-databases in China terecht.

Vraag 4

Deelt u de mening dat de plaatsing van VN-datacentra in China, een systeemrivaal, het land aanzienlijk veel kennis geeft over alle sociale, economische en technologische activiteiten in de wereld en dat dit een absoluut onwenselijke situatie is?

Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp ondersteunt het kabinet het zorgvuldig gebruik van data en onderzoek dat kan bijdragen aan verbetering van het werk van de VN, de implementatie van de SDG’s en de samenwerking tussen VN-lidstaten. Tegelijkertijd brengt het concentreren van wereldwijde datastromen over topografie, infrastructuur en menselijk gedrag in een enkel land mogelijk kwetsbaarheden met zich mee. Technologische ontwikkelingen, bijvoorbeeld op het gebied van big data, spelen immers een rol in de machtsbalans tussen landen. In algemene zin acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens.
In het geval van de genoemde VN-datacentra in China ligt de focus op internationale samenwerking met als doel mogelijkheden te ontwikkelen die de doelstellingen van de VN ten goede komen. Het Centraal Bureau voor de Statistiek (CBS) en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.

Vraag 5

Klopt het dat er intentieverklaringen zijn getekend tussen de Chinese overheid en de VN Department of Economic and Social Affairs, zonder dat er duidelijke en controleerbare afspraken zijn gemaakt over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens? Deelt u de mening dat dit een vreemde gang van zaken is?

In april 2019 hebben UNDESA en de Chinese overheid een intentieverklaring getekend om de regelingen en modaliteiten voor de oprichting van het centrum in Deqing verder te ontwikkelen. Op dit moment wordt er nog gewerkt aan de verdere ontwikkeling van een memorandum van overeenstemming (MoU) en een gastlandovereenkomst (HCA) tussen de VN en de regering van China. Met betrekking tot de regionale hub in Hangzhou tekenden UNDESA en het Chinese Nationaal Bureau voor de Statistiek in juni 2019 een intentieverklaring, het MoU werd getekend op 7 december 2020.
Het kabinet erkent het belang van duidelijke en controleerbare afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. De bestaande intentieverklaringen tussen UNDESA en de Chinese overheid zijn algemene voorbereidende documenten, die een raamwerk bieden voor samenwerking, waarbij de noodzakelijke zorgvuldigheidsvereisten in acht worden genomen.

Vraag 6

Is het besluit om de datacentra in China te plaatsen definitief? Zo ja, hoe is de VN tot dit besluit gekomen? Zo nee, in hoeverre kunnen de VN-lidstaten nog voor een andere locatie kiezen?

Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp heeft de VN de besluiten bevestigd. Deze zijn m.b.t. het Geospatial Knowledge and Innovation Centre genomen door alle VN-lidstaten onder begeleiding van het VN Committee of Experts on Global Geospatial Information Management (UN-GGIM), dat valt onder ECOSOC en m.b.t. de regionale hub door de VN Global Working Group on Big Data, een intergouvernementele werkgroep waaraan 30 landen en 16 internationale organisaties aan deelnemen, waaronder Nederland. De VN Global Working Group on Big Data valt onder de auspiciën van de VN Statistical Commission, die op zijn beurt onder de ECOSOC valt.

Vraag 7

Herinnert u zich de beleidsnotitie Nederland-China: Een nieuwe balans, waarin u het volgende aangeeft: «In de samenwerking met China blijkt het lastig om bijvoorbeeld vrijheid van meningsuiting en respect voor eigendom en data overeind te houden. De Nederlandse overheid zal daarom beheersmaatregelen nemen, waar mogelijk in EU-kader of via multilaterale afspraken»? Hoe past de plaatsing van VN-datacentra in China binnen deze probleemstelling?2

Zoals aangegeven in het antwoord op de vorige Kamervragen van het lid Van Helvert acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het CBS en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.
Op dit moment voorziet het kabinet in dit verband geen problemen omdat er vooral sprake is van technische samenwerking, er geen vertrouwelijke Nederlandse data worden gebruikt en er nauw contact is met de betrokken partijen. Het kabinet blijft de ontwikkelingen uiteraard nauwgezet volgen.

Vraag 8

Heeft Nederland bij de VN, in het licht van bovenstaande uitspraak, geprobeerd de plaatsing van deze datacentra in China te voorkomen? Zo nee, waarom niet?

Nee. Het kabinet beschikt op dit moment niet over de indicatie dat er zwaarwegende redenen zijn om de plaatsing van deze centra in China te voorkomen.

Vraag 9

Welke andere beheersmaatregelen bent u bereid te nemen om te voorkomen dat Nederlandse (big-)data in China terechtkomt? Bent u bereid bij de VN aan te geven dat Nederland geen data zal delen met de VN indien de VN-datacentra in China worden neergezet?

Zoals aangegeven in het antwoord op vraag 3 komen er geen vertrouwelijke Nederlandse data bij de VN-databases in China terecht. Het kabinet hecht veel waarde aan bescherming van persoonsgegevens en privacybescherming en werkt nauw samen met EU-partners ter uitvoering van de Algemene verordening gegevensbescherming (AVG). Het Centraal Bureau voor Statistiek (CBS), dat in Nederland over deze data beschikt, levert nooit herkenbare gegevens aan derden, ook niet aan andere overheidsinstellingen. Ook in samenwerking met de VN en andere landen, waaronder China, waarborgt het deze standaard.

Vraag 10

Bent u bereid om bij de eerstvolgende Raad Buitenlandse Zaken en NAVO-bijeenkomst deze kwestie op de agenda te plaatsen en te pleiten voor een gemeenschappelijke stellingname tegen de plaatsing van de VN-datacentra in China?

Zoals aangegeven in het antwoord op vraag 7 beschikt het kabinet op dit moment niet over de indicatie dat er sprake is van vergaande problematische ontwikkelingen. Het kabinet blijft de ontwikkelingen echter nauwgezet volgen en zal in de toekomst de optie open houden dit onderwerp te agenderen mocht daarvoor een concrete aanleiding zijn.

Vraag 1

Bent u bekend met het artikel «Een tablet of laptop eisen van leerlingen – het mag niet, maar scholen komen ermee weg»?1

Ja.

Vraag 2

Wat vindt u ervan dat scholen de grenzen opzoeken om leerlingen alsnog een laptop of tablet te laten aanschaffen – die vaak honderden euro’s kosten – terwijl dit vrijwillig zou moeten zijn? En wat betekent dit volgens u voor gezinnen die dit geld niet zomaar klaar hebben liggen? Welke consequentie heeft dit voor de schoolkeuze?

Scholen bepalen zelf welk lesmateriaal zij per leerjaar inzetten in hun onderwijs en in hoeverre ze dat op papier of digitaal doen. Ze ontvangen hiervoor bekostiging van de rijksoverheid. Binnen deze bekostiging moeten scholen voor iedere leerling een volwaardig onderwijsaanbod realiseren. Scholen mogen aan ouders vragen om zelf een laptop aan te schaffen maar dit moet altijd expliciet vrijwillig zijn. Scholen mogen ouders nooit verplichten een laptop aan te schaffen. Op het moment dat scholen schoolboeken vervangen door digitaal lesmateriaal en het bezit van een laptop (of tablet) voor het leerproces noodzakelijk is geworden, dienen scholen hierin zelf te voorzien.
Wanneer scholen ouders verplichten om een laptop aan te schaffen handelen zij niet volgens de wet. De Inspectie van het Onderwijs ziet hier op toe en controleert bij elk onderzoek op de naleving van de wettelijke regels ten aanzien van de vrijwillige ouderbijdrage.

Vraag 3

Wat vindt u ervan dat een steeds groter deel van het budget van Stichting Leergeld opgaat aan laptops en tablets voor gebruik in het onderwijs? En bent u het ermee eens dat deze gelden niet bedoeld zouden moeten zijn voor reguliere leermiddelen, zoals Stichting Leergeld stelt? Kunt u uw antwoord toelichten?

Het is een goede zaak dat Stichting Leergeld zich inspant om kinderen uit gezinnen met minimale financiële middelen te laten deelnemen aan binnen- en buitenschoolse activiteiten. Tegelijkertijd is het uitgangspunt dat iedere leerling kosteloos onderwijs moet kunnen volgen op school. Scholen zijn daar zelf voor verantwoordelijk. Zie verder het antwoord op vraag 2.

Vraag 4

Deelt u de mening dat het eisen van een laptops of tablets door scholen laat zien dat deze devices meer zijn dan enkel informatiedragers en daardoor niet bekostigd zouden moeten worden door leerlingen en hun ouders? Kunt u uw antwoord toelichten?

Een laptop valt niet onder de definitie van lesmateriaal2 omdat het de drager is van informatie, zelf geen informatie is, en niet wordt voorgeschreven voor een specifiek leerjaar. Hierdoor valt een laptop of tablet niet onder het lesmateriaal dat scholen gratis aan ouders dienen te verstrekken. Dat wil echter niet zeggen dat een school ouders mag verplichten om een laptop aan te schaffen. Op het moment dat scholen schoolboeken vervangen door digitaal lesmateriaal en het bezit van een laptop (of tablet) voor het leerproces noodzakelijk is geworden, dienen scholen hierin zelf te voorzien. Iedere leerling moet immers kosteloos onderwijs kunnen volgen op school.

Vraag 5

Bent u het eens met de voorzitter van de VO-raad die zegt dat het «kulargument» is om te beweren dat een laptop enkel een informatiedrager is en er wordt gewerkt met een «definitie uit de vorige eeuw»? Kunt u uw antwoord toelichten?

In de Wet Gratis Schoolboeken (WGS) uit 2008 zijn laptops (en andere devices) buiten de definitie van leermiddelen gehouden. In lijn met de motie-Westerveld3 zal ik in mijn reactie op de volgende evaluatie van de WGS ingaan op dit specifieke punt. Ik streef er naar om die evaluatie en de beleidsreactie daarop in de eerste helft van 2021 aan uw Kamer te zenden.

Vraag 6

Wat vindt u van het standpunt van de Groep Educatieve Uitgeverijen (GEU), de branchevereniging van aanbieders van leermiddelen, dat een device geen leermiddel is, maar een platform waarop je leermiddelen kunt gebruiken?2

Zie antwoord op vraag 5.

Vraag 7

Acht u het wenselijk dat scholen extra geld kwijt zijn aan leermiddelen en hardware, vanwege hun digitale ambities, en dat dit betekent dat schoolbesturen onder andere deze materiële uitgaven deels financieren met de personele component van de lumpsumfinanciering, zoals wordt gesteld in het rapport van McKinsey naar de doelmatigheid en toereikendheid van de bekostiging in het onderwijs? Kunt u uw antwoord toelichten?3

Scholen ontvangen de bekostiging voor personeel en exploitatie als één lumpsum en maken zelf keuzes over de besteding daarvan. De verdeelsleutel in de bekostiging is niet normstellend voor hoe scholen dit moeten uitgeven. Niet de OCW-beschikking, maar de onderwijsvisie van de school en de lokale behoeften van leerlingen moeten bepalend zijn bij deze keuzes.
Op de korte termijn kunnen scholen de benodigde middelen voor digitalisering halen uit de lumpsum, die o.a. voorziet in middelen voor lesmateriaal in het algemeen. De komende jaren zal de inzet van eigentijdse technologie alleen maar belangrijker worden. In mijn beleidsreactie op het rapport van McKinsey stel ik daarom ook vast dat een toekomstbestendig stelsel één van de vijf thema’s is waar blijvend in geïnvesteerd moet worden.6

Vraag 8

Welke andere conclusies trekt u op basis van het rapport van McKinsey als het gaat om digitalisering van het onderwijs en de bekostiging die daarmee gepaard gaat?

Zie antwoord op vraag 7. Ik verwijs hiervoor ook naar de beleidsreactie op het rapport van McKinsey.

Vraag 9

Klopt het dat de grootste barrière om digitale devices anders dan informatiedragers te bestempelen via de wet Gratis schoolboeken de financiering is? Kunt u uw antwoord toelichten?

Zie antwoord op vraag 5.

Vraag 10

Heeft u naar aanleiding van de aangenomen motie van het lid Westerveld aan het begin van dit schooljaar in kaart gebracht hoeveel schoolbesturen zelf niet kunnen voorzien in devices? Zo ja, kunt u de resultaten delen met de Kamer? Zo nee, waarom niet?4

Ja, daardoor heeft de beantwoording van deze vragen wat langer op zich laten wachten. Via de website lesopafstand.nl heeft Kennisnet op verzoek van OCW en de Raden van 1 oktober tot 16 november 2020 een enquête gehouden naar knelpunten bij het organiseren van hybride onderwijs en onderwijs op afstand. Alle schoolbesturen in het basis- en voortgezet onderwijs zijn door OCW en de PO-Raad en VO-raad op deze uitvraag gewezen. Op het peilmoment van 16 november 2020 hadden 102 respondenten (bestuurders, leraren, ict-coördinatoren) de vragenlijst ingevuld. Daarvan gaf 60 procent aan onvoldoende devices beschikbaar te hebben voor leerlingen en leerkrachten als een aantal leerlingen tevens thuis afstandsonderwijs moet ontvangen of bij een (gedeeltelijke) schoolsluiting. Ik neem deze signalen serieus als een indicatie van mogelijke knelpunten bij hybride-en afstandsonderwijs tijdens de corona crisis. Zoals vermeld in de brief «Tijdelijke banen en het voorkomen van onderwijsachterstanden door de coronacrisis»8 heb ik daarom € 3 miljoen beschikbaar gesteld om via SIVON opnieuw devices te verstrekken, met name aan scholen in het primair en voortgezet onderwijs die veel leerlingen hebben met een risico op achterstanden. Dat is bovenop de € 6,3 miljoen die in het voorjaar reeds beschikbaar is gesteld voor devices. Via sivon.nl worden de schoolbesturen geïnformeerd over de wijze waarop zij hiervoor een aanvraag kunnen indienen.

Vraag 11

Vindt u het gezien de digitalisering op scholen niet tijd om devices, zoals laptops en tablet, als nieuwe categorie aan te merken in de wet Gratis schoolboeken en de daarbij behorende financiering te regelen? Zo ja, op welke termijn gaat u dit regelen? Zo nee, waarom niet?

Zie het antwoord op vraag 5.

Vraag 12

Wat is de stand van zaken van de evaluatie van de wet Gratis schoolboeken en meer specifiek die van de uitwerking van de motie van het lid Westerveld c.s.? Wanneer kan de Kamer deze verwachten?5

Zie het antwoord op vraag 5.

Vraag 13

Deelt u de mening dat de coronacrisis en de noodzaak tot het volgen van afstandsonderwijs, de urgentie benadrukt om devices toegankelijk te maken voor alle kinderen?

De coronacrisis betreft een uitzonderlijke situatie waarin ik de schoolbesturen zo goed mogelijk ondersteun. Het belang van adequaat ingericht hybride- en afstandsonderwijs is hierin groot. Tegelijkertijd blijft het algemene uitgangspunt dat scholen verantwoordelijk zijn voor de kwaliteit en de continuïteit van het onderwijs, zonder verplichte meerkosten voor ouders, ook ten aanzien van devices.

Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.

Vraag 2

Klopt het dat de Nationale Beheersorganisatie Internetproviders (NBIP) binnenkort meldingen van het Nationaal Cyber Security Centrum (NCSC) kan gaan ontvangen over dreigingsrisico’s omdat het NBIP als samenwerkingsverband is aangemerkt als objectief kenbaar tot taak (OKTT)? Zo ja, bent u bereid om de Kamer halfjaarlijks op de hoogte te houden van de uitbreidingen van het landelijk dekkend stelsel? Zo nee, waarom niet?

Het klopt dat de Nationale Beheersorganisatie Internetproviders (NBIP) eerder krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) is aangewezen als organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid (OKTT). Dit maakt het voor het Nationaal Cyber Security Centrum (NCSC) mogelijk om de NBIP, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de NBIP te verstrekken, die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling (bijstand aan vitaal en Rijk, etc.). Zie het antwoord op vraag 7 voor een nadere toelichting op de verstrekking van deze informatie. Meer in het algemeen publiceert het NCSC op haar website publiekelijke informatie over bekende kwetsbaarheden, beveiligingsadviezen en andere adviezen waarmee organisaties hun weerbaarheid kunnen vergroten. De inzet op de uitbreiding van het Landelijk Dekkend Stelsel (LDS) vindt plaats binnen de kaders van de Nederlandse Cyber Security Agenda (NCSA).2 Over de voortgang van de NCSA, inclusief initiatieven die plaatsvinden in het kader van het LDS, wordt jaarlijks aan uw Kamer gerapporteerd. De volgende rapportage zal zijn voor de zomer 2021. Ik realiseer mij dat er nog veel werk moet worden verricht om te komen tot een daadwerkelijk LDS. Vandaar dat ik het WODC heb gevraagd onderzoek te doen naar de stand van zaken en de verbeterpunten van dit stelsel. Uw Kamer is hierover geïnformeerd op 17 november jl.

Vraag 3

Vanaf wanneer wordt voorzien dat de NBIP meldingen van het NCSC kan gaan ontvangen over dreigingsinformatie?

Zoals in het antwoord op vraag 2 aangegeven, kan het NCSC reeds aan de NBIP, een krachtens de Wbni als OKTT aangewezen organisatie, dreigings- en incidentinformatie, verstrekken met betrekking tot netwerk- en informatiesystemen van hun doelgroep. In verband met eerder gesignaleerde belemmeringen wordt thans onderzocht welke mogelijkheden tot informatiedeling binnen de bestaande wettelijke kaders nog verder ontwikkeld zouden kunnen worden.

Vraag 4

Deelt u de mening dat ondernemers die niet zijn aangesloten bij brancheorganisaties met een OKTT-status of een sectoraal expertisecentrum voor cybersecurity (CERT) adequate hulp moeten kunnen krijgen van het Digital Trust Center (DTC)? Zo ja, kunt u toelichten waarom het NBIP als OKTT wel binnenkort meldingen kan ontvangen van het NCSC terwijl het Digital Trust Center, waarvan meer dan een miljoen ondernemers in hun informatievoorziening afhankelijk zijn, dat nog steeds niet kan? Zo nee, waarom niet?

De digitale weerbaarheid is primair een eigen verantwoordelijkheid, ook van bedrijven. Het DTC biedt informatie, advies en tools aan om niet-vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Daarnaast kan eenieder en dus ook niet-vitale bedrijven, zoals in antwoord 2 aangegeven, via de website, kennisnemen van algemene beveiligingsadviezen van het NCSC. Het NCSC en het DTC werken bovendien vanuit hun onderscheidenlijke taken nauw samen waar het gaat om afstemming in externe overheidscommunicatie. Ook wisselen het NCSC en het DTC als kenniscentra zo veel als wettelijk mogelijk informatie en kennis(producten) uit.
Zoals aangegeven in de beantwoording op vraag 2, is het voor het NCSC mogelijk om, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de OKTT aan een organisatie te verstrekken. Dit indien deze organisatie is aangewezen als organisatie die objectief kenbaar tot taak (OKTT) heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid. Hierbij gaat het om informatie die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling en die betrekking heeft op andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid.
Het NCSC en het DTC werken nauw samen en zijn ook voortdurend, samen met de NCTV, in gesprek over de mogelijkheden om binnen het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden informatie te delen. Waar mogelijk, verbinden zij hier, voor de betrokken organisaties, handelingsperspectief aan. Alleen dan wordt de digitale weerbaarheid van Nederland immers daadwerkelijk verhoogd. Onderdeel van de samenwerking tussen het NCSC en het DTC is ook het binnen de wettelijke kaders optimaliseren van de onderlinge informatie-uitwisseling. In het kader daarvan wordt ook een aanwijzing krachtens de Wbni van het DTC als OKTT bezien. Momenteel wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan, voor overheidsorganisaties vanwege de AVG meer strenge, voorwaarden waardoor het krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven. Het DTC zou dan de bedrijven over de dreigingsinformatie kunnen informeren. Het Ministerie van EZK is bezig met de voorbereidende werkzaamheden hiervoor. Het streven is dat deze nieuwe dienstverlening begin volgend jaar kan starten.

Vraag 5

Deelt u de mening dat het voor de digitale veiligheid van Nederland van essentieel belang is dat zowel vitale als niet-vitale organisaties worden geïnformeerd over dreigingsinformatie? Zo ja, wat is de laatste stand van zaken omtrent het DTC te voorzien van een OKTT-status? Zijn er wettelijke barrières die voorkomen dat het DTC van deze status kan worden voorzien?

Ik deel de mening dat het de digitale veiligheid van Nederland vergroot als zowel vitale als niet-vitale organisaties worden geïnformeerd over relevante dreigingen, incidenten en kwetsbaarheden. Om die reden zijn algemene beveiligingsadviezen van het NCSC via de website openbaar beschikbaar en werkt het kabinet aan de totstandkoming van een landelijk dekkend stelsel (LDS) waarin, met inachtneming van de wettelijke kaders, relevante informatie breder, efficiënter en effectiever gedeeld kan worden. Binnen dat LDS spelen het NCSC en het DTC een belangrijke rol.
Zoals in het antwoord op vraag 4 is aangegeven, wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan, onder de bij de beantwoording van vraag 4 benoemde voorwaarden, het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven.

Vraag 6

Zijn er de afgelopen tijd gesprekken gevoerd om te werken aan een OKTT-status voor het DTC? Zo ja, wat waren de uitkomsten van deze gesprekken? Zo nee, waarom niet? Kunt u de Kamer informeren over de voortgang van deze gesprekken?

Zie antwoord vraag 5.

Vraag 7

Gelet op het feit dat vitale bedrijven, zoals KPN en VodafoneZiggo die ook onderdeel uitmaken van het NBIP, al informatie krijgen van het NCSC, kunt u aangeven welk type niet-vitale bedrijven voortaan dreigingsinformatie krijgen via het NBIP? Welke meldingen zal het NCSC wel of niet gaan doorsturen naar het NBIP? Wordt hierin, ondanks dat het NBIP een OKTT-status heeft ook nog onderscheid gemaakt tussen informatie voor vitale en niet-vitale bedrijven gezien het aantal niet-vitale bedrijven dat onderdeel is van het NBIP?

Het NCSC kan, binnen de wettelijke mogelijkheden, gegevens over dreigingen en incidenten delen met de NBIP, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties uit de doelgroep van NBIP. Daarbij kan het in elk geval persoonsgegevens aangaande kwaadwillende actoren betreffen, zodat organisaties door tussenkomst van de NBIP aan de hand daarvan bijvoorbeeld dreigingen kunnen detecteren in hun netwerken. Voor zover de te delen informatie (tevens) vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de NBIP, vanwege de toepasselijkheid van de Wbni3, niet mogelijk. In de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»4 is als een van de verschillende maatregelen opgenomen dat wordt geïnventariseerd welke wettelijke bevoegdheden de overheid heeft bij digitale crisissituaties, zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Het type niet-vitale bedrijven dat dreigingsinformatie kan ontvangen via de NBIP zijn de bedrijven die behoren tot de achterban van de NBIP.
Als organisaties in de doelgroep van de NBIP eveneens vitale aanbieders zijn, zullen zij informatie die relevant is voor de netwerk- en informatiesystemen die de vitale dienstverlening betreffen, direct van het NCSC ontvangen. Het kan dus zijn dat een vitale aanbieder ook (algemene) informatie via organisaties zoals de NBIP ontvangt als deze informatie relevant is voor vitaal en niet-vitaal.

Vraag 8

Overwegende dat het NBIP een informatiestatus heeft dat aansluit op het uitganspunt van het realiseren van een landelijk dekkend stelsel en dat ook recent het Cyber Weerbaarheidscentrum Brainport Eindhoven informatie mag ontvangen van het NCSC2, kan worden toegelicht welke sectoren er nu wel zijn afgedekt via OKTT’s en andere sectorale cybersecurity expertisecentra en welke nog niet? Kunt u een overzicht geven van het huidige landelijk dekkend stelsel? Zo nee, waarom niet?

Het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden heeft tot doel om ervoor te zorgen dat, met inachtneming van de wettelijke kaders, informatie over cybersecurity zo breed, effectief en efficiënt mogelijk wordt gedeeld. De totstandkoming van een landelijk dekkend stelsel en het aansluiten van steeds meer sectoren is een verantwoordelijkheid van de verschillende vakdepartementen. Daarnaast zijn het NCSC en de NCTV in contact met sectoren om hen te stimuleren zich te organiseren.
De organisaties binnen het landelijk dekkend stelsel, bijvoorbeeld het NCSC en het DTC, hebben diverse samenwerkingsverbanden, zoals onder andere Information Sharing and Analysis Centers (ISAC’s), computercrisisteams en andere sectorale- en brancheorganisaties, waar ze in het kader van de vervulling van hun onderscheidenlijke taken mee samen werken. Bij het DTC zijn inmiddels al 30 samenwerkingsverbanden van bedrijven uit niet-vitale sectoren aangesloten en dit aantal zal verder toenemen. Dit landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden is jong, divers, dynamisch en voortdurend in ontwikkeling. Een overzicht hiervan, zoals gevraagd, is daardoor al snel ofwel incompleet en achterhaald, ofwel groot en complex. Mede daarom heb ik via het WODC onderzoek laten doen naar de stand van zaken en de verbeterpunten voor dit stelsel. Dit onderzoek schetst ook een overzicht van het huidige stelselUw Kamer is hierover op 17 november jl. geinformeerd.

Vraag 9

Bent u bereid om zich de komende maanden, gezien de reële en actuele dreiging van cybercriminaliteit, in te zetten voor het versneld uitbreiden van het landelijk dekkend stelsel? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

De digitale dreiging die uitgaat van criminelen, maar ook van statelijke actoren heeft volgens het Cybersecuritybeeld Nederland 2020 een permanent karakter.6 Deze dreiging wordt het hoofd geboden langs de prioriteiten zoals uiteengezet in de NCSA en recente Kamerbrieven waarin de versterkte aanpak cybersecurity wordt beschreven,7 de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»8 en de beleidsreactie op het CSBN 2020, die tevens de voortgangsrapportage over de NCSA bevat.9 Bij de beleidsreactie op het WODC-rapport over Cybersecurity informatie-uitwisseling zoals genoemd onder vraag 8 zal ik u nader informeren over recente ontwikkelingen binnen het landelijk dekkend stelsel.

Vraag 10

Bent u bereid deze vragen te beantwoorden voorafgaande aan de behandeling van de begroting van Justitie en Veiligheid?

Ja.

Vraag 1

Bent u bekend met het bericht «Medewerkers coronatestlijn kunnen bij persoonsgegevens, ook als dat niet mag»?1

Ja.

Vraag 2

Vindt u ook dat mensen die de coronatestlijn bellen, zeker moeten kunnen weten dat hun gegevens zorgvuldig worden behandeld?

Uiteraard moeten mensen zeker kunnen weten dat er zorgvuldig met hun persoonsgegevens wordt omgegaan. Om die reden is er een privacyverklaring opgesteld, zodat mensen weten wat er met hun persoonsgegevens wordt gedaan. Daarnaast is in het proces altijd rekening gehouden hoe met deze persoonsgegevens zorgvuldig moet worden omgegaan, conform de vereisten van de AVG.

Vraag 3

Wat vindt u ervan dat persoonlijke gegevens van iedereen die een coronatest laat uitvoeren, toegankelijk zijn voor honderden medewerkers van de coronatestlijn? Klopt het dat dit in strijd is met de Algemene verordening gegevensbescherming (AVG), omdat medewerkers alleen gegevens zouden mogen zien die nodig zijn voor het uitvoeren van hun taak?

Zie antwoord vraag 4 en 5.

Vraag 4

Is er een manier waarop de privacy van betrokkenen beter gewaarborgd kan worden? Hoe kan de infrastructuur steviger en veiliger gemaakt worden om misbruik te voorkomen?

Navraag bij de GGD-GHOR levert de volgende informatie op: Om hun werkzaamheden zorgvuldig en effectief te kunnen uitvoeren hebben callcenter- medewerkers toegang nodig tot de persoonsgegevens van de mensen die bellen. Deze gegevens zijn onder andere nodig om afspraken in te plannen en testuitslagen te melden. Daarnaast moet een callcentermedewerker bijvoorbeeld, voordat hij of zij een uitslag doorbelt, in een dossier kunnen controleren of de uitslag inderdaad negatief is. Dit wordt gedaan vanuit zorgvuldigheid. Het komt soms namelijk voor dat een laboratorium een uitslag corrigeert. Een dergelijke check voordat wordt gebeld is dus cruciaal. Omdat niet kan worden voorspeld wie er een bepaalde dag belt voor het maken van een afspraak, moeten alle callcentermedewerkers bij alle dossiers kunnen.
Zorgvuldigheid is bij het omgaan met persoonsgegevens uiteraard van groot belang. De privacy van de betrokkenen is dan ook goed gewaarborgd en er zijn de nodige checks & balances ingeregeld in de werkprocessen. Zo is er bijvoorbeeld een scherpe controle op de logging. Door zorgvuldig te loggen wordt nauwlettend bijgehouden welke dossiers door wie worden ingezien.
Daarnaast tekenen alle medewerkers voor ze aan de slag gaan een geheimhoudingsverklaring. Medewerkers die hun geheimhouding schenden door zonder reden dossiers in te kijken kunnen daardoor worden opgespoord. Het is goed dat de GGD hier scherp op is en medewerkers hier op wijst, overtredingen opspoort en daar ook consequenties aan verbindt.

Vraag 5

Wat vindt u ervan dat er gegevens worden gedeeld in whatsapp-groepen? Waarom gebeurt dit? Vindt u ook dat medewerkers van de coronatestlijn beter getraind zouden moeten worden om met (medische) gegevens om te kunnen gaan? Zo ja, gaat u dit faciliteren? Zo nee, waarom niet?

Na navraag bij de GGD-GHOR begrijp ik dat de callcentermedewerkers uitvoerig worden gewezen op de privacy-verplichtingen. Ze tekenen een geheimhoudingsverklaring voordat ze aan de slag gaan en de training volgen. Hierin staat ook informatie over het gebruik van Sociale Media. Tijdens het on-boardingsprogramma en in de training wordt hierover gesproken. Daar wordt benadrukt dat het maken van afbeeldingen van schermen en het delen hiervan niet is toegestaan. Op verschillende manieren worden medewerkers voorzien van de benodigde informatie en mogelijkheden om vragen te stellen. Iedere medewerker heeft een supervisor waar hij/zij met vragen of knelpunten terecht kan. Ook beschikken de medewerkers over een kennisbank die wekelijks wordt geüpdatet. Daarnaast is er een community-omgeving waar medewerkers digitaal op kunnen inloggen om elkaar vragen te kunnen stellen. Verder zijn er dagstarts opgezet waarbij o.a. updates van werkprocessen worden besproken in teamverband. Als blijkt dat er regels worden overtreden, worden er maatregelen genomen.

Vraag 6

Waarom verwijst u voor een reactie naar de GGD, terwijl uw ministerie zelf de coronatestlijn heeft uitbesteed aan callcenterbedrijf Teleperformance?

Het Ministerie van VWS heeft GGD GHOR Nederland de opdracht gegeven een callcenter op te zetten. Daarvoor is door hen gekeken wie de beste partij was om dit te leveren, GGD GHOR Nederland is hiermee de opdrachtgever aan Teleperformance. Ik hecht eraan om te vermelden dat de GGD’en zelf verantwoordelijk zijn en dat GGD-GHOR een samenwerkingsverband is om dergelijke zaken vanuit de verantwoordelijkheid van de GGD’en gezamenlijk te regelen.

Vraag 7

Vindt u ook dat de medewerkers achter de coronatestlijn belangrijk werk doen en dat zij daarbij ook goed moeten worden ondersteund? Klopt het dat gewerkte uren niet altijd worden uitbetaald? Wat vindt u daarvan?

Ja ik deel uw mening dat zij belangrijk werk doen. Inmiddels zijn de processen voor de controle op de uren en het disputenproces aangescherpt en er is een bezwaarcommissie ingesteld. De medewerkers worden ondersteund door middel van training, door een Supervisor, via Webinars en via diverse digitale kanalen (kennisbanken en vraagbaak).

Vraag 8

Welke afspraken zijn er met Teleperformance gemaakt over de arbeidsvoorwaarden en arbeidsomstandigheden van de medewerkers van de coronatestlijn? Bent u bereid naar aanleiding van deze signalen opnieuw met Teleperformance in gesprek te gaan? Zo nee, waarom niet?

Het kabinet hecht belang aan een goede naleving van de wet- en regelgeving met betrekking tot arbeidsvoorwaarden en -omstandigheden. Iedere werkgever in Nederland dient zich hier aan te houden. Dit geldt dus ook voor Teleperformance. Het is niet aan mij om met individuele bedrijven over de in hun onderneming geldende arbeidsvoorwaarden in gesprek te gaan. Het maken van afspraken over arbeidsvoorwaarden is een zaak van werkgevers en werknemers. De naleving van die afspraken is in eerste instantie de verantwoordelijkheid van de sociale partners. Indien sprake is van een algemeen verbindend verklaarde cao en sociale partners vermoeden dat die niet wordt nageleefd, kunnen zij wel op grond van artikel 10 van de wet AVV bij de Inspectie SZW een verzoek indienen om hier onderzoek naar te doen.
Ook wat betreft de arbeidsomstandigheden zijn de werkgever en werknemer gezamenlijk verantwoordelijk. Indien er sprake is van onveilige en ongezonde arbeidsomstandigheden, kan dit worden gemeld bij Inspectie SZW.

Vraag 1

Bent u bekend met het bericht «Scanners in Rotterdamse haven broos voor Chinese spionage»?1

Vraag 2

Bent u voorts bekend met het bericht «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»?2

Vraag 3

Wat is uw appreciatie van de gezamenlijke waarschuwing van de AIVD, MIVD en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het FD artikel dat digitale spionage uit China een onmiddellijke dreiging vormt voor de Nederlandse economie en dat de vitale infrastructuur regelmatig doelwit is van cyberaanvallen? Deelt u deze zorgen?

Vraag 4

Klopt het dat de helft van de grote scanners in de Rotterdamse haven zijn geleverd door het Chinese bedrijf Nuctech? Zo ja, hoe verhoudt dit gegeven zich tot uw antwoord op vraag 3?

Vraag 5

Vindt u het wenselijk om in de vitale infrastructuur gebruik te maken van Chinese leveranciers? Zo ja, welke veiligheidswaarborgen zijn er om Chinese leveranciers te screenen?

Vraag 6

Wordt er, in navolging van het beleid rond het 5G-netwerk, ook in andere sectoren, zoals die van beveiligingsapparatuur, gewerkt met lijsten van onbetrouwbare leveranciers? Zo ja, op welke manier wordt dit vormgegeven? Zo nee, waarom niet?

Vraag 7

Hoe beoordeelt u de uitspraak van de directeur van de Nederlandse tak van Nuctech dat de Chinese overheid zich niet met Nuctech bemoeit? Vindt u dit geloofwaardig, ook gezien het feit dat het staatsbedrijf China National Nuclear Corporation (CNNC) een van de aandeelhouders is?

Vraag 8

Wat is uw reactie op klachten van concurrenten dat Nuctech onder de kostprijs levert dankzij Chinese staatssteun? Heeft u signalen die deze klachten ondersteunen? Hoe staat het in dit kader met het voorstel voor eenlevel playing field instrument dat het Nederlandse kabinet heeft ingebracht bij de Europese Commissie? Welke mogelijkheden zijn er momenteel voor aanbestedende diensten om mogelijk ongeoorloofde staatssteun mee te nemen in de aanbestedingsprocedure?

Vraag 9

Deelt u de mening van de experts waar NRC mee sprak dat, ondanks de toezegging van de douane dat de scans in eigen beheer worden geëxploiteerd op een gesloten datanetwerk, de beveiliging van de Nuctech scanners toch kwetsbaar is? Zo nee, waarom niet?

Vraag 10

Klopt het dat monteurs van defecte scanners in principe een mobiele dataverbinding met het hoofdkantoor kunnen opzetten om zo de problemen snel te verhelpen? Zo ja, bent u bereid om de deze mogelijkheden stop te zetten?

Vraag 11

Deelt u de mening van de aangehaalde experts dat het feit dat de servers van verschillende scannerfabrikanten in één ruimte zijn gehuisvest een kwetsbaarheid met zich meebrengt? Zo ja, bent u bereid om de servers van elkaar te scheiden? Zo nee, waarom niet?

Vraag 12

Hoe is het toegangsbeheer tot de scanners, zowel tot die van Nuctech als tot die van andere leveranciers, geregeld?

Vraag 13

Klopt het dat een Verklaring Omtrent het Gedrag (VOG) volstaat om toegang te krijgen tot de scanners in de haven, terwijl de toegang tot gevoelige apparatuur op Schiphol een Verklaring van Geen Bezwaar (VGB) vereist? Zo ja, wat is de reden voor dit verschil?

Vraag 14

Klopt het ook dat de aanbestedingseisen op het gebied van cybersecurity voor ict-apparatuur op de luchthavens strenger zijn dan die voor ict-apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de aanbestedingseisen voor de havens aan te scherpen?

Vraag 15

Klopt het dat beveiligingsprotocollen met betrekking tot het testen van apparatuur en het valideren van updates voor apparatuur op de luchthavens verregaander zijn dan die voor apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de beveiligingsprotocollen voor apparatuur in de havens aan te scherpen?

Vraag 1

Kunt u een overzicht geven van het onderzoek naar de mogelijkheid om voor vergunninghouders van landelijke, regionale en lokale FM-frequenties, ter compensatie van de coronacrisis, de vergunning te verlengen met tenminste twee jaar?1

Vraag 2

Kunt u aangeven of het klopt dat deze compensatie geen tegemoetkoming biedt voor vergunninghouders met een vergunning voor Laagvermogen Middengolf (LM)? Zo nee, kunt u aangeven op welke wijze vergunninghouders met een LM-vergunning worden gecompenseerd? Zo ja, bent u bereid te onderzoeken op welke wijze deze vergunninghouders wel kunnen worden gecompenseerd?

Vraag 3

Kunt u aangeven of, en zo ja op welke wijze, ook lokale vergunninghouders van Digital Audio Broadcasting (DAB) worden meegenomen bij het onderzoek naar de mogelijkheid deze te compenseren voor de gevolgen van de coronacrisis?

Vraag 4

Deelt u de mening dat ook kleine vergunninghouders (LM & DAB) worden getroffen door teruglopende inkomsten als gevolg van de coronacrisis? Zo nee, waarom niet?

Vraag 5

Deelt u de mening dat, omdat de LM-vergunningen in principe al verlengd worden en een verlenging voor lokale DAB-frequenties wellicht onmogelijk is omdat het misschien in 2028 stopt, er een andere vorm van compensatie nodig is? Zo nee, waarom niet?

Vraag 6

Bent u bereid deze vergunninghouders een alternatieve vorm van compensatie te bieden, bijvoorbeeld door een tijdelijke vrijstelling van de kosten voor het Commissariaat voor de Media en het Agentschap Telecom? Zo nee, waarom niet?

Vraag 1

Heeft u kennisgenomen van het essay van prof. John Wiliam Frank in de Journal of Epidemiology & Community Health waarin hij pleit voor betere toepassing van het voorzorgsprincipe bij de uitrol van 5G?1

Vraag 2

Deelt u zijn constatering dat er steeds meer bewijs is dat blootstelling aan hoogfrequente elektromagnetische velden behorend bij de uitrol van 5G mogelijk negatieve biologische effecten heeft?

Vraag 3

Hoe waardeert u de constatering dat de advisering door en de richtlijnen van de International Commission on Non-Ionizing Radiation Protection/World Health Organization zich ten onrechte beperken tot de thermische effecten van elektromagnetische straling?

Vraag 4

Hoe waardeert u zijn pleidooi om eerst meer onafhankelijk onderzoek te doen naar de gezondheidseffecten alvorens het 5G-netwerk met hoogfrequente elektromagnetische velden uit te rollen?

Vraag 5

Gaat u zorgen voor meer onderzoek naar de gezondheidseffecten – thermische en niet-thermische – van hoogfrequente elektromagnetische straling bij de verwachte blootstelling in de toekomst? Zo ja, hoe?

Vraag 6

Wat betekent het genoemde onderzoek voor de uitrol van het 5G-netwerk in Nederland?

Vraag 1

Heeft u kennisgenomen van het bericht «Onderzoeksbureau: Chinese techbedrijven bezig met etnisch profileren, Oeigoeren zijn doelwit», in de Volkskrant van 14 januari 2020?1

Vraag 2

Klopt het dat Huawei en andere Chinese tech-bedrijven investeren in technologie om Oeigoeren te kunnen identificeren op foto’s en videobeelden?

Vraag 3

Vindt u het acceptabel dat bedrijven investeren in technologie die specifiek is gericht op het identificeren van bepaalde etnische groepen? Is dit naar uw mening verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen?

Vraag 4

Welke verbanden ziet u tussen het gebruik van surveillance technologie en de onderdrukking van Oeigoeren in China?

Vraag 5

Bent u bereid om opheldering te vragen bij Huawei Nederland en hen te verzoeken om publiekelijk afstand te nemen van technologie gericht op de identificatie van etnische kenmerken, en van het gebruik van surveillancetechnologie bij de onderdrukking van Oeigoeren?

Vraag 6

In hoeverre worden gezichtsherkenningscamera’s van Chinese tech-bedrijven gebruikt in Nederland? Vindt u het gebruik daarvan wenselijk?

Vraag 7

In hoeverre spelen de patenten van Chinese tech-bedrijven een rol bij het vastleggen van standaarden voor surveillancetechnologie binnen de International Telecommunications Union (ITU)? Welke risico’s ziet u daarbij in het licht van de genoemde berichtgeving en hoe kunnen die risico’s worden ondervangen?

Vraag 8

Welke acties zouden Nederland en de Europese Unie kunnen ondernemen richting Chinese tech-bedrijven die betrokken zijn bij de onderdrukking van Oeigoeren? Bent u bereid om zich voor dergelijke acties in te spannen?

Vraag 9

In hoeverre is het huidige exportcontrolebeleid in staat om uit te sluiten dat de export van Nederlandse of Europese technologie bijdraagt aan de ontwikkeling van technologie door Chinese bedrijven die is gericht op het identificeren van etnische groepen?

Vraag 1

Herinnert u zich uw antwoorden op de schriftelijke vragen van het lid Van Helvert over de beoogde bouw van VN-datacentra in China?1

Ja.

Vraag 2

Kunt u iets uitgebreider ingaan op de taken van het UN Geospatial and Innovation Center en het International Research Center of Big Data en uiteenzetten welke data zullen worden ondergebracht in deze VN-datacentra?

Het United Nations Global Geospatial Knowledge and Innovation Centre in de Chinese stad Deqing is bedoeld om te functioneren als een multilaterale kennis- en innovatiehub die ertoe dient om capaciteiten ten aanzien van ruimtelijke en geografische informatie te bevorderen, gezamenlijke kennis te ontwikkelen, en om ruimtelijke en geografische informatie op nationaal niveau te verbeteren om ontwikkelende landen te helpen bij het realiseren van de Duurzame Ontwikkelingsdoelstellingen (SDG’s). Het centrum valt onder het United Nations Department of Economic and Social Affairs (UNDESA).
Naast het United Nations Global Geospatial Knowledge and Innovation Centrein Deqing zijn op regionaal niveau drie regionale hubs opgericht, namelijk in China (Hangzhou), Rwanda en de Verenigde Arabische Emiraten. Een vierde regionale hub wordt opgericht in Rio de Janeiro. De regionale hubs ondersteunen het werk van het VNGlobal Platform, dat is opgericht door de VN Global Working Group on Big Data. Het hoofddoel van de regionale hub in China is het faciliteren van internationale samenwerking bij de ontwikkeling van officiële statistieken met behulp van nieuwe gegevensbronnen (big data) en innovatieve methoden om landen te helpen bij het meten van de SDG's. Naast het ontwikkelen en delen van kennis over nieuwe methodes, algoritmes en tools, wordt er ook geïnvesteerd in het geven van trainingen in het gebruik van big data voor de gemeenschap van statistici. De regionale hubs zijn gericht op de desbetreffende regio’s, de hub in Hangzhou richt zich met name op Zuidoost Azië en de Pacific.
Het gaat hierbij dus om technische samenwerking met activiteiten gericht op het gezamenlijk ontwikkelen van innovatieve statistische methodologie. Hierbij worden geen vertrouwelijke data (zoals persoonsgegevens) gedeeld. De data die mogelijk gebruikt worden bestaan uit vrij beschikbare gegevens, zoals bijvoorbeeld scheepvaart trackinggegevens (AIS) of geografische gegevens (OpenStreetMap).

Vraag 3

Welke Nederlandse data komen bij de VN-databases in China terecht?

Buiten het mogelijke gebruik van vrij beschikbare gegevens komen er geen vertrouwelijke Nederlandse data (zoals persoonsgegevens) bij de VN-databases in China terecht.

Vraag 4

Deelt u de mening dat de plaatsing van VN-datacentra in China, een systeemrivaal, het land aanzienlijk veel kennis geeft over alle sociale, economische en technologische activiteiten in de wereld en dat dit een absoluut onwenselijke situatie is?

Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp ondersteunt het kabinet het zorgvuldig gebruik van data en onderzoek dat kan bijdragen aan verbetering van het werk van de VN, de implementatie van de SDG’s en de samenwerking tussen VN-lidstaten. Tegelijkertijd brengt het concentreren van wereldwijde datastromen over topografie, infrastructuur en menselijk gedrag in een enkel land mogelijk kwetsbaarheden met zich mee. Technologische ontwikkelingen, bijvoorbeeld op het gebied van big data, spelen immers een rol in de machtsbalans tussen landen. In algemene zin acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens.
In het geval van de genoemde VN-datacentra in China ligt de focus op internationale samenwerking met als doel mogelijkheden te ontwikkelen die de doelstellingen van de VN ten goede komen. Het Centraal Bureau voor de Statistiek (CBS) en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.

Vraag 5

Klopt het dat er intentieverklaringen zijn getekend tussen de Chinese overheid en de VN Department of Economic and Social Affairs, zonder dat er duidelijke en controleerbare afspraken zijn gemaakt over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens? Deelt u de mening dat dit een vreemde gang van zaken is?

In april 2019 hebben UNDESA en de Chinese overheid een intentieverklaring getekend om de regelingen en modaliteiten voor de oprichting van het centrum in Deqing verder te ontwikkelen. Op dit moment wordt er nog gewerkt aan de verdere ontwikkeling van een memorandum van overeenstemming (MoU) en een gastlandovereenkomst (HCA) tussen de VN en de regering van China. Met betrekking tot de regionale hub in Hangzhou tekenden UNDESA en het Chinese Nationaal Bureau voor de Statistiek in juni 2019 een intentieverklaring, het MoU werd getekend op 7 december 2020.
Het kabinet erkent het belang van duidelijke en controleerbare afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. De bestaande intentieverklaringen tussen UNDESA en de Chinese overheid zijn algemene voorbereidende documenten, die een raamwerk bieden voor samenwerking, waarbij de noodzakelijke zorgvuldigheidsvereisten in acht worden genomen.

Vraag 6

Is het besluit om de datacentra in China te plaatsen definitief? Zo ja, hoe is de VN tot dit besluit gekomen? Zo nee, in hoeverre kunnen de VN-lidstaten nog voor een andere locatie kiezen?

Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp heeft de VN de besluiten bevestigd. Deze zijn m.b.t. het Geospatial Knowledge and Innovation Centre genomen door alle VN-lidstaten onder begeleiding van het VN Committee of Experts on Global Geospatial Information Management (UN-GGIM), dat valt onder ECOSOC en m.b.t. de regionale hub door de VN Global Working Group on Big Data, een intergouvernementele werkgroep waaraan 30 landen en 16 internationale organisaties aan deelnemen, waaronder Nederland. De VN Global Working Group on Big Data valt onder de auspiciën van de VN Statistical Commission, die op zijn beurt onder de ECOSOC valt.

Vraag 7

Herinnert u zich de beleidsnotitie Nederland-China: Een nieuwe balans, waarin u het volgende aangeeft: «In de samenwerking met China blijkt het lastig om bijvoorbeeld vrijheid van meningsuiting en respect voor eigendom en data overeind te houden. De Nederlandse overheid zal daarom beheersmaatregelen nemen, waar mogelijk in EU-kader of via multilaterale afspraken»? Hoe past de plaatsing van VN-datacentra in China binnen deze probleemstelling?2

Zoals aangegeven in het antwoord op de vorige Kamervragen van het lid Van Helvert acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het CBS en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.
Op dit moment voorziet het kabinet in dit verband geen problemen omdat er vooral sprake is van technische samenwerking, er geen vertrouwelijke Nederlandse data worden gebruikt en er nauw contact is met de betrokken partijen. Het kabinet blijft de ontwikkelingen uiteraard nauwgezet volgen.

Vraag 8

Heeft Nederland bij de VN, in het licht van bovenstaande uitspraak, geprobeerd de plaatsing van deze datacentra in China te voorkomen? Zo nee, waarom niet?

Nee. Het kabinet beschikt op dit moment niet over de indicatie dat er zwaarwegende redenen zijn om de plaatsing van deze centra in China te voorkomen.

Vraag 9

Welke andere beheersmaatregelen bent u bereid te nemen om te voorkomen dat Nederlandse (big-)data in China terechtkomt? Bent u bereid bij de VN aan te geven dat Nederland geen data zal delen met de VN indien de VN-datacentra in China worden neergezet?

Zoals aangegeven in het antwoord op vraag 3 komen er geen vertrouwelijke Nederlandse data bij de VN-databases in China terecht. Het kabinet hecht veel waarde aan bescherming van persoonsgegevens en privacybescherming en werkt nauw samen met EU-partners ter uitvoering van de Algemene verordening gegevensbescherming (AVG). Het Centraal Bureau voor Statistiek (CBS), dat in Nederland over deze data beschikt, levert nooit herkenbare gegevens aan derden, ook niet aan andere overheidsinstellingen. Ook in samenwerking met de VN en andere landen, waaronder China, waarborgt het deze standaard.

Vraag 10

Bent u bereid om bij de eerstvolgende Raad Buitenlandse Zaken en NAVO-bijeenkomst deze kwestie op de agenda te plaatsen en te pleiten voor een gemeenschappelijke stellingname tegen de plaatsing van de VN-datacentra in China?

Zoals aangegeven in het antwoord op vraag 7 beschikt het kabinet op dit moment niet over de indicatie dat er sprake is van vergaande problematische ontwikkelingen. Het kabinet blijft de ontwikkelingen echter nauwgezet volgen en zal in de toekomst de optie open houden dit onderwerp te agenderen mocht daarvoor een concrete aanleiding zijn.

Vraag 1

Heeft u kennisgenomen van het bericht «China uses the U.N. to Expand Its Surveillance Reach»?1

Ja.

Vraag 2

Kunt u bevestigen dat de Verenigde Naties van plan is om een «Global Geospatial Knowledge and Innovation Center» en een «International Research Center of Big Data for Sustainable Development Goals» in China neer te zetten?

De Verenigde Naties (VN) hebben bevestigd dat er voorbereidingen worden getroffen voor het oprichten van een UN Global Geospatial Knowledge and Innovation Centre in Deqing, China. Daarnaast heeft de VN bevestigd dat in Hangzhou, eveneens in China, een regionale hub is gecreëerd ter ondersteuning van het VN Global Platform als onderdeel van de VN Global Working Group on Big Data. Naast de hub in Hangzhou zijn er regionale hubs gecreëerd in Rwanda, de Verenigde Arabische Emiraten en wordt er gewerkt aan een vierde hub in Brazilië.

Vraag 3

Hoe beoordeelt u deze berichtgeving?

Het kabinet ondersteunt het zorgvuldig gebruik van data en onderzoek dat kan bijdragen aan verbetering van het werk van de VN, de implementatie van de Sustainable Development Goals en de samenwerking tussen VN-lidstaten. Tegelijkertijd brengt het concentreren van wereldwijde datastromen over topografie, infrastructuur en menselijk gedrag in een enkel land mogelijk kwetsbaarheden met zich mee. Technologische ontwikkelingen, bijvoorbeeld op het gebied van big data, spelen immers een rol in de machtsbalans tussen landen. Daarom acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Vooralsnog heeft het kabinet geen indicatie dat de data ook persoonsgegevens bevatten. Het kabinet volgt de ontwikkelingen nauwgezet.

Vraag 4

Welke landen financieren de bouw van deze data-centra in China?

Het VN Geospatial Knowledge and Innovation Centre is een initiatief ontwikkeld door alle VN-lidstaten onder begeleiding van het VN Committee of Experts on Global Geospatial Information Management (UN-GGIM), dat valt onder ECOSOC. Het centrum wordt opgericht door het VN Department of Economic and Social Affairs (UNDESA).
De regionale hub die is gecreëerd ter ondersteuning van het VN Global Platform is onderdeel van de VN Global Working Group on Big Data. De VN Global Working Group on Big Data is een intergouvernementeel orgaan waaraan 30 landen en 16 internationale organisaties aan deelnemen, waaronder Nederland.

Vraag 5

Is er contact geweest met de Verenigde Naties over de bouw van deze data-centra? Zo ja, heeft de Verenigde Naties de berichtgeving bevestigd? Zo nee, kunt u de Verenigde Naties om toelichting vragen?

Ja, zie antwoord op vraag 2.

Vraag 6

Zou u deze vragen voor de begrotingsbehandeling van het Ministerie van Buitenlandse Zaken willen beantwoorden?

Deze vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht «Termunten is slecht bereik zat: «We moeten op de dijk staan om te kunnen bellen»»?1

Ja.

Vraag 2

Klopt het dat in Termunten en in Termunterzijl het mobiel telefoonbereik dusdanig slecht is, dat inwoners, bedrijven, thuiszorgmedewerkers en alarmnummer 112 regelmatig niet bereikbaar zijn?

Dat is mij niet bekend. Ook bij Agentschap Telecom zijn hierover geen meldingen bekend.
Op verzoek van mijn ministerie hebben TNO en Agentschap Telecom in 2014–2015 onderzoek gedaan naar de mobiele bereikbaarheid van het alarmnummer 112 buitenshuis. Uit het onderzoek komt naar voren dat het percentage geslaagde testoproepen in Nederland rond de 99% ligt.2 Dit komt mede door het feit dat mobiele noodoproepen voorrang krijgen ten opzichte van al het andere mobiele telefoonverkeer. Noodoproepen kunnen ook door andere beschikbare (Nederlandse of buitenlandse) netwerken afgehandeld worden op het moment dat het eigen mobiele netwerk niet beschikbaar is. Ook bij een goede dekking kunnen overigens mislukte noodoproepen optreden. Meerdere factoren zijn van invloed op de slagingskans van een mobiele oproep, zoals netwerkdekking, het type toestel, het gedrag van de beller, maar ook factoren als weersinvloeden, vegetatie en bebouwing. Dit maakt dat zelfs bij een optimale dekking de slaagkans van 100% niet wordt bereikt.
In het kader van technische ondersteuning heeft het agentschap in februari en maart 2016 twee onderzoeken uitgevoerd naar de mobiele bereikbaarheid van alarmnummer 112 in de provincie Groningen. Tijdens dit onderzoek heeft het agentschap drivetests uitgevoerd op een wegtraject van circa 100 kilometer dat loopt van Ter Apel – via de grens met Duitsland – tot aan Delfzijl. Termunten en Termunterzijl zijn hierbij ook aangedaan. Uit het onderzoek komt naar voren dat het percentage geslaagde 112-testoproepen op dit traject boven de 99,5% lag. Hoewel Agentschap Telecom nadien geen 112-bereikbaarheidsmetingen meer heeft verricht in de provincie, acht zij de kans groot dat door de inzet van lagere frequentiebanden en nieuwe netwerktechnieken de mobiele oproepbaarheid van het alarmnummer eerder is verbeterd dan verslechterd.
Ik vind het belangrijk om verder te vermelden dat mensen zelf ook de kans op een geslaagde mobiele noodoproep naar het alarmnummer 112 kunnen vergroten. Op de website van het Ministerie van Veiligheid en Justitie staan hiervoor diverse tips vermeld.3 Eén van de tips is het aanhouden van een vaste lijn, waarmee ook naar 112 kan worden gebeld.

Vraag 3

Deelt u de mening dat anno 2020 iedereen in Nederland over snel internet en mobiele netwerkdekking moet kunnen beschikken, ongeacht waar men woont, omdat dit van belang is voor onder andere veiligheid, leefbaarheid en economische activiteiten?

In onder meer de Nota Mobiele Communicatie heeft het kabinet aangegeven dat mobiele communicatie een basisbehoefte is geworden. Zoals daar beschreven: «Zoals in de Nota Frequentiebeleid 2016 en het Actieplan Digitale Connectiviteit beschreven is draadloze communicatie een onmisbare grondstof geworden voor de Nederlandse samenleving. De maatschappelijke afhankelijkheid van draadloze communicatie neemt hierdoor toe. Ze is een randvoorwaarde voor economische groei in Nederland met sterke positieve effecten op de economie. Ze is de smeerolie voor de ontwikkeling van nieuwe producten en diensten en voor de innovatie van bestaande producten en diensten. Deze ontwikkelingen illustreren dat er sprake is van een basisbehoefte».4

Vraag 4

Wat is de precieze reden van het slechte mobiele telefoonbereik in Termunten en in Termunterzijl? Komt dit door ligging van deze plaatsen in een grensgebied, onvoldoende netwerkdekking door onvoldoende masten of spelen ook oorzaken als isolatie en weeromstandigheden een rol?

Op grond van gesprekken met de gemeente, de mobiele netwerkaanbieders, en de beschikbare informatie kan ik niet slechts één reden aanwijzen voor het enigszins beperkte mobiele netwerkbereik. Elk van de door u genoemde factoren speelt in de praktijk waarschijnlijk een rol.

Vraag 5

Welke factoren stonden en staan een snelle oplossing van het bereikbaarheidsprobleem in Termunten en Termunterzijl in de weg?

Ik heb contact gehad met de gemeente Delfzijl en de drie mobiele netwerkaanbieders. Ik begrijp dat er momenteel gesprekken lopen met één mobiele netwerkaanbieder. Die wil graag een opstelpunt creëren om de bestaande dekking van diens netwerk te verbeteren. Er wordt momenteel door de gemeente en deze partij gezocht naar geschikte plekken voor dat opstelpunt. Zodra die gevonden zijn, kan het noodzakelijk blijken om ook vergunningen te verkrijgen. Bijvoorbeeld voor de werkzaamheden die moeten worden verricht om de benodigde infrastructuur aan te leggen. Op dat moment kunnen belanghebbenden nog bezwaar maken tegen de afgifte van die vergunningen. Vooralsnog is er naar mijn mening echter geen reden om te denken dat een oplossing niet binnen een redelijke termijn kan worden gevonden.

Vraag 6

Bent u bereid Agentschap Telecom te vragen om met de gemeente Delfzijl, telecomproviders en andere betrokken partijen in overleg te gaan ten behoeve van een spoedige oplossing voor dit probleem?

Zoals in de beantwoording van vraag 5 aangegeven is er een constructieve samenwerking tussen een mobiele netwerkaanbieder en de gemeente Delfzijl. Er is vooralsnog geen reden om aan te nemen dat dit niet gaat leiden tot een oplossing. Ik zie dan ook geen noodzaak om partijen (ongevraagd) met elkaar aan tafel te zetten.

Vraag 7

In hoeverre is de situatie ten aanzien van het mobiel telefoonbereik in Termunten en Termunterzijl exemplarisch voor die in andere Nederlandse plaatsen? In hoeveel en in welke andere Nederlandse gemeenten is de mobiele bereikbaarheid in bepaalde delen momenteel nog niet op orde? Welke acties lopen er om die te verbeteren?

De mobiele netwerkdekking in Nederland behoort tot de absolute wereldtop. Er zijn nog maar heel weinig plekken in Nederland waar mobiel telefoneren of internetten moeilijk of zelfs onmogelijk is. Om dat zo te houden en zelfs voor een verdere verbetering te zorgen heb ik bij de afgelopen verdeling van de 700 MHz-vergunningen een dekkings- en snelheidseis gesteld. Deze houdt in dat – behoudens een beperkt aantal uitzonderingen – de winnaars van die 700 MHz-vergunningen per medio 2022 op 98% van het geografisch grondgebied van elke gemeente dekking moeten bieden die een minimale snelheid van 8 Megabit per seconde («Mbps») mogelijk maakt. Genoeg om diensten zoals browsing, audiostreaming, videostreaming (in een gemiddelde kwaliteit), en bellen, mogelijk te maken. Vanaf medio 2026 moet dat zelfs 10 Mbps zijn.5
Het is echter onvermijdelijk dat er plekken in Nederland zijn en blijven waar de mobiele netwerkdekking niet volledig is en dat misschien wel nooit zal worden. Zie bijvoorbeeld hetgeen daarover opgemerkt in de Nota Mobiele Communicatie: «Deze dekkingseis betekent niet dat er straks in 100% van de tijd en in 100% van Nederland een mobiel signaal beschikbaar is. Een dergelijke dekkingsgraad is als gevolg van natuurkundige beperkingen niet haalbaar. Omgevingsfactoren als gebouwen, het weer en begroeiing zorgen hier voor beperkingen. (...) Daarnaast wordt met deze eis inpandige dekking, zoals bij mensen thuis of in een ondergrondse parkeergarage, niet altijd gegarandeerd. Door moderne isolatienormen die het energieverbruik van huizen verlagen kan het mobiele netwerksignaal niet door alle muren of ramen dringen».

Vraag 8

Hoe verloopt de uitvoering van de op 27 maart 2018 aangenomen motie-Van den Berg, die de regering verzoekt de deadline waarvoor heel Nederland kan beschikken over snel internet (minimaal 100 megabit per seconde, conform de Europese ambitie) te vervroegen naar uiterlijk 2023 (Kamerstuk 24 095, nr. 434)? Ligt de uitrol van dit snelle internet op schema? Zo nee, bent u bereid extra stappen te zetten? Wanneer ontvangt de Kamer de eerstvolgende Voortgangsrapportage Actieplan Digitale Connectiviteit?

In het Algemeen Overleg Telecommunicatie op 17 oktober 2018 heb ik toegezegd de Kamer jaarlijks te informeren over de doelstelling dat in 2023 iedereen kan beschikken over een vaste verbinding van tenminste 100 Megabit per seconde (Mbps).6 Ik heb de Kamer geïnformeerd met de Voortgangsrapportage Actieplan Digitale Connectiviteit van 19 december 2019.7 In 2019 kon 97% van de huishoudens hierover beschikken. Uitgaande van de huidige uitrol en de openbaar aangekondigde uitrolplannen heeft Dialogic becijferd dat naar verwachting voor eind 2023 nog eens circa 2,5 procent van de adressen in Nederland zal worden aangesloten op snel internet. Daarmee zou eind 2023 tenminste 99,5% van de adressen in Nederland kunnen beschikken over snel internet. Ik blijf dit nauwlettend monitoren. Zoals aangegeven in de brief van 19 december 2019, wordt de breedbandkaart jaarlijks geactualiseerd en wordt de Kamer voortaan over de voortgang van de doelstelling geïnformeerd als jaarlijks terugkerend onderdeel van de rapportage over de Nederlandse Digitaliseringsstrategie (NDS).8 De volgende NDS wordt in het tweede kwartaal van 2021 verwacht. De actualisatie van de breedbandkaart wordt op dit moment uitgevoerd, echter is er bij verschillende partijen vertraging opgelopen waardoor het informeren van de Kamer in december naar alle waarschijnlijkheid niet haalbaar is. De Kamer zal in het eerste kwartaal van 2021 worden geïnformeerd of eerder indien mogelijk.

Vraag 9

Wanneer ontvangt de Kamer de brief die toegezegd is in het algemeen overleg Telecommunicatie op 11 juni 2020 over de telefonische bereikbaarheid in Overijssel (waaronder Vilsteren en Hoge Hexel)?

Evenals ik heb gedaan voor de situatie in Termunten en Termunterzijl heb ik voor de beantwoording van deze vraag contact gehad met de gemeente Wierden (Hoge Hexel), de gemeente Ommen (Vilsteren), en de mobiele netwerkaanbieders.
Erkend werd dat de dekking in en om Hoge Hexel verbeterd kan worden. Gelukkig is er recentelijk een vergunning afgegeven aan KPN om een opstelpunt bij Hoge Hexel te plaatsen. Dit opstelpunt zal naar verwachting ergens in de komende maanden worden geplaatst.9 Dit zal tot een verbetering leiden van de dekking van in ieder geval KPN. KPN heeft laten weten dat zij voornemens is om op dat opstelpunt een mast te plaatsen waar ook andere mobiele netwerkaanbieders hun antennes en apparatuur nog kunnen bijplaatsen. Ook de dekking van de overige netwerken kan daarmee op termijn worden verbeterd als zij dat noodzakelijk of wenselijk achten.
Met betrekking tot Vilsteren heb ik inmiddels contact gehad met de mobiele netwerkaanbieders en de gemeente Ommen. Ik wil echter wachten op een respons van de gemeente Ommen voordat ik u definitief informeer over de situatie en de ontwikkelingen daar. Om de beantwoording van uw overige vragen niet nog langer te vertragen heb ik besloten daar niet op te wachten en u alvast deze beantwoording te sturen. Ik beoog u hier definitief over te informeren in het kader van het aankomende AO Telecomraad zoals voorlopig gepland op 7 december 2020.

Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.

Vraag 2

Klopt het dat de Nationale Beheersorganisatie Internetproviders (NBIP) binnenkort meldingen van het Nationaal Cyber Security Centrum (NCSC) kan gaan ontvangen over dreigingsrisico’s omdat het NBIP als samenwerkingsverband is aangemerkt als objectief kenbaar tot taak (OKTT)? Zo ja, bent u bereid om de Kamer halfjaarlijks op de hoogte te houden van de uitbreidingen van het landelijk dekkend stelsel? Zo nee, waarom niet?

Het klopt dat de Nationale Beheersorganisatie Internetproviders (NBIP) eerder krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) is aangewezen als organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid (OKTT). Dit maakt het voor het Nationaal Cyber Security Centrum (NCSC) mogelijk om de NBIP, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de NBIP te verstrekken, die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling (bijstand aan vitaal en Rijk, etc.). Zie het antwoord op vraag 7 voor een nadere toelichting op de verstrekking van deze informatie. Meer in het algemeen publiceert het NCSC op haar website publiekelijke informatie over bekende kwetsbaarheden, beveiligingsadviezen en andere adviezen waarmee organisaties hun weerbaarheid kunnen vergroten. De inzet op de uitbreiding van het Landelijk Dekkend Stelsel (LDS) vindt plaats binnen de kaders van de Nederlandse Cyber Security Agenda (NCSA).2 Over de voortgang van de NCSA, inclusief initiatieven die plaatsvinden in het kader van het LDS, wordt jaarlijks aan uw Kamer gerapporteerd. De volgende rapportage zal zijn voor de zomer 2021. Ik realiseer mij dat er nog veel werk moet worden verricht om te komen tot een daadwerkelijk LDS. Vandaar dat ik het WODC heb gevraagd onderzoek te doen naar de stand van zaken en de verbeterpunten van dit stelsel. Uw Kamer is hierover geïnformeerd op 17 november jl.

Vraag 3

Vanaf wanneer wordt voorzien dat de NBIP meldingen van het NCSC kan gaan ontvangen over dreigingsinformatie?

Zoals in het antwoord op vraag 2 aangegeven, kan het NCSC reeds aan de NBIP, een krachtens de Wbni als OKTT aangewezen organisatie, dreigings- en incidentinformatie, verstrekken met betrekking tot netwerk- en informatiesystemen van hun doelgroep. In verband met eerder gesignaleerde belemmeringen wordt thans onderzocht welke mogelijkheden tot informatiedeling binnen de bestaande wettelijke kaders nog verder ontwikkeld zouden kunnen worden.

Vraag 4

Deelt u de mening dat ondernemers die niet zijn aangesloten bij brancheorganisaties met een OKTT-status of een sectoraal expertisecentrum voor cybersecurity (CERT) adequate hulp moeten kunnen krijgen van het Digital Trust Center (DTC)? Zo ja, kunt u toelichten waarom het NBIP als OKTT wel binnenkort meldingen kan ontvangen van het NCSC terwijl het Digital Trust Center, waarvan meer dan een miljoen ondernemers in hun informatievoorziening afhankelijk zijn, dat nog steeds niet kan? Zo nee, waarom niet?

De digitale weerbaarheid is primair een eigen verantwoordelijkheid, ook van bedrijven. Het DTC biedt informatie, advies en tools aan om niet-vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Daarnaast kan eenieder en dus ook niet-vitale bedrijven, zoals in antwoord 2 aangegeven, via de website, kennisnemen van algemene beveiligingsadviezen van het NCSC. Het NCSC en het DTC werken bovendien vanuit hun onderscheidenlijke taken nauw samen waar het gaat om afstemming in externe overheidscommunicatie. Ook wisselen het NCSC en het DTC als kenniscentra zo veel als wettelijk mogelijk informatie en kennis(producten) uit.
Zoals aangegeven in de beantwoording op vraag 2, is het voor het NCSC mogelijk om, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de OKTT aan een organisatie te verstrekken. Dit indien deze organisatie is aangewezen als organisatie die objectief kenbaar tot taak (OKTT) heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid. Hierbij gaat het om informatie die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling en die betrekking heeft op andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid.
Het NCSC en het DTC werken nauw samen en zijn ook voortdurend, samen met de NCTV, in gesprek over de mogelijkheden om binnen het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden informatie te delen. Waar mogelijk, verbinden zij hier, voor de betrokken organisaties, handelingsperspectief aan. Alleen dan wordt de digitale weerbaarheid van Nederland immers daadwerkelijk verhoogd. Onderdeel van de samenwerking tussen het NCSC en het DTC is ook het binnen de wettelijke kaders optimaliseren van de onderlinge informatie-uitwisseling. In het kader daarvan wordt ook een aanwijzing krachtens de Wbni van het DTC als OKTT bezien. Momenteel wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan, voor overheidsorganisaties vanwege de AVG meer strenge, voorwaarden waardoor het krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven. Het DTC zou dan de bedrijven over de dreigingsinformatie kunnen informeren. Het Ministerie van EZK is bezig met de voorbereidende werkzaamheden hiervoor. Het streven is dat deze nieuwe dienstverlening begin volgend jaar kan starten.

Vraag 5

Deelt u de mening dat het voor de digitale veiligheid van Nederland van essentieel belang is dat zowel vitale als niet-vitale organisaties worden geïnformeerd over dreigingsinformatie? Zo ja, wat is de laatste stand van zaken omtrent het DTC te voorzien van een OKTT-status? Zijn er wettelijke barrières die voorkomen dat het DTC van deze status kan worden voorzien?

Ik deel de mening dat het de digitale veiligheid van Nederland vergroot als zowel vitale als niet-vitale organisaties worden geïnformeerd over relevante dreigingen, incidenten en kwetsbaarheden. Om die reden zijn algemene beveiligingsadviezen van het NCSC via de website openbaar beschikbaar en werkt het kabinet aan de totstandkoming van een landelijk dekkend stelsel (LDS) waarin, met inachtneming van de wettelijke kaders, relevante informatie breder, efficiënter en effectiever gedeeld kan worden. Binnen dat LDS spelen het NCSC en het DTC een belangrijke rol.
Zoals in het antwoord op vraag 4 is aangegeven, wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan, onder de bij de beantwoording van vraag 4 benoemde voorwaarden, het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven.

Vraag 6

Zijn er de afgelopen tijd gesprekken gevoerd om te werken aan een OKTT-status voor het DTC? Zo ja, wat waren de uitkomsten van deze gesprekken? Zo nee, waarom niet? Kunt u de Kamer informeren over de voortgang van deze gesprekken?

Zie antwoord vraag 5.

Vraag 7

Gelet op het feit dat vitale bedrijven, zoals KPN en VodafoneZiggo die ook onderdeel uitmaken van het NBIP, al informatie krijgen van het NCSC, kunt u aangeven welk type niet-vitale bedrijven voortaan dreigingsinformatie krijgen via het NBIP? Welke meldingen zal het NCSC wel of niet gaan doorsturen naar het NBIP? Wordt hierin, ondanks dat het NBIP een OKTT-status heeft ook nog onderscheid gemaakt tussen informatie voor vitale en niet-vitale bedrijven gezien het aantal niet-vitale bedrijven dat onderdeel is van het NBIP?

Het NCSC kan, binnen de wettelijke mogelijkheden, gegevens over dreigingen en incidenten delen met de NBIP, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties uit de doelgroep van NBIP. Daarbij kan het in elk geval persoonsgegevens aangaande kwaadwillende actoren betreffen, zodat organisaties door tussenkomst van de NBIP aan de hand daarvan bijvoorbeeld dreigingen kunnen detecteren in hun netwerken. Voor zover de te delen informatie (tevens) vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de NBIP, vanwege de toepasselijkheid van de Wbni3, niet mogelijk. In de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»4 is als een van de verschillende maatregelen opgenomen dat wordt geïnventariseerd welke wettelijke bevoegdheden de overheid heeft bij digitale crisissituaties, zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Het type niet-vitale bedrijven dat dreigingsinformatie kan ontvangen via de NBIP zijn de bedrijven die behoren tot de achterban van de NBIP.
Als organisaties in de doelgroep van de NBIP eveneens vitale aanbieders zijn, zullen zij informatie die relevant is voor de netwerk- en informatiesystemen die de vitale dienstverlening betreffen, direct van het NCSC ontvangen. Het kan dus zijn dat een vitale aanbieder ook (algemene) informatie via organisaties zoals de NBIP ontvangt als deze informatie relevant is voor vitaal en niet-vitaal.

Vraag 8

Overwegende dat het NBIP een informatiestatus heeft dat aansluit op het uitganspunt van het realiseren van een landelijk dekkend stelsel en dat ook recent het Cyber Weerbaarheidscentrum Brainport Eindhoven informatie mag ontvangen van het NCSC2, kan worden toegelicht welke sectoren er nu wel zijn afgedekt via OKTT’s en andere sectorale cybersecurity expertisecentra en welke nog niet? Kunt u een overzicht geven van het huidige landelijk dekkend stelsel? Zo nee, waarom niet?

Het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden heeft tot doel om ervoor te zorgen dat, met inachtneming van de wettelijke kaders, informatie over cybersecurity zo breed, effectief en efficiënt mogelijk wordt gedeeld. De totstandkoming van een landelijk dekkend stelsel en het aansluiten van steeds meer sectoren is een verantwoordelijkheid van de verschillende vakdepartementen. Daarnaast zijn het NCSC en de NCTV in contact met sectoren om hen te stimuleren zich te organiseren.
De organisaties binnen het landelijk dekkend stelsel, bijvoorbeeld het NCSC en het DTC, hebben diverse samenwerkingsverbanden, zoals onder andere Information Sharing and Analysis Centers (ISAC’s), computercrisisteams en andere sectorale- en brancheorganisaties, waar ze in het kader van de vervulling van hun onderscheidenlijke taken mee samen werken. Bij het DTC zijn inmiddels al 30 samenwerkingsverbanden van bedrijven uit niet-vitale sectoren aangesloten en dit aantal zal verder toenemen. Dit landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden is jong, divers, dynamisch en voortdurend in ontwikkeling. Een overzicht hiervan, zoals gevraagd, is daardoor al snel ofwel incompleet en achterhaald, ofwel groot en complex. Mede daarom heb ik via het WODC onderzoek laten doen naar de stand van zaken en de verbeterpunten voor dit stelsel. Dit onderzoek schetst ook een overzicht van het huidige stelselUw Kamer is hierover op 17 november jl. geinformeerd.

Vraag 9

Bent u bereid om zich de komende maanden, gezien de reële en actuele dreiging van cybercriminaliteit, in te zetten voor het versneld uitbreiden van het landelijk dekkend stelsel? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

De digitale dreiging die uitgaat van criminelen, maar ook van statelijke actoren heeft volgens het Cybersecuritybeeld Nederland 2020 een permanent karakter.6 Deze dreiging wordt het hoofd geboden langs de prioriteiten zoals uiteengezet in de NCSA en recente Kamerbrieven waarin de versterkte aanpak cybersecurity wordt beschreven,7 de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»8 en de beleidsreactie op het CSBN 2020, die tevens de voortgangsrapportage over de NCSA bevat.9 Bij de beleidsreactie op het WODC-rapport over Cybersecurity informatie-uitwisseling zoals genoemd onder vraag 8 zal ik u nader informeren over recente ontwikkelingen binnen het landelijk dekkend stelsel.

Vraag 10

Bent u bereid deze vragen te beantwoorden voorafgaande aan de behandeling van de begroting van Justitie en Veiligheid?

Ja.

Vraag 1

Bent u bekend met het artikel «Groot datalek bij Jeugdriagg: medische dossiers kwetsbare kinderen gelekt»?1

Ja.

Vraag 2

Had dit specifieke datalek volgens u voorkomen kunnen worden, kijkend naar een eerder datalek in april 2019 en het recent uitgebrachte rapport van de IGJ «Extra aandacht nodig voor ICT in de jeugdzorg»?2 3

Het datalek bij Kenter is op een vergelijkbare wijze ontstaan als een eerder datalek in april 2019. Dat het weer mogelijk was om op vergelijkbare wijze toegang tot persoonsgegevens te krijgen is zorgelijk. Naar aanleiding van het datalek in 2019 bij SAVE Utrecht heeft Z-CERT een domein naam check gedaan en JZNL heeft jeugdhulpaanbieders opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020 en ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam kan eenvoudig worden voorkomen.

Vraag 3

Hoe is de aangenomen motie van de leden Raemakers en Hijink van 2 juli 2020 uitgevoerd waarin de regering verzocht wordt om met branches in gesprek te gaan over ICT-problemen in de jeugdzorg om jeugdzorgorganisaties uiterlijk 1 oktober te helpen met het beveiligen van de aan hen toevertrouwde data van jongeren en hun ouders?4

Naar aanleiding van de motie Raemakers en Hijink uit 2019 en 2020 zijn gesprekken gevoerd met Jeugdzorg Nederland en Z-CERT. In samenwerking met Jeugdzorg Nederland is Deloitte in staat gesteld penetratietesten uit te voeren. Daarnaast heeft Jeugdzorg Nederland zijn achterban geïnformeerd over het risico van niet goed afgesloten domeinnamen. De in de BGZJ verzamelde branches hebben dit in een breder kader gedaan. Naar aanleiding van de pentesten uit 2019 hebben de zes gepenteste aanbieders hun beleid aangepast. Op basis van de genomen maatregelen wordt een handreiking geschreven, met aandacht voor de implementatie van de wettelijk verplichte NEN 7510 norm, die in december 2020 wordt verwacht, waarna deze nog beter kan worden geïmplementeerd.

Vraag 4

Wanneer wordt jeugdzorgaanbieders eindelijk de mogelijkheid geboden om zich aan te sluiten bij Z-CERT conform de aangenomen motie-Raemakers en Hijink van 25 juni 2019, aangezien Z-CERT in het genoemde artikel meldt dat de meeste incidenten nog steeds plaatsvinden omdat de basis niet op orde is?5

Datalekken hebben vaak een systeem- en een menselijke component. Voor de systeem component kan Z-CERT, als de ICT brandweer, ondersteuning bieden bij een crisis en informatie delen en ter voorkoming van cyber incidenten informatie delen over relevante dreigingen en kwetsbaarheden van gebruikte systemen inzake dataveiligheid. Z-CERT is dan ook binnen deze context in gesprek met Jeugdzorg Nederland over wat zij voor elkaar kunnen betekenen. Door de risico gestuurde aanpak van Z-CERT gaan we opnieuw de mogelijkheden voor aansluiting onderzoeken. De aansluiting van Jeugdhulpaanbieders op Z-Cert kan dan op zijn vroegst in Q1 van 2021 starten.

Vraag 5

Kijkt u nu anders naar de rol van het Ministerie van VWS als het gaat om het beter beveiligen van gegevens in de jeugdzorg?

Het Ministerie van VWS draagt ketenverantwoordelijkheid voor de dataveiligheid in het jeugddomein. Jeugdhulpaanbieders dragen echter zelf de verantwoordelijkheid voor het op orde houden van hun eigen dataveiligheid, ook indien er sprake is van een fusie en/of naamswijziging. Zodoende vragen wij de branches Jeugdzorg Nederland, VGN en GGZ-Nederland een voortrekkersrol te spelen op het gebied van informatiebeveiliging. Voor dataveiligheid zijn door het Rijk als ketenverantwoordelijke regels gesteld, zoals de wettelijk verplichte NEN 7510 norm. Bovendien zijn er toezichthouders, zoals de AP en de IGJ. Alle jeugdhulporganisaties dienen aan deze wettelijke vereisten te voldoen.

Vraag 6

Hoeveel pentesten zijn er afgelopen half jaar gedaan door het Ministerie van VWS en hoeveel worden er de komende periode uitgevoerd?

In 2019 zijn er bij zes jeugdhulpaanbieders en Gecertificeerde Instellingen pentesten uitgevoerd en voor 2021 worden deze pentesten bij zes andere jeugdhulporganisaties uitgevoerd. De testen hebben plaatsgevonden bij grote jeugdhulporganisaties, omdat een datalek daar een impact zou kunnen hebben op een groot aantal cliënten.

Vraag 7

Welke regels zijn er ten aanzien van ethisch hacken door derden, zoals journalisten, omdat hierbij inzage is in privacygevoelige gegevens?

Met het oog op het verminderen van kwetsbaarheden in ICT-systemen heeft het Nationaal Cyber Security Centrum (NCSC) een Leidraad Coordinated Vulnerability Disclosure (CVD) opgesteld.6 Veel grotere Nederlandse organisaties hebben een eigen CVD gedragscode opgesteld en gepubliceerd op hun website. De organisatie geeft hiermee aan dat het is toegestaan – onder bepaalde randvoorwaarden – om de beveiliging van de ICT systemen van de organisatie ongevraagd te onderzoeken op mogelijke beveiligingsissues zonder dat er aangifte wordt gedaan. Als een ethische hacker zich houdt aan de gedragscode, zoals het niet publiceren van ingeziene data, zal de organisatie geen aangifte doen van computervredebreuk. Het vinden van kwetsbaarheden kan niettemin gepaard gaan met het overtreden van de wet. Als er aangifte wordt gedaan, is in Nederland het bestaan en naleven van CVD-beleid een relevante omstandigheid die de officier van justitie zal meenemen in zijn beslissing om al dan niet een strafrechtelijk onderzoek in te laten stellen en/of te vervolgen.

Vraag 8

Kunt u deze vragen afzonderlijk en ruim voor het wetgevingsoverleg Jeugd van 23 november 2020 beantwoorden?

Ja.

Vraag 1

Wat is uw reactie op het bericht «Testlijnmedewerkers kunnen bij persoonsgegevens, ook als dat niet mag»?1

Laat ik vooropstellen dat ik zorgvuldigheid bij het omgaan met persoonsgegevens van groot belang vind. De privacy van mensen die met de coronatestlijn bellen moet goed gewaarborgd zijn. Uit navraag bij de GGD-GHOR begrijp ik dat callcentermedewerkers, om hun werkzaamheden zorgvuldig en effectief te kunnen uitvoeren, toegang nodig hebben tot de persoonsgegevens van de mensen die bellen. Deze gegevens zijn onder andere nodig om afspraken in te plannen en testuitslagen te melden. Daarnaast moet een callcentermedewerker bijvoorbeeld, voordat hij of zij een uitslag doorbelt, in een dossier kunnen controleren of de uitslag inderdaad negatief is.
De privacy van de betrokkenen is hierbij zoals gezegd goed gewaarborgd en er zijn de nodige checks & balances ingeregeld in de werkprocessen. Zo is er bijvoorbeeld een scherpe controle op de logging. Logging wil zeggen dat de handelingen van medewerkers in de ICT-systemen nauwlettend wordt bijgehouden. Hiermee is precies te zien welke dossiers door welke medewerkers worden ingezien. Daarnaast tekenen alle medewerkers voor ze aan de slag gaan een geheimhoudingsverklaring. Het is goed dat de GGD hier scherp op is en medewerkers hier op wijst, overtredingen opspoort en daar ook consequenties aan verbindt.

Vraag 2

Hoe lang speelt dit al? Hoe lang zijn u en de GGD hiervan al op de hoogte?

Zoals gezegd wordt veel waarde gehecht aan zorgvuldigheid bij het omgaan met persoonsgegevens. De GGD-GHOR geeft aan dat de callcentermedewerkers sinds de start van dit traject in hun training uitvoerig worden gewezen op hun privacy-verplichtingen. Door scherpe controle op logging worden overtredingen opgespoord. Indien door callcentermedewerkers moedwillig misbruik wordt gemaakt van de toegang die zij hebben tot persoonsgegevens, worden hier door de GGD de nodige consequenties aan verbonden.

Vraag 3

Klopt het dat er niet wordt voldaan aan de Algemene verordening gegevensbescherming (AVG)?

Nee. Bij het zorgvuldig omgaan met persoonsgegevens hoort ook het voldoen aan de relevante wet- en regelgeving, waaronder de AVG. Iedere organisatie en werkgever in Nederland dient zich hier waar relevant aan te houden. Dat geldt dus ook voor de uitvoerende partijen van de coronatestlijn en diens medewerkers. Daarom zijn de vereisten van de AVG ook bij het callcenter ingevoerd.

Vraag 4

Op welke wijze wordt ervoor gezorgd dat het testbeleid zo spoedig mogelijk gaat voldoen aan de AVG? Welke aanvullende maatregelen worden door u, dan wel de GGD, genomen om dit in de toekomst te voorkomen?

Zie mijn antwoord bij vraag 1.

Vraag 1

Bent u bekend met het bericht «Medewerkers coronatestlijn kunnen bij persoonsgegevens, ook als dat niet mag»?1

Ja.

Vraag 2

Vindt u ook dat mensen die de coronatestlijn bellen, zeker moeten kunnen weten dat hun gegevens zorgvuldig worden behandeld?

Uiteraard moeten mensen zeker kunnen weten dat er zorgvuldig met hun persoonsgegevens wordt omgegaan. Om die reden is er een privacyverklaring opgesteld, zodat mensen weten wat er met hun persoonsgegevens wordt gedaan. Daarnaast is in het proces altijd rekening gehouden hoe met deze persoonsgegevens zorgvuldig moet worden omgegaan, conform de vereisten van de AVG.

Vraag 3

Wat vindt u ervan dat persoonlijke gegevens van iedereen die een coronatest laat uitvoeren, toegankelijk zijn voor honderden medewerkers van de coronatestlijn? Klopt het dat dit in strijd is met de Algemene verordening gegevensbescherming (AVG), omdat medewerkers alleen gegevens zouden mogen zien die nodig zijn voor het uitvoeren van hun taak?

Zie antwoord vraag 4 en 5.

Vraag 4

Is er een manier waarop de privacy van betrokkenen beter gewaarborgd kan worden? Hoe kan de infrastructuur steviger en veiliger gemaakt worden om misbruik te voorkomen?

Navraag bij de GGD-GHOR levert de volgende informatie op: Om hun werkzaamheden zorgvuldig en effectief te kunnen uitvoeren hebben callcenter- medewerkers toegang nodig tot de persoonsgegevens van de mensen die bellen. Deze gegevens zijn onder andere nodig om afspraken in te plannen en testuitslagen te melden. Daarnaast moet een callcentermedewerker bijvoorbeeld, voordat hij of zij een uitslag doorbelt, in een dossier kunnen controleren of de uitslag inderdaad negatief is. Dit wordt gedaan vanuit zorgvuldigheid. Het komt soms namelijk voor dat een laboratorium een uitslag corrigeert. Een dergelijke check voordat wordt gebeld is dus cruciaal. Omdat niet kan worden voorspeld wie er een bepaalde dag belt voor het maken van een afspraak, moeten alle callcentermedewerkers bij alle dossiers kunnen.
Zorgvuldigheid is bij het omgaan met persoonsgegevens uiteraard van groot belang. De privacy van de betrokkenen is dan ook goed gewaarborgd en er zijn de nodige checks & balances ingeregeld in de werkprocessen. Zo is er bijvoorbeeld een scherpe controle op de logging. Door zorgvuldig te loggen wordt nauwlettend bijgehouden welke dossiers door wie worden ingezien.
Daarnaast tekenen alle medewerkers voor ze aan de slag gaan een geheimhoudingsverklaring. Medewerkers die hun geheimhouding schenden door zonder reden dossiers in te kijken kunnen daardoor worden opgespoord. Het is goed dat de GGD hier scherp op is en medewerkers hier op wijst, overtredingen opspoort en daar ook consequenties aan verbindt.

Vraag 5

Wat vindt u ervan dat er gegevens worden gedeeld in whatsapp-groepen? Waarom gebeurt dit? Vindt u ook dat medewerkers van de coronatestlijn beter getraind zouden moeten worden om met (medische) gegevens om te kunnen gaan? Zo ja, gaat u dit faciliteren? Zo nee, waarom niet?

Na navraag bij de GGD-GHOR begrijp ik dat de callcentermedewerkers uitvoerig worden gewezen op de privacy-verplichtingen. Ze tekenen een geheimhoudingsverklaring voordat ze aan de slag gaan en de training volgen. Hierin staat ook informatie over het gebruik van Sociale Media. Tijdens het on-boardingsprogramma en in de training wordt hierover gesproken. Daar wordt benadrukt dat het maken van afbeeldingen van schermen en het delen hiervan niet is toegestaan. Op verschillende manieren worden medewerkers voorzien van de benodigde informatie en mogelijkheden om vragen te stellen. Iedere medewerker heeft een supervisor waar hij/zij met vragen of knelpunten terecht kan. Ook beschikken de medewerkers over een kennisbank die wekelijks wordt geüpdatet. Daarnaast is er een community-omgeving waar medewerkers digitaal op kunnen inloggen om elkaar vragen te kunnen stellen. Verder zijn er dagstarts opgezet waarbij o.a. updates van werkprocessen worden besproken in teamverband. Als blijkt dat er regels worden overtreden, worden er maatregelen genomen.

Vraag 6

Waarom verwijst u voor een reactie naar de GGD, terwijl uw ministerie zelf de coronatestlijn heeft uitbesteed aan callcenterbedrijf Teleperformance?

Het Ministerie van VWS heeft GGD GHOR Nederland de opdracht gegeven een callcenter op te zetten. Daarvoor is door hen gekeken wie de beste partij was om dit te leveren, GGD GHOR Nederland is hiermee de opdrachtgever aan Teleperformance. Ik hecht eraan om te vermelden dat de GGD’en zelf verantwoordelijk zijn en dat GGD-GHOR een samenwerkingsverband is om dergelijke zaken vanuit de verantwoordelijkheid van de GGD’en gezamenlijk te regelen.

Vraag 7

Vindt u ook dat de medewerkers achter de coronatestlijn belangrijk werk doen en dat zij daarbij ook goed moeten worden ondersteund? Klopt het dat gewerkte uren niet altijd worden uitbetaald? Wat vindt u daarvan?

Ja ik deel uw mening dat zij belangrijk werk doen. Inmiddels zijn de processen voor de controle op de uren en het disputenproces aangescherpt en er is een bezwaarcommissie ingesteld. De medewerkers worden ondersteund door middel van training, door een Supervisor, via Webinars en via diverse digitale kanalen (kennisbanken en vraagbaak).

Vraag 8

Welke afspraken zijn er met Teleperformance gemaakt over de arbeidsvoorwaarden en arbeidsomstandigheden van de medewerkers van de coronatestlijn? Bent u bereid naar aanleiding van deze signalen opnieuw met Teleperformance in gesprek te gaan? Zo nee, waarom niet?

Het kabinet hecht belang aan een goede naleving van de wet- en regelgeving met betrekking tot arbeidsvoorwaarden en -omstandigheden. Iedere werkgever in Nederland dient zich hier aan te houden. Dit geldt dus ook voor Teleperformance. Het is niet aan mij om met individuele bedrijven over de in hun onderneming geldende arbeidsvoorwaarden in gesprek te gaan. Het maken van afspraken over arbeidsvoorwaarden is een zaak van werkgevers en werknemers. De naleving van die afspraken is in eerste instantie de verantwoordelijkheid van de sociale partners. Indien sprake is van een algemeen verbindend verklaarde cao en sociale partners vermoeden dat die niet wordt nageleefd, kunnen zij wel op grond van artikel 10 van de wet AVV bij de Inspectie SZW een verzoek indienen om hier onderzoek naar te doen.
Ook wat betreft de arbeidsomstandigheden zijn de werkgever en werknemer gezamenlijk verantwoordelijk. Indien er sprake is van onveilige en ongezonde arbeidsomstandigheden, kan dit worden gemeld bij Inspectie SZW.

Vraag 1

Bent u bekend met het bericht «VWS zet maaltijdbezorgers onder druk om corona-app»?1

Ja.

Vraag 2

Is het waar dat vanuit het ministerie een beroep is gedaan op de Nederlandse Vereniging van Maaltijdbezorgers (NLVVM) om bezorgers te vragen de corona-app te installeren, en dat daarbij niet is vermeld dat gebruik van de applicatie altijd vrijwillig is? Wanneer is het beroep op de NLVVM gedaan? Was dit voor of na het Kamerdebat van woensdag 2 september jongstleden?

Ja, de Nederlandse Vereniging van Maaltijdbezorgers (NLVVM) is op 18 augustus jl. benaderd om CoronaMelder breder onder de aandacht te brengen. Daarbij is gesuggereerd dat de vereniging haar bezorgers te vragen de app te downloaden. Dit had niet mogen worden gesuggereerd vanwege de gezagsrelatie tussen werkgevers en werknemers. Expliciet had vermeld moeten worden dat het gebruik van de app altijd vrijwillig en een eigen keuze is.
Wel is toegestaan dat organisaties wordt gevraagd via hun eigen communicatiekanalen CoronaMelder in algemene zin onder de aandacht te brengen. Dit is belangrijk om CoronaMelder zo breed mogelijk bekend te maken. Er is geen sprake van direct of indirect verplichten als duidelijk wordt aangegeven dat het downloaden en gebruiken van CoronaMelder vrijwillig is en mensen niet persoonlijk worden gevraagd CoronaMelder te gebruiken.

Vraag 3

Hoe is het mogelijk dat in communicatie niet wordt vermeld dat gebruik van de applicatie vrijwillig is?

De mail die vanuit mijn ministerie is uitgegaan had anders gemoeten. Hoewel deze mail met de beste bedoelingen is geschreven, had de suggestie om «bezorgers te vragen de app te downloaden» niet gedaan mogen worden. Beter had benadrukt moeten worden dat het gebruik van CoronaMelder te allen tijde vrijwillig is.

Vraag 4

Is ook op andere verenigingen, beroepsgroepen of andere partijen een dergelijk beroep gedaan? Zo ja, welke partijen betrof het en wanneer?

In totaal zijn er 116 organisaties benaderd. Dit zijn organisaties met een groot bereik, grote werkgevers en organisaties die actief zijn in een omgeving waar kans op virusverspreiding groter is dan gemiddeld. Bestudering van de communicatie met deze 116 partijen, heeft uitgewezen dat in twee andere gevallen een beroep op organisaties is gedaan waarbij vrijwilligheid van gebruik van de app onvoldoende is benadrukt. Het gaat om communicatie richting PostNL (14 augustus jl.) en de ANWB (10 juli jl.). Deze partijen zijn benaderd om aan te geven deze communicatie anders had gemoeten en om te benadrukken dat het gebruik van de app te allen tijde vrijwillig is.

Vraag 5

Wat is de taakomschrijving van de «manager partnerships coronavirus app»? Op welke wijze komt het uitgangspunt van absolute vrijwilligheid zonder enige vorm van dwang of drang tot uiting in deze taakomschrijving en de daarbijbehorende werkzaamheden, juist wanneer sprake is van een ongelijke relatie (werkgever/werknemer)?

De betrokken medewerkers hebben tot opdracht om invulling te geven aan het doel van de partnerstrategie. Vrijwilligheid is altijd een uitgangspunt geweest in de ontwikkeling van de app, de communicatie over CoronaMelder en ook in het benaderen van mogelijke partners. Helaas is dat in bovengenoemde gevallen niet goed gegaan.

Vraag 1

Bent u bekend met het artikel «Een tablet of laptop eisen van leerlingen – het mag niet, maar scholen komen ermee weg»?1

Ja.

Vraag 2

Wat vindt u ervan dat scholen de grenzen opzoeken om leerlingen alsnog een laptop of tablet te laten aanschaffen – die vaak honderden euro’s kosten – terwijl dit vrijwillig zou moeten zijn? En wat betekent dit volgens u voor gezinnen die dit geld niet zomaar klaar hebben liggen? Welke consequentie heeft dit voor de schoolkeuze?

Scholen bepalen zelf welk lesmateriaal zij per leerjaar inzetten in hun onderwijs en in hoeverre ze dat op papier of digitaal doen. Ze ontvangen hiervoor bekostiging van de rijksoverheid. Binnen deze bekostiging moeten scholen voor iedere leerling een volwaardig onderwijsaanbod realiseren. Scholen mogen aan ouders vragen om zelf een laptop aan te schaffen maar dit moet altijd expliciet vrijwillig zijn. Scholen mogen ouders nooit verplichten een laptop aan te schaffen. Op het moment dat scholen schoolboeken vervangen door digitaal lesmateriaal en het bezit van een laptop (of tablet) voor het leerproces noodzakelijk is geworden, dienen scholen hierin zelf te voorzien.
Wanneer scholen ouders verplichten om een laptop aan te schaffen handelen zij niet volgens de wet. De Inspectie van het Onderwijs ziet hier op toe en controleert bij elk onderzoek op de naleving van de wettelijke regels ten aanzien van de vrijwillige ouderbijdrage.

Vraag 3

Wat vindt u ervan dat een steeds groter deel van het budget van Stichting Leergeld opgaat aan laptops en tablets voor gebruik in het onderwijs? En bent u het ermee eens dat deze gelden niet bedoeld zouden moeten zijn voor reguliere leermiddelen, zoals Stichting Leergeld stelt? Kunt u uw antwoord toelichten?

Het is een goede zaak dat Stichting Leergeld zich inspant om kinderen uit gezinnen met minimale financiële middelen te laten deelnemen aan binnen- en buitenschoolse activiteiten. Tegelijkertijd is het uitgangspunt dat iedere leerling kosteloos onderwijs moet kunnen volgen op school. Scholen zijn daar zelf voor verantwoordelijk. Zie verder het antwoord op vraag 2.

Vraag 4

Deelt u de mening dat het eisen van een laptops of tablets door scholen laat zien dat deze devices meer zijn dan enkel informatiedragers en daardoor niet bekostigd zouden moeten worden door leerlingen en hun ouders? Kunt u uw antwoord toelichten?

Een laptop valt niet onder de definitie van lesmateriaal2 omdat het de drager is van informatie, zelf geen informatie is, en niet wordt voorgeschreven voor een specifiek leerjaar. Hierdoor valt een laptop of tablet niet onder het lesmateriaal dat scholen gratis aan ouders dienen te verstrekken. Dat wil echter niet zeggen dat een school ouders mag verplichten om een laptop aan te schaffen. Op het moment dat scholen schoolboeken vervangen door digitaal lesmateriaal en het bezit van een laptop (of tablet) voor het leerproces noodzakelijk is geworden, dienen scholen hierin zelf te voorzien. Iedere leerling moet immers kosteloos onderwijs kunnen volgen op school.

Vraag 5

Bent u het eens met de voorzitter van de VO-raad die zegt dat het «kulargument» is om te beweren dat een laptop enkel een informatiedrager is en er wordt gewerkt met een «definitie uit de vorige eeuw»? Kunt u uw antwoord toelichten?

In de Wet Gratis Schoolboeken (WGS) uit 2008 zijn laptops (en andere devices) buiten de definitie van leermiddelen gehouden. In lijn met de motie-Westerveld3 zal ik in mijn reactie op de volgende evaluatie van de WGS ingaan op dit specifieke punt. Ik streef er naar om die evaluatie en de beleidsreactie daarop in de eerste helft van 2021 aan uw Kamer te zenden.

Vraag 6

Wat vindt u van het standpunt van de Groep Educatieve Uitgeverijen (GEU), de branchevereniging van aanbieders van leermiddelen, dat een device geen leermiddel is, maar een platform waarop je leermiddelen kunt gebruiken?2

Zie antwoord op vraag 5.

Vraag 7

Acht u het wenselijk dat scholen extra geld kwijt zijn aan leermiddelen en hardware, vanwege hun digitale ambities, en dat dit betekent dat schoolbesturen onder andere deze materiële uitgaven deels financieren met de personele component van de lumpsumfinanciering, zoals wordt gesteld in het rapport van McKinsey naar de doelmatigheid en toereikendheid van de bekostiging in het onderwijs? Kunt u uw antwoord toelichten?3

Scholen ontvangen de bekostiging voor personeel en exploitatie als één lumpsum en maken zelf keuzes over de besteding daarvan. De verdeelsleutel in de bekostiging is niet normstellend voor hoe scholen dit moeten uitgeven. Niet de OCW-beschikking, maar de onderwijsvisie van de school en de lokale behoeften van leerlingen moeten bepalend zijn bij deze keuzes.
Op de korte termijn kunnen scholen de benodigde middelen voor digitalisering halen uit de lumpsum, die o.a. voorziet in middelen voor lesmateriaal in het algemeen. De komende jaren zal de inzet van eigentijdse technologie alleen maar belangrijker worden. In mijn beleidsreactie op het rapport van McKinsey stel ik daarom ook vast dat een toekomstbestendig stelsel één van de vijf thema’s is waar blijvend in geïnvesteerd moet worden.6

Vraag 8

Welke andere conclusies trekt u op basis van het rapport van McKinsey als het gaat om digitalisering van het onderwijs en de bekostiging die daarmee gepaard gaat?

Zie antwoord op vraag 7. Ik verwijs hiervoor ook naar de beleidsreactie op het rapport van McKinsey.

Vraag 9

Klopt het dat de grootste barrière om digitale devices anders dan informatiedragers te bestempelen via de wet Gratis schoolboeken de financiering is? Kunt u uw antwoord toelichten?

Zie antwoord op vraag 5.

Vraag 10

Heeft u naar aanleiding van de aangenomen motie van het lid Westerveld aan het begin van dit schooljaar in kaart gebracht hoeveel schoolbesturen zelf niet kunnen voorzien in devices? Zo ja, kunt u de resultaten delen met de Kamer? Zo nee, waarom niet?4

Ja, daardoor heeft de beantwoording van deze vragen wat langer op zich laten wachten. Via de website lesopafstand.nl heeft Kennisnet op verzoek van OCW en de Raden van 1 oktober tot 16 november 2020 een enquête gehouden naar knelpunten bij het organiseren van hybride onderwijs en onderwijs op afstand. Alle schoolbesturen in het basis- en voortgezet onderwijs zijn door OCW en de PO-Raad en VO-raad op deze uitvraag gewezen. Op het peilmoment van 16 november 2020 hadden 102 respondenten (bestuurders, leraren, ict-coördinatoren) de vragenlijst ingevuld. Daarvan gaf 60 procent aan onvoldoende devices beschikbaar te hebben voor leerlingen en leerkrachten als een aantal leerlingen tevens thuis afstandsonderwijs moet ontvangen of bij een (gedeeltelijke) schoolsluiting. Ik neem deze signalen serieus als een indicatie van mogelijke knelpunten bij hybride-en afstandsonderwijs tijdens de corona crisis. Zoals vermeld in de brief «Tijdelijke banen en het voorkomen van onderwijsachterstanden door de coronacrisis»8 heb ik daarom € 3 miljoen beschikbaar gesteld om via SIVON opnieuw devices te verstrekken, met name aan scholen in het primair en voortgezet onderwijs die veel leerlingen hebben met een risico op achterstanden. Dat is bovenop de € 6,3 miljoen die in het voorjaar reeds beschikbaar is gesteld voor devices. Via sivon.nl worden de schoolbesturen geïnformeerd over de wijze waarop zij hiervoor een aanvraag kunnen indienen.

Vraag 11

Vindt u het gezien de digitalisering op scholen niet tijd om devices, zoals laptops en tablet, als nieuwe categorie aan te merken in de wet Gratis schoolboeken en de daarbij behorende financiering te regelen? Zo ja, op welke termijn gaat u dit regelen? Zo nee, waarom niet?

Zie het antwoord op vraag 5.

Vraag 12

Wat is de stand van zaken van de evaluatie van de wet Gratis schoolboeken en meer specifiek die van de uitwerking van de motie van het lid Westerveld c.s.? Wanneer kan de Kamer deze verwachten?5

Zie het antwoord op vraag 5.

Vraag 13

Deelt u de mening dat de coronacrisis en de noodzaak tot het volgen van afstandsonderwijs, de urgentie benadrukt om devices toegankelijk te maken voor alle kinderen?

De coronacrisis betreft een uitzonderlijke situatie waarin ik de schoolbesturen zo goed mogelijk ondersteun. Het belang van adequaat ingericht hybride- en afstandsonderwijs is hierin groot. Tegelijkertijd blijft het algemene uitgangspunt dat scholen verantwoordelijk zijn voor de kwaliteit en de continuïteit van het onderwijs, zonder verplichte meerkosten voor ouders, ook ten aanzien van devices.

Vraag 1

Kent u het bericht «VWS zet maaltijdbezorgers onder druk om corona-app»?1

Ja.

Vraag 2

Deelt u de mening dat het zowel tegen de letter, als wel tegen de geest van de Tijdelijke wet notificatieapplicatie covid-19 is als werkgevers hun medewerkers vragen om de CoronaMelder te gebruiken? Zo ja, waarom? Zo nee, waarom niet?

Ja. Het is werkgevers vanwege de gezagsrelatie niet toegestaan hun werknemers direct dan wel indirect te verplichten tot het gebruik van CoronaMelder. Daaronder valt ook dat werkgevers hun werknemers niet mogen vragen CoronaMelder te downloaden.
Wel is toegestaan dat organisaties wordt gevraagd via hun eigen communicatiekanalen CoronaMelder in algemene zin onder de aandacht te brengen. Dit is belangrijk om CoronaMelder zo breed mogelijk bekend te maken. Er is geen sprake van direct of indirect verplichten als duidelijk wordt aangegeven dat het downloaden en gebruiken van CoronaMelder vrijwillig is en mensen niet persoonlijk worden gevraagd CoronaMelder te gebruiken.

Vraag 3

Deelt u de mening dat er sprake is van het gebruiken van een gezagsverhouding als een werkgever zijn medewerkers vraagt om de CoronaMelder te installeren? Zo ja, waarom? Waarom zetten uw ambtenaren dan toch werkgevers aan om dit te doen? Zo nee, waarom niet? Hoe verhoudt zich dat dan tot uw antwoord gegeven in de nota naar aanleiding van het verslag bij genoemde wet, dat ook niet indirect een werkgever door middel van het gebruik van een gezagsverhouding iemand mag vragen de CoronaMelder te gebruiken?2

Ja. De mail die, voorafgaand aan het schrijven van de nota naar aanleiding van het verslag, vanuit mijn ministerie is uitgegaan had anders gemoeten. Hoewel deze mail met de beste bedoelingen is geschreven, had de suggestie om «bezorgers te vragen de app te downloaden» niet gedaan mogen worden. Zoals ook is opgemerkt in de nota naar aanleiding van het verslag hecht ik veel waarde aan vrijwilligheid, dit volgt uit de antimisbruikbepaling dat zowel het direct als indirect verplichten tot het gebruik van CoronaMelder is verboden.

Vraag 4

Deelt u de mening dat doordat de «op de branche [drukt], de branche op het bedrijf, het bedrijf op het personeel» en omdat «zo’n branche of bedrijf graag weer een opdracht van het ministerie [wil]», dat dit ten koste gaat van de vrijwilligheid? Zo nee, waarom niet?

Nee die mening deel ik niet. Zoals opgemerkt in het antwoord op vraag 3 had de in de mail die vanuit mijn ministerie is uitgegaan anders gemoeten. Beter had moeten worden benadrukt dat het gebruik van CoronaMelder te allen tijde vrijwillig is. Ook mogen werkgevers hun werknemers niet vragen CoronaMelder te downloaden. Dat neemt niet weg dat werkgevers het gebruik van CoronaMelder wel in het algemeen kunnen promoten, bijvoorbeeld door het ophangen van posters die afkomstig zijn van het ministerie. Dat is iets anders dan drang of dwang. Zolang daarbij duidelijk wordt aangegeven dat het downloaden en gebruiken van CoronaMelder vrijwillig is, is er mijns inziens geen sprake van druk en gaat het dus ook niet ten koste van de vrijwilligheid.

Vraag 5

Kan ook het aandringen door het Ministerie van VWS bij een organisatie om zijn werknemers te vragen de CoronaMelder te gebruiken, een strafbaar feit opleveren bijvoorbeeld omdat door middel van gebruik van een gezagsverhouding die organisatie en indirect de werknemers aangezet worden tot het gebruik van de CoronaMelder? Zo ja, waarom? Zo nee, waarom niet?

Ja een dergelijke gedraging zou na inwerkingtreding van het wetsvoorstel een strafbaar feit kunnen opleveren. Of dat in een specifiek geval ook daadwerkelijk zo is, is aan de rechter. Verder verwijs ik voor het antwoord op deze vraag naar het antwoord op vraag 3.

Vraag 6

Herinnert u zich uw antwoord in de genoemde nota naar aanleiding van het verslag waaruit blijkt dat «de ambtenaar – waaronder ook een Minister wordt verstaan – die door misbruik van gezag iemand dwingt iets te doen, zich schuldig [maakt] aan het ambtsmisdrijf van artikel 365 van het Wetboek van Strafrecht»? Acht u het mogelijk dat uw ambtenaren zich door het aanzetten tot het gebruik van de CoronaMelder zich schuldig hebben gemaakt aan een strafbaar feit te weten het overtreden van de antimisbruikbepaling? Zo ja, waarom? Zo nee, waarom niet?

Ja dat herinner ik mij. Verder verwijs ik voor het antwoord op deze vraag naar het antwoord op vraag 3 en 6.

Vraag 1

Bent u bekend met het bericht «Netwerk Caiway opnieuw getroffen door DDoS-aanval»?1

Ja

Vraag 2

Kunt u aangeven, door middel van een overzicht, hoeveel DDoS-aanvallen op internetproviders of andere bedrijven in de vitale digitale infrastructuur er over de afgelopen jaren hebben plaatsgevonden? Hoeveel DD0S-aanvallen hebben er op het brede midden- en klienbedrijg (mkb) plaatsgevonden over de afgelopen jaren?

De meest gestructureerde statistieken die beschikbaar zijn over DDoS-aanvallen zijn afkomstig van de Nationale Beheersorganisatie voor Internet Providers (NBIP). NBIP rapport jaarlijks over de DDoS-aanvallen die gemeten zijn door hun Nationale DDoS Wasstraat (NaWas).2 De NaWas is een privaat non-profit initiatief om DDoS-aanvallen te mitigeren. De NaWas heeft 90 deelnemers en beschermt 2,5 miljoen.nl domeinen, ongeveer 42,5% procent van het Nederlandse internet. In 2019 zijn 919 aanvallen geregistreerd door de NaWas, gemiddeld twee tot 3 per dag. Dit is een lichte daling ten opzichte van het aantal aanvallen in 2018, terwijl het aantal deelnemers groeide in dezelfde periode. De intensiteit van DDoS-aanvallen neemt al jaren gestaag toe. Daarin is geen uitsplitsing te maken naar sectoren.

Vraag 3

Welke impact hebben dergelijke DDoS-aanvallen op internetgebruikers en het bedrijfsleven? Is een inschatting te maken van de economische schade als gevolg van de verstoring van het internet die DDoS-aanvallen veroorzaken?

DDoS-aanvallen zijn dagelijks aan de orde in het digitale domein. Om de impact te beperken nemen organisaties mitigerende maatregelen. Dat kan in eigen beheer, via commerciële partijen en men kan zich aansluiten bij de NaWas. Voor internetproviders geldt dat zij een zorgplicht hebben om maatregelen te nemen ten behoeve van de continuïteit van hun dienstverlening op basis van de Telecommunicatiewet. Aanbieders van essentiële diensten hebben een plicht om passende technische en organisatorische beveiligingsmaatregelen te nemen op basis van de Wet bescherming netwerk- en informatiesystemen (Wbni). Succesvol gemitigeerde aanvallen hebben niet of nauwelijks impact op de continuïteit van de dienstverlening van een bedrijf of voor internetgebruikers. Een inschatting van de economische schade als gevolg van een verstoring van het internet als gevolg van een DDoS-aanval is niet te maken omdat het afhangt van een groot aantal factoren zoals de omvang van de verstoring, de duur van de verstoring en welke diensten worden getroffen.

Vraag 4

Welke rol speelt het Digital Trust Center (DTC) in het voorkomen van DDOS-aanvallen en het beperken van de gevolgen van DDOS aanvallen voor het brede mkb? In hoeverre helpt het NCSC het brede mkb hierbij? Welke mogelijkheden bestaan er om het brede mkb hier bij te helpen?

DDoS-aanvallen zijn niet te voorkomen, het is wel mogelijk om de kwetsbaarheid voor en de impact van DDoS-aanvallen te verkleinen. Het DTC en het NCSC maken deel uit van het zogenaamde Landelijk Dekkend Stelsel van schakelorganisaties op het gebied van cybersecurity. Binnen dit stelsel kan, met inachtneming van de hiervoor geldende wettelijke kaders, informatie over bijvoorbeeld digitale kwetsbaarheden en DDoS-aanvallen worden gedeeld tussen publieke en private partijen, met als doel de slagkracht van de partijen te vergroten.
Het DTC informeert niet-vitale bedrijven via haar website over wat te doen voor, tijdens en na een DDoS-aanval, zoals het maken van afspraken met hun ICT-leveranciers.3 Ook informeert het DTC bedrijven welke beschermingsmaatregelen zij kunnen nemen om minder kwetsbaar te zijn voor misbruik van digitale systemen.
Het NCSC heeft primair tot taak de rijksoverheid en vitale bedrijven te informeren en adviseren over voor hen relevante digitale dreigingen en incidenten. Daarnaast verstrekt het NCSC ook, binnen de daarvoor geldende wettelijke kaders, aan andere organisaties voor die organisaties of hun doelgroepen relevante dreigingsinformatie, die in het kader van de primaire taakuitoefening beschikbaar is gekomen. Verder draagt het NCSC bijvoorbeeld ook met haar kennis en expertise bij aan de publiek-private anti-DDoS coalitie en faciliteert het de Information Sharing and Analysis Centers (ISACs). Binnen de ISACs wisselen aanbieders onderling kennis en informatie uit over onder andere DDoS-aanvallen. Naar aanleiding van de recente toename van het aantal en de intensiteit van DDoS-aanvallen, heeft het NCSC gewaarschuwd om extra waakzaam te zijn. Op haar beurt heeft het DTC de aangesloten samenwerkingsverbanden van bedrijven hierover geïnformeerd.

Vraag 5

Hoe duidt u het feit dat, volgens cijfers van onder andere de nationale anti-DDoS-coalitie, de complexiteit en intensiteit van DDoS-aanvallen toeneemt? Welke consequenties voor de manier waarop er wordt samengewerkt om DDoS-aanvallen af te slaan dient deze observatie volgens u te hebben?

Op basis van de gegevens van NBIP neemt de intensiteit van DDoS-aanvallen al een aantal jaren toe. In het Cyber Security Beeld Nederland 2020 kwam naar voren dat een toename van de complexiteit van DDoS-aanvallen volgens experts is uitgebleven. Met een toename van de intensiteit van DDoS-aanvallen neemt de noodzaak om samen te werken door kennis en technische mogelijkheden bij elkaar te brengen ook toe. De publiek-private anti-DDoS coalitie is hier een goed voorbeeld van. De anti-DDoS coalitie bestaat uit ongeveer vijfentwintig deelnemers vanuit overheidsorganisaties zoals het NCSC en Agentschap Telecom, internetproviders, internet exchanges, non-profit organisaties en universiteiten. De anti-DDoS coalitie is in 2018 gestart om Nederlandse organisaties beter te beschermen tegen DDoS-aanvallen door middel van kennisdeling, gezamenlijke oefeningen, het promoten van maatregelen tegen aanvallen en het ontwikkelen van technische oplossingen. Elk van deze onderdelen wordt ingevuld door een werkgroep van de coalitie waarin deelnemers kunnen plaatsnemen. De coalitie stelt zich ook tot doel om in brede zin organisaties te informeren over de ontwikkelingen en resultaten via hun website.4

Vraag 6

Kunt u aangeven of de wijze waarop er op dit moment tussen providers kennis gedeeld wordt over het afslaan van DDoS-aanvallen naar behoren functioneert?

Het delen van kennis en informatie tussen bedrijven vindt onder meer plaats in de ISACs en in de anti-DDoS coalitie. Mijn beeld is dat deze vormen van kennisdeling en samenwerking concreet bijdragen aan de aanpak van DDoS-aanvallen in Nederland. Een voorbeeld is dat in de anti-DDoS coalitie een zogenoemde clearing house wordt ontwikkeld waarbij in een technisch systeem de karakteristieken van een DDoS-aanval worden uitgewisseld tussen clearing house deelnemers. Dit project draagt ook bij aan de ontwikkelingen van clearing houses in Europa via het EU-project CONCORDIA. Tijdens de recente toename aan DDoS-aanvallen is ook informatie uitgewisseld tussen deelnemers in de coalitie om de kenmerken van de aanvallen scherper te kunnen duiden.

Vraag 7

Op welke wijze zijn overheidsinstellingen, zoals het NCSC, betrokken bij het tegengaan van DDoS-aanvallen? Welke instrumenten heeft het NCSC om DDoS-aanvallen te voorkomen en de gevolgen te verkleinen? Welke verbeterpunten signaleert u hierbij?

Zoals aangegeven bij de beantwoording van de voorgaande vragen verrichten verschillende overheidsinstellingen activiteiten ten behoeve van het bevorderen van de weerbaarheid met betrekking tot het tegengaan van DDoS-aanvallen via kennis, informatie en samenwerking. Het NCSC heeft krachtens de Wbni bijvoorbeeld NBIP aangewezen als organisatie waaraan in het kader van bovenvermelde taakuitoefening dreigingsinformatie kan worden verstrekt. Ook de Politie zet in het kader van haar taakuitoefening in op preventie, verstoring, opsporing en vervolging van daders en het uit de lucht halen van botnets die voor onder meer DDoS-aanvallen worden ingezet. Daarnaast wordt door Logius en CIO-Rijk afgestemd met internetproviders hoe directe koppelingen (peering) voor overheidsorganisaties behulpzaam kunnen zijn om de impact van DDoS-aanvallen te minimaliseren.

Vraag 8

Deelt u de mening dat samenwerkingsverbanden gericht op het tegengaan van DDoS-aanvallen een belangrijke rol hebben in het versterken van onze digitale weerbaarheid? Op welke wijze neemt u deel aan dergelijke samenwerkingsverbanden?

Ik deel de mening dat samenwerking cruciaal is om de digitale weerbaarheid in Nederland te versterken. Het bundelen van kennis en krachten is een hoeksteen van de Nederlandse cybersecurity aanpak in de Nederlandse Cyber Security Agenda. De anti-DDoS coalitie is een goed voorbeeld van samenwerking op een specifiek gebied waarbij kennis vanuit publiek, privaat en wetenschap bij elkaar komt om de weerbaarheid in Nederland te verhogen tegen DDoS-aanvallen.

Vraag 9

Deelt u de mening dat het wenselijk is als, naast internetproviders met een landelijk netwerk, ook regionale providers, zoals Caiway of Delta, toetreden tot (publiek-private) samenwerkingsverbanden gericht op het afslaan van DDoS-aanvallen? Zo ja, bent u bereid deze providers hiertoe aan te sporen?

Op basis van de Telecommunicatiewet hebben aanbieders van openbare elektronische communicatienetwerken of -diensten de plicht om passende technische of organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te waarborgen. Ik vind het van belang dat internetaanbieders een oplossing kiezen die het beste aansluit bij hun bedrijfsvoering om de continuïteit te waarborgen. Zoals aangegeven in het antwoord op vraag 3 kunnen mitigerende maatregelen voor DDoS-aanvallen op verschillende manieren worden geïmplementeerd, namelijk in eigen beheer, via een commerciële partij of door zich aan te sluiten bij de NaWas.

Vraag 10

Wordt er, bijvoorbeeld in het kader van de stresstest digitale ontwrichting, geoefend op scenario’s van (grootschalige) verstoring van het internetverkeer als gevolg van DDoS-aanvallen? Op welke wijze komen de lessen die uit deze oefeningen getrokken worden terecht bij de providers?

Binnen de anti-DDoS coalitie worden publiek-private oefeningen georganiseerd waar in een gecontroleerde omgeving een aantal partijen een DDoS-aanval inzet en aantal partijen de DDoS-aanval mitigeert. De lessen uit deze oefeningen worden gedeeld met de verschillende partners zodat zij verbetering door kunnen voeren in hun netwerken. De anti-DDoS coalitie wil deze lessen in de toekomst via hun site delen zodat meer partijen de opgedane lessen kunnen benutten. Deze oefeningen sluiten aan op de inzet van het kabinet voor een structureel oefen- en testprogramma conform de motie Weverling. 5

Vraag 11

Worden «normale» internetgebruikers op dit moment voldoende voorgelicht over de noodzaak beschermingsmaatregelen te nemen om daarmee te voorkomen dat hun apparaten misbruikt worden voor het uitvoeren van een DDoS-aanval?

Voor vergroten van de bewustwording van burgers op het gebied van digitale veiligheidsmaatregelen is informatie en handelingsperspectief beschikbaar op veiliginternetten.nl en er vinden campagnes plaats, zoals «Doe je updates». Door apparaten te updaten beschermen eindgebruikers niet alleen zichzelf. Ze zorgen er ook voor dat apparaten minder kwetsbaar zijn om onderdeel te worden van een botnet waarmee onder meer DDoS-aanvallen worden uitgevoerd.

Vraag 1

Bent u bekend met het bericht «Hack bij Apollo Vredestein toont zwakke cyberbeveiliging Nederlandse bedrijven»1 en het bericht «Overheid wist wie kwetsbaar was, maar liet bedrijven toch gehackt worden»?2

Ja.

Vraag 2

In hoeverre deelt u de zorgen van IT-experts over de informatiebeveiliging bij Nederlandse bedrijven? Klopt het dat veel bedrijven nog onvoldoende zijn beschermd tegen cybercriminaliteit en kwetsbaar zijn voor bijv. hacks en gijzelsoftware? Hoezeer ziet u daarbij verschil tussen grote, middelgrote (tot 250 werknemers) en kleine bedrijven (minder dan 25 werknemers)?

Het kabinet is zich zeer bewust van de risico’s op het gebied van digitale dreigingen. Cybersecurity is daarom een prioriteit van dit kabinet, dat hierin extra investeert. De aanpak is vormgegeven in de Nederlandse Cyber Security Agenda uit 2018. Er zijn sindsdien al veel belangrijke maatregelen in gang gezet bij de overheid, (vitale) bedrijven en andere organisaties. Deze maatregelen richten zich op preventie, maar ook op onze respons op digitale incidenten. Voor een overzicht van concrete stappen die zullen worden gezet om Nederland digitaal veilig te houden verwijs ik u graag in het bijzonder naar de tabel «Versterking Cybersecuritystelsel: Respons en Weerbaarheid» in de kabinetsreactie op het WRR rapport «Voorbereiden op digitale ontwrichting»3 en de beleidsreactie op het Cyber Security Beeld Nederland 20204.
De digitale weerbaarheid is ondanks die inzet nog niet overal op orde. Daarom blijven partijen kwetsbaar voor cyberincidenten zoals hacks of gijzelsoftware. Kleinere MKB-ers hebben de basis nog niet altijd goed op orde of hebben geen maatregelen getroffen.
Grotere bedrijven hebben meer met incidenten te maken dan kleinere ondernemers. Een groter werknemersbestand en complexere ICT-infrastructuur spelen hierbij een belangrijke rol. Dit vergroot het aanvalsoppervlak5.
Voor elk bedrijf zijn, ongeacht de grootte, goede beveiligingsmaatregelen en preventie van belang. Daarom zal de inzet om de digitale weerbaarheid van de Nederlandse samenleving te borgen en te verbeteren, zoals uiteengezet in bovengenoemde documenten, de komende jaren over de hele breedte moeten worden voortgezet om de ontwikkelingen bij te kunnen houden.

Vraag 3

Welke kwetsbaarheden t.a.v. cyberbeveiliging komen bij bedrijven het meest voor? Deelt u de analyse van Deloitte Cyber Risk Services dat cybercriminelen «hun doelwit vaak niet kiezen aan de hand van de branche waarin een bedrijf zit, maar aan de hand van de gebruikte technologie»? Hoe kan in uw ogen het bedrijfsleven zich hier het beste tegen beschermen? Zijn er sectoren waarin het aantal cyberaanvallen (of pogingen daartoe) groter is dan in andere sectoren? Indien ja, welke?

Kwetsbaarheden komen voor in verschillende verschijningsvormen en kunnen door kwaadwillenden misbruikt worden. Veel voorkomende vormen van cybercriminaliteit zijn phishing, plaatsen van gijzelsoftware en malware, met als mogelijk gevolg uitval van diensten, vernietiging van data en datalekken. Essentiële onderdelen van een goede aanpak voor cyberveiligheid in het bedrijfsleven zijn onder meer: inventarisatie van kwetsbaarheden, tijdig uitvoeren van updates, toegangsmanagement, het gebruik van veilige instellingen. Naast eigen maatregelen kunnen ondernemingen een cybersecuritybedrijf in de arm nemen om adequate maatregelen te treffen.
De analyse van Deloitte deel ik over het algemeen. Het lijkt er minder toe te doen in welke bedrijfstak een bedrijf actief is. Uit het CSBN 2020 blijkt dat uiteenlopende sectoren en organisaties doelwit zijn van digitale aanvallen. Dit komt overeen met de uitkomsten van de Cybersecurity monitor 2019 van het CBS. Daaruit blijkt namelijk dat incidenten ongeveer gelijk plaatsvinden voor alle bedrijfstakken. Vaak is financieel gewin een beweegreden om een (cyber)delict te plegen. Bij maximaal financieel gewin als beweegreden kan de kwetsbaarheid van een bedrijf (bij het personeel, technologie of netwerk) een groter risico vormen om slachtoffer te worden dan de branche waarin het bedrijf opereert. De karakteristieken van het internet geven criminelen immers de mogelijkheid om vele potentiele slachtoffers tegelijkertijd te benaderen.
Daarentegen kan ook het verkrijgen van bedrijfsgevoelige informatie een beweegreden zijn om een cybercrime delict te plegen. In dit geval is de branche waarin een bedrijf opereert wel van belang.

Vraag 4

Is bekend hoeveel (cyber)veiligheidsincidenten bij bedrijven zich dit jaar in Nederland hebben voorgedaan? Geldt hiervoor een meldplicht? Zo ja, hoe krijgt een dergelijke melding opvolging en wordt er lering uit getrokken? Zo nee, denkt u dat een meldplicht meerwaarde kan hebben? Hoe vaak is het tot dusver voorgekomen dat de overheid heeft ingegrepen ingeval bedrijven kwetsbaar bleken op het gebied van (cyber)beveiliging, en op welke manieren?

Er is geen volledig beeld van het aantal incidenten of het aantal keren dat de overheid heeft ingegrepen dat zich in het afgelopen jaar bij bedrijven in Nederland heeft voorgedaan.
Voor vitale aanbieders, die krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn aangewezen als aanbieder van essentiële dienst (AED), geldt een wettelijke meldplicht in geval van digitale incidenten met (potentiële) aanzienlijke gevolgen voor de continuïteit van de dienstverlening bij zowel het Nationaal Cyber Security Centrum (NCSC) als de (sectorale) toezichthouder. Daarnaast geldt ook voor vitale aanbieders, die krachtens de Wbni zijn aangewezen als andere vitale aanbieder (AAVA) een meldplicht voor incidenten met (potentiële) aanzienlijke gevolgen voor de dienstverlening bij het NCSC.
Bij een melding van een bovenbedoeld incident zal het NCSC, gelet op zijn wettelijke taken in de Wbni, de betrokken vitale aanbieder waar nodig adviseren en anderszins bijstaan teneinde de continuïteit van zijn diensten te waarborgen en herstellen. Informatie betreffende een gemeld incident, die relevante dreigingsinformatie bevat voor bijvoorbeeld andere vitale aanbieders, wordt bovendien in het kader van de wettelijke taakuitoefening, door het NCSC met die andere aanbieders gedeeld, zodat daarmee de kans op soortgelijke incidenten bij andere aanbieders kan worden verkleind. De toezichthouders houden toezicht op de naleving van wettelijke voorschriften, waaronder die betreffende de meldplicht. De toezichthouder kan indien nodig ook ingrijpen bij niet-naleving van de meld- en zorgplicht.
Naast de meldplicht voor bovenbedoelde vitale aanbieders bevat de Wbni ook een meldplicht van incidenten met aanzienlijke gevolgen voor de dienstverlening voor digitale dienstverleners (cloudcomputerdiensten, online marktplaatsen en online zoekmachines) bij zowel de (sectorale) toezichthouder als het CSIRT voor digitale diensten. Voor andere niet-vitale aanbieders geldt op zich geen wettelijke meldplicht van incidenten. Hoewel een incident of aanval voor een individueel bedrijf grote gevolgen kan hebben, is met name ook de maatschappelijke impact daarvan bij een niet-vitale aanbieder minder groot dan bij vitale aanbieders. Uiteraard kunnen deze bedrijven wel ook aangifte doen als zij slachtoffer zijn van cybercriminaliteit. Ook worden deze bedrijven aangemoedigd om op vrijwillige basis incidenten door te geven aan onder meer het DTC en de fraudehelpdesk, en kunnen zij incidenten met aanzienlijke gevolgen ook melden bij het NCSC. Op basis hiervan kunnen, binnen de geldende wettelijke kaders, bijvoorbeeld waar nodig ook andere organisaties gewaarschuwd worden.

Vraag 5

Wat zijn de redenen waarom veel bedrijven nog onvoldoende zijn beschermd tegen cybercriminelen? Heeft dit in uw ogen te maken met bewustzijn, liggen hier financiële motieven aan ten grondslag, of anderszins?

Uit verschillende onderzoeken en gesprekken van het DTC met ondernemers komt naar voren dat voor een deel te maken heeft met bewustzijn. Een deel van de ondernemers weet onvoldoende van het onderwerp af of weten niet waar ze de informatie kunnen halen en welke tools ze goed kunnen inzetten.
Er kan ook een bewuste (bedrijfseconomische) keuze voor een bedrijf aan ten grondslag liggen: cybersecurity vergt capaciteit en investeringen en dergelijke investeringsbeslissingen moeten bedrijven afwegen tegen de eventuele risico’s en schade die een incident kan veroorzaken.

Vraag 6

Welke maatregelen neemt het kabinet om de cyberbeveiliging bij Nederlandse bedrijven te verhogen? Betreft dit dwingende of vrijwillige maatregelen? Hoe kan de overheid ondernemers helpen de juiste maatregelen te nemen? Past dit binnen de reikwijdte van het MKB-Actieplan? Bent u over dit thema in gesprek met ondernemers(organisaties)?

In vraag 2 en 4 is reeds ingegaan op de bredere strategische inzet voor cybersecurity vanuit de NCSA, en de wettelijke kaders betreffende het melden van incidenten.
Het NCSC heeft wettelijk primair tot taak om vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid te informeren en adviseren over dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen en ook overigens bij te staan bij het treffen van maatregelen om de continuïteit van hun diensten te waarborgen of te herstellen. Voor het opvolgen van adviezen of het gebruik maken van bijstand van het NCSC geldt dat dit vriiwillig is. Daarnaast heeft het NCSC ook tot taak om dreigingsinformatie, die in het kader van de primaire taakuitoefening is verkregen, waar nodig te delen met bijvoorbeeld andere bij ministeriële regeling aangewezen computercrisisteams.
Voor het niet-vitale bedrijfsleven is er het Digital Trust Center (DTC) dat informatie verstrekt over de noodzaak van bescherming en dat ook tools (zoals de basisscan cyberweerbaarheid) en adviezen beschikbaar stelt, zodat zij zich beter tegen cyberincidenten kunnen beschermen. Het DTC heeft wel een inspanningsverplichting om ondernemers te bereiken met concrete informatie en adviezen, maar bedrijven hebben een eigen verantwoordelijkheid. Het is aan de bedrijven zelf om deze adviezen op te volgen. Het DTC stimuleert de samenwerking tussen de bedrijven zodat bedrijven elkaar kunnen helpen de weerbaarheid te vergroten. Op dit moment zijn er 29 van dergelijke samenwerkingsverbanden bij het DTC aangesloten en verdere groei is voorzien.
Om het bewustzijn en de actiebereidheid van het bedrijfsleven te verhogen worden door JenV en EZK (doelgroepgerichte) bewustwordingscampagnes breed ingezet op preventie van cybercrime (zoals «Eerst checken dan klikken» en »Doejeupdates»). De overheid helpt hiermee ondernemers om veilig digitaal te ondernemen.
Specifiek voor het MKB is er het actieplan MKB. Daarmee ondersteunt de overheid ondernemers uit het midden- en kleinbedrijf (mkb) bij grote uitdagingen, zoals digitalisering, personeel en financiering. Een onderdeel daarvan is het verhogen van de cyberweerbaarheid.
In het Nationaal Platform Criminaliteitsbeheersing (NPC) werken overheid en bedrijfsleven nauw samen om criminaliteit te voorkomen en terug te dringen. Het NPC heeft onder andere cyber(security) als onderwerp geprioriteerd in het actieprogramma «Veilig Ondernemen 2019–2022». Dit actieprogramma dient ter versterking van de digitale veiligheid in het MKB. Daarnaast worden er ook dit jaar weer (digitale) bijeenkomsten georganiseerd door Platforms Veilig Ondernemen om de bewustwording in het MKB te vergroten.
Verder ondersteunt het Ministerie van JenV, in samenwerking met het DTC (Ministerie van EZK) en het Ministerie van BZK, initiatieven van gemeenten en regionale samenwerkingsverbanden Veiligheid en Platforms Veilig Ondernemen (PVO) gericht op het vergroten van de cyberweerbaarheid van bedrijven. Eind oktober worden deze initiatieven geformaliseerd in een City Deal. In deze City Deal ontwikkelen interbestuurlijke partners, het bedrijfsleven en kennisinstellingen nieuwe aanpakken om de doelgroepen beter te bereiken en gedragsverandering te bewerkstelligen. Binnen deze City Deal wordt tevens de verbinding gelegd met het actieprogramma «Veilig Ondernemen 2019–2022». Dit actieprogramma dient ter versterking van de digitale veiligheid in het MKB.

Vraag 7

Klopt de berichtgeving dat een cybercrimineel eerder dit jaar verschillende Nederlandse bedrijven en buitenlandse organisaties heeft gehackt, waardoor wachtwoorden van medewerkers op straat zijn komen te liggen, het Ministerie van Justitie en Veiligheid hier van tevoren voor was gewaarschuwd, maar niets deed omdat het Nationaal Cyber Security Center (NCSC) organisaties buiten het wettelijk mandaat ligt, t.w. de rijksoverheid en bedrijven in «vitale sectoren», niet kan informeren? Hoezeer deelt u de mening met de Stichting Digitale Infrastructuur Nederland dat de nationale veiligheid niet wordt gediend met dit beleid?

Het NCSC informeert zijn primaire doelgroep (Rijk, vitaal) gericht over voor hun relevante digitale dreigingen. Daarnaast informeert het NCSC het brede publiek door het uitbrengen van algemene beveiligingsadviezen over kwetsbaarheden. Deze adviezen zijn voor iedereen toegankelijk en terug te vinden op de website van het NCSC. Het NCSC is bekend met bedoelde buitgemaakte gegevens door misbruik van een kwetsbaarheid in Pulse Secure VPN-software. Het NCSC heeft eerder een beveiligingsadvies uitgebracht voor deze kwetsbaarheid met inschaling kans op misbruik Hoog en vervolgschade Hoog.6 Het is primair ieders eigen verantwoordelijkheid om deze adviezen op te volgen.
Zoals hierboven in het antwoord op vraag 6 is vermeld, heeft het NCSC primair als wettelijke taak om vitale aanbieders en onderdelen van de rijksoverheid te informeren en adviseren over en bij te staan bij dreigingen en incidenten met betrekking tot hun netwerk- en informatiesystemen. Doel hiervan is het voorkomen of beperken van de uitval van voor de samenleving vitale diensten en daarmee de risico’s op maatschappelijke ontwrichting weg te nemen.
Daarnaast heeft het NCSC, voor zover noodzakelijk ter voorkoming van nadelige maatschappelijke gevolgen, krachtens de wet als taak om informatie over dreigingen en incidenten met betrekking tot netwerk- en informatiesystemen van andere organisaties (waaronder ook persoonsgegevens), die is verkregen bij analyses ten behoeve van de primaire taak, door te verstrekken aan bijvoorbeeld andere bij ministeriele regeling aangewezen computercrisisteams.
In de genoemde casus m.b.t. Pulse Secure VPN-software bestond, gezien de aard van de gegevens, ten tijde van het incident geen mogelijkheid voor het NCSC om de betreffende dreigingsinformatie rechtmatig via het Landelijk Dekkend Stelsel met schakelorganisaties te delen, teneinde die organisaties in staat te stellen die dreigingsinformatie aan hun achterban te verstrekken. Inmiddels zijn bijvoorbeeld verschillende computercrisisteams bij ministeriële regeling aangewezen, waaraan voor hun achterbannen relevante dreigingsinformatie, met inbegrip ook van persoonsgegevens, kan worden gedeeld.
Het DTC is opgericht ter verhoging van de digitale weerbaarheid van bedrijven in Nederland die geen vitale aanbieder zijn. Het DTC maakt deel uit van het Landelijk Dekkend Stelsel. Momenteel wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan het NCSC concrete dreigingsinformatie die betrekking heeft op het niet-vitale bedrijfsleven kan delen. Het DTC zou dan de bedrijven over de dreigingsinformatie kunnen informeren. Het Ministerie van EZK is bezig met de voorbereidende werkzaamheden hiervoor en hun streven is dat deze nieuwe dienstverlening begin volgend jaar kan starten.
In bovenvermelde kabinetsreactie op het WRR-rapport is als een van de verschillende maatregelen opgenomen dat wordt geïnventariseerd welke wettelijke bevoegdheden de overheid heeft bij digitale crisissituaties, zodat kan worden bezien waar eventuele aanvullingen nodig zijn.

Vraag 8

In hoeverre onderkent u het risico dat cybercriminelen ook niet-vitale bedrijven grote schade kunnen toebrengen en deze als leveranciers van de vitale sector ook weer vitale bedrijven kunnen beschadigen? Wat kunt en gaat u doen om dit risico te mitigeren?

De impact van incidenten in de vitale infrastructuur, de snelheid van technologische ontwikkelingen, de verandering van (cyber)dreigingen en de toenemende onderlinge verwevenheid van vitale infrastructuur maakt dat het kabinet blijvende aandacht heeft voor het verhogen en borgen van de weerbaarheid van de vitale infrastructuur. De primaire verantwoordelijkheid voor de continuïteit en weerbaarheid van vitale processen ligt bij de vitale aanbieders zelf. Daarbij hoort het verkrijgen van inzicht in dreigingen en kwetsbaarheden, risico’s en het ontwikkelen en onderhouden van capaciteiten waarmee de weerbaarheid van vitale processen wordt verhoogd en geborgd. Aandacht voor risico’s die kunnen ontstaan in de leveranciersketen (inclusief niet-vitale bedrijven) maakt hier onderdeel van uit. In 2018 is voor veilige inkoop en aanbesteding binnen het Rijk een instrumentarium ontwikkeld en ingevoerd door het kabinet. Dit instrumentarium is ook beschikbaar gesteld voor de vitale infrastructuur en biedt daarmee een middel voor vitale aanbieders om risico’s voor de nationale veiligheid in de toeleveranciersketen in kaart te brengen voordat een opdracht wordt aanbesteed of gegund.

Vraag 9

Hoe gaat u ervoor zorgen dat cyberbeveiliging zowel in het vitale als niet-vitale bedrijfsleven, maar ook binnen de overheid, structureel geborgd wordt én blijft?

Zoals reeds aangegeven in de antwoorden op vragen [2, 4 en 7] wordt er structureel ingezet op het verhogen van cybersecurity en heeft het kabinet hier ook in geïnvesteerd.
De overheid treft continu maatregelen om haar digitale dienstverlening blijvend veilig aan te bieden en investeert in de digitale weerbaarheid en herstelvermogen van de openbare sector. Dat betekent aandacht voor preventieve maatregelen, goede detectie van aanvallen en een adequate respons. Het vergroten van de feitelijke veiligheid en oefenen met herstel na een mogelijk ontwrichtende incident hebben daarbij de nadruk. Ik heb uw Kamer in meer detail geïnformeerd in de Agenda Digitale Overheid, NL DIGIbeter7 en in de Strategische I-agenda Rijksdienst 2019–2021, editie 20208.

Vraag 1

Bent u bekend met het bericht «Amazon: wolf in wolfskleren voor start-ups»?1

Ja.

Vraag 2

Deelt u de mening dat het zeer onwenselijk is dat grote techreuzen het overnameproces misbruiken om waardevolle informatie van start-ups te achterhalen en dit gebruiken om zelf een concurrerend product op de markt te brengen?

Ja, ik deel de mening dat het onwenselijk is als machtige techbedrijven het overnameproces zouden misbruiken om waardevolle informatie van startups te achterhalen. In het bericht waarnaar wordt gerefereerd, worden cases uit de Verenigde Staten geschetst waarin Amazon met startups over potentiële overnames sprak. Daarbij hebben volgens het bericht verschillende startups informatie met Amazon gedeeld, bijvoorbeeld over hoe hun technologie werkt. In de omschreven cases zag Amazon vervolgens af van een investering, waarna het soortgelijke producten op de markt bracht onder de merknaam Amazon, soms met zeer nadelige gevolgen voor de betrokken startups. Alhoewel ik moet uitgaan van de informatie in het bericht en er bijvoorbeeld nog rechtszaken lopen, is dat begrijpelijkerwijs geen wenselijke uitkomst voor de betrokken startups.
Het is wel zo dat potentiële kopers informatie nodig hebben om een beeld te kunnen vormen van de waarde van een onderneming voor ze een bod uitbrengen. In beginsel ligt daarbij de verantwoordelijkheid om te bepalen welke informatie wordt gedeeld bij de betrokken partijen zelf. Van hen wordt verwacht in te schatten of het delen van informatie hen kan schaden, mocht een overname niet gerealiseerd worden. Om te voorkomen dat die informatie misbruikt wordt om de concurrentiepositie van de koper te bevoordelen, kunnen partijen hun contractmanagement hierop inrichten. Dat kan onder meer door een geheimhoudingsverklaring overeen te komen met daarin bepalingen over de gebruiksdoeleinden van de informatie en wat ermee moet gebeuren als de overname niet doorgaat, bijvoorbeeld dat de informatie verwijderd moet worden na het afbreken van de transactie.
Ik kan me alleen goed voorstellen dat dit bij een overname door een machtig platform veel lastiger is. Door de onevenwichtige verhoudingen tussen een platform met een stevige marktpositie en een startup, kan de onderhandelingspositie tussen partijen uit balans raken, zodat het moeilijk is voor een onderneming om invloed uit te oefenen op de voorwaarden die overeen worden gekomen. Daarom is een sterk nationaal ecosysteem voor tech bedrijven belangrijk, waarin Nederlandse startups zelf sterke en zelfstandige spelers kunnen worden met voldoende kapitaal en talent om door te groeien en beter weerstand te kunnen bieden aan ongewenste overname door dominante partijen. Om de groei van deze bedrijven te stimuleren werkt het kabinet aan het inrichten van een nationale scale-up faciliteit met Europese en nationale middelen en bijdragen van private investeerders, waarvoor € 150 miljoen beschikbaar wordt gesteld vanuit het Rijk.2

Vraag 3

In hoeveel Nederlandse start-ups heeft Amazon belang en/of een plek in de directie? Is het bekend of Nederlandse start-ups ook slachtoffer zijn geworden van het investerings- en transactieproces dat Amazon lijkt te gebruiken om concurrerende producten te ontwikkelen? Zo ja, hoe vaak leidde dit tot het einde van een bedrijf en welke stappen zijn genomen om dit tegen te gaan en de start-ups te hulp te schieten? Zo nee, bent u bereid om te anticiperen op de mogelijkheid dat dit in Nederland kan gaan gebeuren?

Ik heb geen zicht op in hoeveel Nederlandse startups Amazon een belang of plek in de directie heeft. In gesprekken die ik met ondernemers voer over hun ervaringen in de platformeconomie heb ik tot zover geen signalen ontvangen over misbruik van het overname- en transactieproces. Ik vind het wel goed dat het lid Wiersma aandacht vraagt voor deze signalen uit de Verenigde Staten. Dit kan nuttig zijn als signaal aan Nederlandse ondernemers om bij het aangaan van potentiële transacties naast de mogelijke voordelen ook oog te hebben voor de risico’s van informatieverstrekking door hier vooraf heldere afspraken over te maken. Ik zal dat ook meenemen in de gesprekken en contacten die ik heb. Sommige ondernemers geven in gesprekken met mij wel aan dat wanneer zij producten aanbieden op een platform, het platform soms gebruik maakt van informatie over hun transacties om te bepalen welke producten winstgevend zijn. Deze informatie gebruikt een platform dan om een concurrerend product aan te bieden tegen een lagere prijs of met betere zichtbaarheid op het platform. Op platformmarkten is het voor ondernemers soms niet mogelijk voorwaarden over het gebruik van hun data te bedingen die hen beschermen tegen informatiemisbruik, vanwege de afhankelijkheid die zij van een platform ervaren. In de signalen die ik opvang, hebben ondernemers de keuze om ofwel met de eenzijdig door het platform gestelde voorwaarden akkoord te gaan of helemaal geen producten of diensten op het platform aan te bieden. Wanneer een platform zo’n belangrijke positie heeft dat ondernemers er niet omheen kunnen als ze actief willen zijn op de markt, hebben ze dus eigenlijk geen keuze. Dit is onwenselijk.
In dit soort gevallen is er allereerst mogelijk een rol weggelegd voor het mededingingstoezicht, specifiek door te handhaven op het verbod op misbruik van een machtspositie. Dit heeft ook de aandacht van de Europese Commissie, die een onderzoek3 is gestart naar het bevoordelen van eigen producten door Amazon. Ik kijk met interesse uit naar de uitkomsten hiervan. In de platformeconomie komt het mededingingstoezicht soms ook te laat, bijvoorbeeld omdat de tijd die het in beslag neemt om misbruik te onderzoeken en aan te tonen, ondernemingen al uit de markt gedrukt kunnen zijn. Daarom pleit ik ook er ook voor om het in Europa mogelijk te maken vooraf in te grijpen bij platforms met een poortwachterspositie.4 Onderdeel van mijn beleidsinzet is om te zorgen dat een toezichthouder kan eisen dat wanneer een platform een poortwachterspositie heeft, het regels voor eerlijke contractvoorwaarden moet naleven om de balans in onderhandelingsmacht tussen platform en ondernemer te herstellen. Om te borgen dat zulk ingrijpen proportioneel is, stel ik voor dat een toezichthouder op basis van de specifieke omstandigheden bepaalt hoe dit wordt ingevuld. Ook zou een toezichthouder moeten kunnen ingrijpen op verstorende bevoordeling van eigen producten door een platform. Mijn oproep heeft zijn vruchten afgeworpen; de Europese Commissie heeft aangekondigd in het vierde kwartaal van dit jaar met voorstellen in lijn hiermee te komen.5

Vraag 4

Indien er nog geen Nederlandse start-ups slachtoffer zijn geworden van informatiemisbruik waarbij Amazon concurrerende producten op de markt brengt: hoe groot acht u de kans dat Amazon deze praktijken ook zal doorvoeren in Nederland? Deelt u de mening dat Nederlandse start-ups moeten worden beschermd tegen informatiemisbruik van techreuzen? Welke stappen bent u van plan te ondernemen om informatiemisbruik te voorkomen? Hoe zorgt u ervoor dat Nederlandse start-ups worden behoed voor informatiemisbruik van Amazon?

Zie antwoord vraag 3.

Vraag 5

Herinnert u zich dat u in uw antwoord op de schriftelijke vragen van leden Wiersma en Aartsen over het bericht «hoe de Facebook-CEO zichzelf zou inperken»2 aangaf een moreel appel te doen op grote techbedrijven? Hoe heeft dit vorm gekregen? Heeft u het idee dat de grote techbedrijven voldoende verantwoordelijkheid nemen en bij hun handelen oog hebben voor het publieke belang? Zo nee, welke stappen bent u voornemens te zetten om dit toch te realiseren?

Ja, uw vragen en mijn antwoord daarop herinner ik me. Het zag op het feit dat de nieuwe dienstverlening die dit soort ondernemingen biedt, en de wijze waarop ze dat doen, soms leidt tot de vraag welke wet- of regelgeving van toepassing is. Het staat ondernemingen vrij om wetgeving op de voor hen meest gunstige wijze uit te leggen, maar dit is niet altijd in het publieke belang. Ik heb daarom via de beantwoording van de eerdere Kamervragen grote techbedrijven opgeroepen om hun verantwoordelijkheid proactief te nemen. Platforms spelen namelijk een steeds grotere rol bij het behartigen van publieke belangen en moeten deze verantwoordelijkheid ook voelen. Ook in gesprekken die ik met deze bedrijven heb wijs ik ze hierop en ik zal hen hier ook op blijven wijzen. Indien platforms deze verantwoordelijkheid onvoldoende nemen en bijvoorbeeld concurrenten op oneigenlijke wijze van de markt drukken door eigen producten te bevoordelen of onredelijke voorwaarden aan consumenten of ondernemers te vragen, is het wenselijk dat een toezichthouder in kan grijpen op basis van het mededingingstoezicht en met een nieuw poortwachtersinstrumentarium dat op Europees niveau zal worden voorgesteld.

Vraag 6

Hoe vaak komt het voor dat een start-up dreiging ervaart van een techreus? Wat is de huidige stand van zaken ten aanzien van uw inzet in Europa om de huidige meldingdrempels, die op het moment gebaseerd zijn op omzet, aan te passen Zou het aanpassen van de meldingsdrempel volgens u helpen om informatiemisbruik tegen te gaan of zijn er extra toezichtregels nodig voor overnames van start-ups om dergelijk misbruik van bijvoorbeeld Amazon tegen te gaan? Wat zou de Europese Unie volgens u verder kunnen doen om de strategie van Amazon waarbij zij door start-ups gedeelde informatie gebruikt om concurrerende producten aan te bieden tegen te gaan?

In mijn antwoord op vraag 4 heb ik uitgelegd welke signalen ik ontvang van startups over problemen die zij ervaren met machtige platforms. Ik vind het dan ook belangrijk dat er regelgeving komt om startups beter te beschermen tegen techreuzen. Eén van de maatregelen die ik in Europa voorstel is het aanpassen van de meldingsdrempels voor fusies en overnames. Op dit moment is nog niet duidelijk of en wanneer de Europese Commissie de drempels aan gaat passen. Dat neemt niet weg dat ik mij in Europa onverminderd blijf inzetten voor de aanpassing van de fusiedrempels. Mijn inzet om een additionele meldingsdrempel in te voeren is bedoeld om te zorgen dat zulke overnames binnen het vizier van de toezichthouder komen. Het aanpassen van meldingsdrempels zal geen gevolgen hebben voor overnames waarbij een machtig techbedrijf besluit om de overname niet door te zetten. Ook bij meldingsplichtige fusies kan de beschreven problematiek zich immers voordoen. Naast het aanpassen van fusiedrempels pleit ik voor regelgeving voor platforms met een poortwachtersfunctie. Dit moet zoals hierboven aangegeven kleine ondernemers beschermen tegen grote techreuzen, bijvoorbeeld regels voor situaties waarin een poortwachtersplatform zelf producten aanbiedt die de startup ook via het platform aanbiedt. De Europese Commissie komt naar verwachting in het vierde kwartaal van dit jaar met regelgeving.

Vraag 7

Hoe wordt er in Nederland omgegaan met techreuzen, zoals Amazon, die zich terugtrekken uit investeringen om vervolgens de opgedane kennis te gebruiken om een concurrerend product op de markt te brengen? Welke consequenties kunnen deze bedrijven hieraan ondervinden in Nederland? Is er volgens u voldoende zicht op dit soort praktijken? Hebben toezichthouders voldoende mogelijkheden om dergelijke praktijken te bestraffen? Hebben rechters voldoende handvatten om schadevergoeding af te dwingen indien er sprake is van inbreuk op intellectueel eigendom?

Zoals aangegeven in mijn beantwoording van de voorgaande vragen ligt hier allereerst een verantwoordelijkheid voor partijen zelf via hun contractmanagement. Ik wijs bedrijven er vaak op dat zij er verstandig aan doen hun product te beschermen door bijvoorbeeld een octrooi, model en/of merkregistratie of als bedrijfsgeheim. Dan staan ze sterker mocht zich iets voordoen. Als een Nederlands bedrijf meent dat een machtig platform, maar ook een ander bedrijf, zich terugtrekt uit investeringen om vervolgens de opgedane kennis te gebruiken om een concurrerend product op de markt te brengen, dan kan er sprake zijn van een inbreuk op een intellectueel eigendomsrecht, een bedrijfsgeheim of kan er op een andere wijze sprake van onrechtmatig handelen. Het bedrijf kan daartegen optreden door de potentiele inbreukmaker in rechte te betrekken waarna de rechter uitmaakt of er daadwerkelijk sprake van een inbreuk. De wet, waaronder het Wetboek van Burgerlijke Rechtsvordering, biedt in deze gevallen handvatten om in deze of een aparte procedure (ook) schadevergoeding te vorderen.
In sommige gevallen waarin het gebruiken van informatie om een concurrerend product op de markt te brengen tot onwenselijke situaties leiden, kunnen toezichthouders hierbij al ingrijpen via het mededingingsrecht. Om informatiemisbruik en het bevoordelen van eigen producten door techreuzen aan te pakken pleit ik in aanvulling daarop voor regelgeving voor platforms met een poortwachterspositie. Zoals in de beantwoording van de vragen 3 en 4 gezegd wordt verwacht dat de Europese Commissie in het vierde kwartaal van dit jaar met voorstellen op dit gebied komt.

Vraag 1

Deelt u de mening dat het risico vermeden moet worden dat nieuwe technologische ontwikkelingen op o.a. het terrein van kunstmatige intelligentie, internet en datavergaring, al of niet door tussenkomst van derden, in handen komen van dictaturen?1

Nederlandse bedrijven en instellingen die strategische (militair en of dual use) goederen of technologie ontwikkelen dan wel produceren, zijn gehouden aan wet- en regelgeving op het gebied van exportcontrole. Indien technologie wordt geëxporteerd die voorkomt op de lijsten van exportcontroleregimes is een exportvergunning vereist. Exportvergunningaanvragen worden getoetst op grond van het EU gemeenschappelijk standpunt inzake wapenexport (EUR2.008/944/GBVB), of de EU Dual Use Verordening (EUR428/2009). Nederland is partij bij meerdere internationale verdragen en aangesloten bij exportcontroleregimes waarbinnen lijsten met dual use goederen en technologie worden vastgesteld. Daarnaast wordt van alle Nederlandse bedrijven verwacht dat zij bij het internationaal zakendoen handelen in lijn met de OESO-Richtlijnen en UN Guiding Principles on Business and Human Rights. Dit betekent dat zij in relatie tot hun waardeketens mogelijke risico’s – waaronder eventuele risico’s die verband houden met mensenrechtenschendingen en samenwerking met bedrijven die onder invloed staan van buitenlandse overheden – dienen te identificeren en te voorkomen of aan te pakken.
Overigens, Artificial Intelligence als wetenschaps- en toepassingsgebied is zeer breed en valt als zodanig niet als geheel binnen de kaders van dual use-goederen zoals die onder exportcontrole wetgeving is gedefinieerd.

Vraag 2

Deelt u ook de mening dat China technologische ontwikkelingen regelmatig inzet op een manier die leidt tot onderdrukking van mensen?

Te zien is dat door middel van geavanceerde censuurtechnieken het vrije woord op het Chinese internet steeds verder wordt ingeperkt, zowel op openbare fora zoals Weibo als in privégesprekken binnen apps zoals WeChat. Van de uitrol van surveillancetechnologie gaat gezien de politieke context in China een afschrikkende werking uit richting etnische en religieuze minderheden, mensenrechtenactivisten en andersdenkenden. Met name in Tibet en Xinjiang geldt dat surveillancetechnologie bijdraagt aan de onderdrukking van Tibetaanse boeddhisten en onder andere Oeigoerse moslims. Deze toepassingen brengen risico’s voor de fundamentele vrijheden, privacy en mensenrechten van Chinese burgers en buitenlandse personen die zich in China bevinden met zich mee.

Vraag 3

Deelt u voorts de mening dat het denkbaar is dat ook ontwikkelingen op het gebied van zoektechnologie door een dictatuur kunnen worden ingezet om ongewenste ontwikkelingen, gebeurtenissen en personen (beter) op het spoor te komen, te intimideren en te onderdrukken?

Het is mogelijk dat zoektechnologie als een van vele databronnen gebruikt wordt om ongewenste ontwikkelingen, gebeurtenissen en personen (beter) op het spoor te komen, te intimideren en te onderdrukken. Op dit moment zijn er geen concrete aanwijzingen dat onderzoeksresultaten die voortkomen uit de samenwerking tussen Huawei Finland2 en de UvA en VU – welke is gericht op de kennisontwikkeling op het gebied van meertalig en multimodaal zoeken in informatie voor consumenten, welke een civiele toepassing mogelijk maakt (zoals een zoekmachine) – specifiek hiervoor zullen worden gebruikt.
Het kabinet onderzoekt momenteel welke aanvullende maatregelen wenselijk zijn om ongewenste kennis- en technologieoverdracht langs de weg van onderwijs en onderzoek tegen te gaan, gericht op het vergroten van de (kennis)veiligheid. Dit proces is eerder reeds genoemd in de beleidsreactie op het rapport van het Rathenau Instituut «Kennis in het Vizier».3 Het kabinet zal uw Kamer dit najaar nader informeren over de voortgang op dit proces.

Vraag 4

Deelt u tenslotte de mening dat Nederlandse onderzoeksinstellingen zich niet moeten laten verleiden door het grote geld afkomstig uit China?

Instellingen in onderwijs en onderzoek worden geacht om bij het aangaan van een samenwerking – ongeacht uit welk land de samenwerkingspartner afkomstig is – een zorgvuldige afweging te maken van de kansen, opbrengsten en risico’s. Daarin worden meerdere factoren meegewogen.

Vraag 5

Vindt u ook dat niet van hen mag worden verwacht dat zij zelf beoordelen of samenwerking met (organisaties en personen uit) dictaturen tot schadelijke gevolgen voor mensenrechten kunnen leiden, doch dat die beoordeling een taak van de overheid is?

Zie beantwoording vraag 4. De politieke situatie in een land, en het mogelijke effect daarvan op de samenwerking, is een van de factoren die meegewogen moeten worden bij het aangaan van internationale samenwerkingen. Die afweging van de kansen en risico’s maken instellingen zelf. De Nederlandse overheid kan kennisinstellingen in voorkomende gevallen bijstaan bij het maken van die afweging, onder andere door middel van informatie-uitwisseling en kennisdeling.
Deze taakverdeling respecteert de autonomie van de instellingen, een fundamenteel uitgangspunt van het Nederlandse kennisstelsel. Deze is wettelijk geborgd in de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW).

Vraag 6

Hoe beoordeelt u in het licht van het voorgaande de samenwerking tussen de Amsterdamse universiteiten en Huawei om nieuwe zoektechnologie te ontwikkelen en bent u bereid om een streep door dat project te zetten? Zo nee, waarom niet?

De samenwerking is gericht op kennisontwikkeling op het gebied van meertalig en multimodaal zoeken in informatie voor consumenten, welke een civiele toepassing mogelijk maakt (zoals een zoekmachine).
De keuze om de samenwerking aan te gaan is uiteindelijk aan de instellingen. De universiteiten hebben die autonomie en verantwoordelijkheid, daarbij de kansen, risico’s en aandachtspunten en bestaande wet- en regelgeving in acht nemend. Het kabinet heeft geen formele rol in het goed- of afkeuren van samenwerkingsovereenkomsten van instellingen.

Vraag 7

Wilt u deze vragen separaat en volledig beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Amsterdamse universiteiten gaan samenwerken met Huawei»?1

Ja.

Vraag 2

Klopt het dat de Nederlandse veiligheidsdiensten goedkeuring hebben gegeven aan deze samenwerking? In hoeverre is hierbij meegewogen dat er bij AI sprake is van dual-use technologie?

De Nederlandse inlichtingen- en veiligheidsdiensten hebben geen rol in het goed- of afkeuren van dergelijke samenwerkingen. Het aangaan van samenwerkingen is een verantwoordelijkheid van instellingen zelf. Wel kunnen de AIVD en NCTV adviseren over mogelijke risico’s, zoals dat is gedaan bij de betrokken universiteiten.
De UvA en de VU hebben OCW en EZK in een vroegtijdig stadium geïnformeerd over de voorgenomen samenwerking met Huawei Finland. Vervolgens hebben diverse gesprekken plaatsgevonden, zowel door medewerkers van EZK als later door de NCTV, de AIVD en OCW. Er gesproken over de kansen voor innovatie en wetenschappelijk onderzoek en er is gewezen op mogelijke risico’s, zoals die naar voren komen in de recente jaarverslagen van de AIVD en de Militaire Inlichtingen en Veiligheidsdienst (MIVD). De instellingen is nadrukkelijk verzocht om al deze aspecten mee te nemen in hun afweging.

Vraag 3

Is het standaard dat u, de Minister van OCW, universiteiten die samen willen werken met Chinese bedrijven, organisaties en overheden doorverwijst naar de AIVD? Zo nee, wat is de aanleiding om dit in dit specifieke geval te doen? Op welke gronden heeft u de samenwerking beoordeeld en goedgekeurd? Welke rol speelt de nationale veiligheid hierbij? In hoeverre is hierbij meegewogen dat er bij AI sprake is van dual-use technologie? Kunt u aangeven of hier een vaste procedure voor afgesproken is en kunnen de relevante documenten met betrekking tot de beoordeling met de Kamer worden gedeeld?

Het Nederlands hoger onderwijsstelsel kenmerkt zich door een hoge mate van autonomie voor de hogescholen en universiteiten. Deze is wettelijk geborgd in de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW). Het aangaan van een samenwerking is dan ook de verantwoordelijkheid van een instelling zelf – rekening houdend met bestaande wet- en regelgeving. Universiteiten dienen bij elke samenwerking, nationaal en internationaal, een gedegen afweging te maken van de kansen en risico’s die een samenwerking oplevert. Daarbij kunnen zij in voorkomende gevallen een beroep doen op de expertise en informatie van relevante onderdelen van de rijksoverheid. Dat moedigt het kabinet ook aan, maar daar is geen standaardprocedure voor.
In het onderhavige geval hebben de betrokken universiteiten van deze mogelijkheid gebruik gemaakt, door in een vroegtijdig stadium de voorgenomen samenwerking bij OCW en EZK te melden. Vervolgens heeft OCW de universiteiten naar de inlichtingen- en veiligheidsdiensten verwezen. De reden voor doorverwijzing naar de diensten was de UvA en de VU in staat te stellen de juiste kennis en informatie mee te nemen bij het maken van hun afweging.
Er hebben diverse gesprekken plaatsgevonden, zowel door medewerkers van EZK als later door de NCTV, de AIVD en OCW. Er gesproken over de kansen voor innovatie en wetenschappelijk onderzoek en er is gewezen op mogelijke risico’s, zoals die naar voren komen in de recente jaarverslagen van de Algemene Inlichtingen en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen en Veiligheidsdienst (MIVD). De instellingen is verzocht om al deze aspecten mee te nemen in hun afweging. Echter, de Minister van OCW, noch een andere Minister, heeft een formele rol in het beoordelen en goed- of afkeuren van samenwerkingsovereenkomsten van individuele instellingen.

Vraag 4

Op welke gronden heeft u, de Staatssecretaris van EZK, de samenwerking beoordeeld en goedgekeurd? Welke rol speelt de nationale veiligheid hierbij? In hoeverre is hierbij meegewogen dat er bij AI sprake is van dual-use technologie? Kunt u aangeven of hier een vaste procedure voor afgesproken is en kunnen de relevante documenten met betrekking tot de beoordeling met de Kamer worden gedeeld?

Het Ministerie van Economische Zaken en Klimaat heeft geen formele rol bij de beoordeling en goed- dan wel afkeuring van samenwerkingen in wetenschappelijk onderzoek. Van beoordelingsdocumenten is dan ook geen sprake.
De UvA heeft, mede namens de VU, nadat zij op eigen initiatief OCW en EZK over de voorgenomen samenwerking met Huawei Finland hebben geïnformeerd, gesproken met medewerkers van het Ministerie van EZK en later met de NCTV, de AIVD en OCW. Er gesproken over de kansen voor innovatie en wetenschappelijk onderzoek en er is gewezen op mogelijke risico’s, zoals die naar voren komen in de recente jaarverslagen van de AIVD en de MIVD. De instellingen is nadrukkelijk verzocht om al deze aspecten mee te nemen in hun afweging.

Vraag 5

Wat zou u (de AIVD, de Staatssecretaris van EZK en de Minister van OCW) kunnen doen indien een hoger onderwijsinstelling een ongewenste samenwerking in het kader van de nationale veiligheid aangaat?

Het Nederlands hoger onderwijsstelsel kent een hoge mate van autonomie voor de instellingen. Deze is wettelijk geborgd in de Wet op het hoger onderwijs en wetenschappelijk onderzoek (WHW). Universiteiten dienen bij elke samenwerking, nationaal en internationaal, een gedegen afweging te maken van de kansen en risico’s die een samenwerking oplevert. Een instelling is daarbij gehouden aan bestaande wet- en regelgeving, zoals de exportcontroleregimes, de EU Dual use verordening en sanctieregelgeving.2
Bij het aangaan van een internationale samenwerking kunnen instellingen, ongeacht het land waaruit de beoogde samenwerkingspartner afkomstig is, in voorkomende gevallen een beroep doen op de expertise en informatie van relevante onderdelen van de rijksoverheid. De overheid zal de mogelijke risico’s bij de samenwerking helder benoemen. Uiteindelijk blijft het nemen van het besluit over het wel of niet aangaan van een samenwerking aan de instelling zelf. Noch voor de AIVD, de Staatssecretaris van EZK of de Minister van OCW, is er sprake van een formele rol in het goedkeuren of afkeuren van een samenwerking.
Het kabinet onderzoekt momenteel welke aanvullende maatregelen wenselijk zijn om ongewenste kennis- en technologieoverdracht langs de weg van onderwijs en onderzoek tegen te gaan, gericht op het vergroten van de (kennis)veiligheid. Dit proces is eerder reeds genoemd in de beleidsreactie op het rapport van het Rathenau Instituut «Kennis in het Vizier».3 Het kabinet zal uw Kamer dit najaar nader informeren over de voortgang op dit proces en de mogelijkheid om eventuele nieuwe toetsingscriteria en maatregelen toe te passen op de huidige casus.

Vraag 6

Wat geeft Huawei aan als belang om te investeren in kennis op het gebied van AI als zij noch over de data noch over een exclusiviteitsrecht zou beschikken?

Huawei geeft aan dat samenwerking met universiteiten over de hele wereld een essentieel onderdeel vormt van de R&D-strategie van het bedrijf. Dit onderzoek leidt tot innovatie en het creëren van bruikbare technologie. Het onderzoekproject naar zoektechnologie van de volgende generatie («next generation search technology») heeft voor Huawei tot doel de kwaliteit van de zoekresultaten voor de gebruiker te verhogen.
Als belang om deze samenwerking met de Amsterdamse universiteiten aan te gaan geeft Huawei Finland aan dat het als eerste recht heeft op toegang tot de onderzoeksresultaten zoals gepubliceerd, en dus een «first mover advantage» heeft. Ook heeft Huawei Finland er belang bij dat in groter verband kennis kan worden genomen van de onderzoeksresultaten. Daarmee wordt het bredere kennisecosysteem in Nederland en daarbuiten versterkt. De universiteiten waarmee Huawei Finland samenwerkt, hebben de volledige vrijheid om de resultaten van hun werk te publiceren, en behouden het recht om de technologie te gebruiken voor hun toekomstige onderzoeksprojecten.

Vraag 7

Welke garanties zijn er getroffen op het vlak van academische vrijheid in de overeenkomst tussen instellingen en Huawei? Kan de overeenkomst openbaar worden gemaakt en met de Kamer worden gedeeld?

De UvA en VU geven aan dat in de overeenkomst is vastgelegd dat zij de onderzoeksresultaten vrijelijk kunnen publiceren. Deze worden open access gepubliceerd en daarmee voor een ieder toegankelijk. Het onderzoek wordt uitgevoerd door promotiestudenten en postdocs die in dienst zijn van de universiteiten. De UvA en VU laten weten dat zij maatregelen hebben getroffen om de veiligheid van hun onderzoekers, data en systemen te waarborgen (onder meer geen toegang tot netwerken en laboratoria voor werknemers van Huawei Finland). Als bedrijf dat in Europa actief is, valt Huawei Finland onder de Europese gegevensbeschermingswetgeving (GDPR).
Het kabinet is geen partij bij deze samenwerking en gaat dus niet over de openbaarmaking en verspreiding van de overeenkomst. De Wet openbaarheid van bestuur (WOB) is van toepassing op de UvA. Deze wet kent echter ook uitzonderingsgronden waarop informatie niet openbaar gemaakt hoeft te worden, bijvoorbeeld bedrijfs- en fabricagegegevens. Of deze ook van toepassing kunnen zijn op onderdelen van de overeenkomst van de UvA en VU met Huawei Finland, is niet aan het kabinet om te beoordelen.

Vraag 8

Waarom geeft u, de Minister van OCW, aan dat de verantwoordelijkheid voor de samenwerking en het beheersen van risico’s bij de onderwijsinstellingen ligt? Bent u het met de mening eens dat het van belang is om kaders op te stellen voor als een samenwerking van universiteiten met een buitenlandse partij de nationale veiligheid kan raken?

Zie het antwoord op vraag 3. De instellingen kunnen zich laten informeren door relevante onderdelen van de rijksoverheid. Daarbij worden ook de effecten voor de nationale veiligheid in ogenschouw genomen. Ik verwacht van instellingen dat zij daarbij een gedegen afweging maken van de kansen en risico’s bij een samenwerking, zo ook de UvA en de VU.
Tegelijkertijd werkt het kabinet aan het vergroten van kennisveiligheid. Momenteel onderzoekt het kabinet welke aanvullende maatregelen opportuun zijn om ongewenste kennis- en technologieoverdracht langs de weg van onderwijs en onderzoek tegen te gaan, gericht op het vergroten van de (kennis)veiligheid. Dit proces is eerder reeds genoemd in de beleidsreactie op het rapport van het Rathenau Instituut «Kennis in het Vizier».4

Vraag 9

Herinnert u, de Minister van OCW, zich de toezegging die u heeft gedaan naar aanleiding van het onderzoek van Nieuwsuur naar falend toezicht op Chinese militaire wetenschappers in Nederland? Wanneer kan de Kamer deze brede kennisregeling waarmee de overheid duidelijker kaders schept voor kennisinstellingen verwachten?2

Ja.
Het kabinet onderzoekt momenteel welke aanvullende maatregelen wenselijk zijn om ongewenste kennis- en technologieoverdracht langs de weg van onderwijs en onderzoek tegen te gaan, gericht op het vergroten van de (kennis)veiligheid. Het kabinet zal uw Kamer dit najaar nader informeren over de voortgang op dit proces.

Vraag 10

Wanneer gaat u, in lijn met de met algemene stemmen aangenomen motie van de leden Van der Molen en Wiersma, het advies «kennis in vizier» van het Rathenau Instituut uitwerken en aan de Kamer aanbieden? Bent u voornemens om daarin het vraagstuk onder welke voorwaarden samenwerkingsverbanden met Chinese bedrijven, overheden en organisaties plaats dienen te vinden daarin mee te nemen?3

Zie het antwoord op vraag 5. De motie van de leden Van der Molen en Wiersma zal daarbij worden betrokken.

Vraag 11

Heeft u zicht op welke plekken in het hoger onderwijs en wetenschap Chinezen bedrijven, organisaties en overheden nog meer investeren? Zo ja, op welke plekken is dit? Zo nee, bent u voornemens om dit mee te nemen in de uitvoering van de motie van het lid Westerveld c.s., die verzoekt om onafhankelijk onderzoek te laten verrichten naar de beïnvloeding van de derde geldstroom op wetenschappelijk onderzoek?4

Het kabinet heeft geen totaaloverzicht van op welke plekken in het hoger onderwijs en wetenschap Chinese bedrijven, organisaties en overheden investeren. Instellingen zijn, binnen de wettelijke kaders, autonoom in hun keuze met wie zij samenwerken, en het is niet aan de overheid om individuele investeringen in het kader van de derde geldstroom te registreren. Voor de uitvoering van de motie van het lid Westerveld c.s. heb ik het Rathenau Instituut verzocht mij te ondersteunen; het rapport hieromtrent heb ik 21 september jl. ontvangen. In de uitvoering van de motie wordt niet ingegaan op investeringen uit specifieke landen zoals China. Ik zal u het rapport van 21 september jl. samen met mijn beleidsreactie zo spoedig mogelijk doen toekomen.

Vraag 12

Wat is uw reactie op de uitspraak van de heer Kok, voormalig hoofd van de Militaire Inlichtingendienst, in Elsevier Weekblad, waarin hij stelt dat het niet uitsluiten van Huawei bij de aanleg van 5G «veiligheidsrisico’s oplevert die niet kunnen worden onderschat en die onacceptabel zijn»? Hoe consequent is het dat Huawei geweerd wordt uit onze telecom infrastructuur aan de ene kant maar er wel akkoord gegeven is om samen te werken met de UvA en VU?5

Voor de telecomnetwerken is een risicoanalyse uitgevoerd, gebaseerd op de gekende dreiging, waarbij is gekeken naar mogelijk misbruik via leveranciers van technologie. Op basis van deze risicoanalyse heeft het kabinet een aantal maatregelen geformuleerd, waarover uw Kamer op 1 juli 2019 is geïnformeerd.9 De juridische grondslag van deze maatregelen is de op 5 december 2019 gepubliceerde algemene maatregel van bestuur «Besluit veiligheid en integriteit telecommunicatie» (hierna: AMvB).10 Deze AMvB regelt onder andere dat de Minister van Economische Zaken en Klimaat (EZK), in overleg met de Minister van Justitie en Veiligheid een aanbieder van een openbaar elektronisch communicatienetwerk of -dienst kan verplichten om in bepaalde onderdelen van diens netwerk of bijbehorende faciliteiten, uitsluitend gebruik te maken van producten of diensten van een andere dan de daarbij door de Minister genoemde partij. Momenteel worden de beschikkingen, waarin telecomaanbieders worden verplicht in de kritieke onderdelen geen gebruik te maken van producten of diensten van daarin genoemde partijen, voorbereid. De criteria om partijen als niet-vertrouwd aan te merken zijn objectief, toekomstbestendig en landenneutraal, dat wil zeggen, niet gericht tegen specifieke landen of bedrijven.
Het besluit over het aangaan van deze samenwerking is uiteindelijk de eigen verantwoordelijkheid van de universiteiten. Daarbij is geen formele rol in de goed- of afkeuring door een bewindspersoon of ministerie nodig. De betreffende onderzoekssamenwerking tussen de VU en de UvA en Huawei Finland heeft overigens geen betrekking op onze telecominfrastructuur of 5G. Het is gericht op de kennisontwikkeling op het gebied van meertalig en multimodaal zoeken in informatie voor consumenten, welke een civiele toepassing mogelijk maakt (zoals een zoekmachine).

Vraag 13

Bent u bereid om de vragen één voor één te beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Paspoort blijft op zak. Controle op schiphol verdwijnt»?1

Ja.

Vraag 2

Kunt u een overzicht geven van alle technologieën, dataverzameling en sensoren die betrokken zijn bij het toekomstbeeld dat de Koninklijke Marechaussee (KMar) schets, namelijk de «gang waarin je met technische hulpmiddelen wordt gecontroleerd zonder dat je hoeft te stoppen of je paspoort te laten zien»? Welke concrete stappen zijn reeds genomen om tot dit toekomstbeeld te komen?

Nederland zet zich, conform het Regeerakkoord,2 in voor technologische vernieuwing en digitalisering op de grens, zodat het grenstoezicht effectiever en efficiënter ingericht wordt. Het in toenemende mate gebruik maken van techniek voor routinehandelingen komt ten goede aan het reisgemak van bonafide reizigers, het tegengaan van illegale migratie en draagt bij aan de veiligheid van Nederland en het Schengengebied.
Naast huidige en toekomstige verplichtingen die voortvloeien uit (Europese) wet- en regelgeving, zoals het Europese In- en uitreissysteem (EES),3 werkt de Nederlandse overheid momenteel mee aan de ontwikkeling van twee innovatieve grensprojecten waarbij onder andere gebruik wordt gemaakt van gezichtsherkenning. Dit zijn het Seamless Flow Programma en de pilot Known Traveller Digital Identity (KTDI).
Voor de ontwikkeling van Seamless Flow werkt de Nederlandse overheid onder andere samen met Schiphol en KLM. Het programma stelt passagiers in staat om op basis van vrijwilligheid middels hun biometrische kenmerken herkend te worden bij verschillende processtappen op de luchthaven. In de praktijk betekent dit dat passagiers, onder toezicht van de KMar, bij een zuil in de vertrekhal hun gezicht en paspoort kunnen scannen. Het systeem controleert de identiteit en verstuurt deze gegevens aan relevante partijen die de vluchtgegevens en individuele passagiersinformatie nodig hebben voor hun luchtvaartprocessen. Camera’s van Seamless Flow die bij de betreffende controlepunten staan herkennen de passagier, zonder dat de passagier opnieuw zijn paspoort of boardingpass hoeft te laten zien. Hierdoor kan de KMar zich meer focussen op gerichte controles. Hierover is uw Kamer tevens geïnformeerd in de concept-Luchtvaartnota 2020–2050 daterende 15 mei 2020.4 Er wordt nog gewerkt aan de ontwikkeling van de technologie en waarborgen om het bovenstaande geschetste beeld te kunnen realiseren.
Samen met o.a. Canada, Schiphol en KLM neemt de Nederlandse overheid deel aan een pilotproject om het KTDI-concept in de praktijk te toetsen. Hierbij kunnen passagiers tussen Canada en Nederland vliegen met een digitale representatie van hun paspoort. De KTDI-pilot ziet op het gehele passagiersproces; van vertrek tot en met aankomst in het land van bestemming. De kern van het idee is dat het passagiersproces vergemakkelijkt wordt doordat een burger zich op basis van vrijwilligheid en op digitale wijze, op een manier die betrouwbaar en door de overheid gevalideerd is, met behulp van biometrische gegevens kan identificeren en de grens kan passeren. Hierover is uw Kamer tevens geïnformeerd middels de beantwoording van de vragen van Kamerleden Den Boer en Verhoeven daterende 4 mei 2020.5 Ook hier gaat het om een pilot.
Voorwaarde voor deze technologische vernieuwing is dat dit aansluit bij Europese en nationale wet- en regelgeving. Binnen deze kaders wordt bekeken op welke wijze innovatie kan bijdragen aan het verwezenlijken van deze ambities, waarbij oog is voor aspecten als risico- en securitymanagement waaronder cybersecurity en de privacy van reizigers. Analyses op het gebied van privacy zijn onderdeel van de bovengenoemde innovatieve grensprojecten. Momenteel bevinden zowel Seamless Flow als de KTDI-pilot zich in de concept- en pilotfase, waarbij de operationele en technische aspecten getest worden met inachtneming van de relevante juridische kaders. Een besluit over de definitieve en/of structurele implementatie van beide concepten is nog niet genomen. Indien het kabinet het voornemen heeft één van deze of beide concepten in het reguliere grenstoezicht te implementeren, zal de Kamer over het voorgenomen besluit geïnformeerd worden, inclusief over de waarborgen met betrekking tot privacy.

Vraag 3

Betreft het ook de toepassing van gezichtsherkenning? Klopt het dat hiervoor databases met gedetailleerd fotografisch materiaal van elke reiziger aangelegd moeten worden? Welke plannen bestaan hiervoor? Bestaan reeds dergelijke databases of pilots daartoe? Kunt u de juridische kaders hiervoor uiteenzetten?

Voor het Seamless Flow programma is het voornemen dat een platform wordt ingericht waarin de passagiersgegevens en dus ook een gezichtsopname na uitdrukkelijke toestemming van de passagier gedurende maximaal 24 uur bewaard blijven. Voor de KTDI-pilot zal gebruik worden gemaakt van een door de KMar gevalideerde, digitale representatie van het paspoort, zoals nu gebruikt bij het grensproces binnen het reeds bestaande Privium6-proces. Deze digitale representatie van het paspoort wordt, met uitdrukkelijke toestemming van de passagier, opgeslagen in een beveiligde database die beheerd wordt door de Rijksdienst van Identiteitsgegevens (RvIG) van het Ministerie van BZK.7 Deze gegevens blijven bewaard voor de duur van de pilot. De passagier bepaalt zelfstandig of hij aan de pilot deel wil nemen en of hij zijn persoonsgegevens wil delen via de KTDI mobiele applicatie en met welke partij. Zie hiervoor ook de beantwoording van de Kamervragen over KTDI.8
Het juridisch kader wordt gevormd door Europese wet- en regelgeving, zoals de Schengengrenscode en de EES-verordening. Bij de verwerking van (biometrische) persoonsgegevens van passagiers in het kader van grenstoezicht moet ook voldaan worden aan de strikte eisen die de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG) stellen. Verder worden de kaders bepaald door de bevoegdheden van de KMar zoals deze volgen uit onze nationale wet- en regelgeving, waaronder de Vreemdelingenwet 2000 en het Vreemdelingenbesluit 2000. Op basis van artikel 46 van de Vreemdelingenwet 2000 is de grenswachter (de KMar) belast met toezicht op de naleving en de uitvoering van de Schengengrenscode en de wettelijke voorschriften met betrekking tot de grensbewaking.

Vraag 4

Wat is de reden dat de KMar het idee heeft dat dit toekomstbeeld sowieso werkelijkheid zal worden? Kunt u alle communicatie tussen uw ministerie en de KMar hierover naar de Kamer sturen? Klopt het dat «de neuzen in dezelfde richting staan»? Waarom heeft u aan de KMar te kennen gegeven dit ingrijpende toekomstbeeld te ondersteunen zonder debat hierover in de Tweede Kamer?

Zie antwoord vraag 2.

Vraag 5

Wat is het beoogde doel van deze technologie?

Zie antwoord vraag 2.

Vraag 6

Welke voordelen verwacht u? Welke risico’s verwacht u? Hoe wegen de voordelen op tegen de risico’s?

Zie antwoord vraag 2.

Vraag 7

Kunt u gemaakte analyses op het gebied van privacy, eventuele Data Privacy-Impact-Assessments (DPIA’s), juridische analyses met betrekking tot het Europees Verdrag van de Rechten van de Mens (EVRM) en eventuele andere privacy gerelateerde analyses naar de Kamer sturen?

Zie antwoord vraag 2.

Vraag 8

Vindt u de inzet van dergelijke ingrijpende surveillance technologie op een zeer groot deel van de bevolking wenselijk, noodzakelijk en proportioneel? Kunt u antwoord geven op elk van de drie kwalificaties?

Zoals ook hierboven beschreven heeft Nederland de ambitie om de effectiviteit en efficiëntie van het grensbeheer te vergroten, dat ten goede komt aan het reisgemak van de reizigers met een laag risico, illegale migratie tegengaat en bijdraagt aan de veiligheid in Nederland en het Schengengebied. Vanuit dit oogpunt is het wenselijk te bezien op welke wijze technologie hieraan kan bijdragen. Uiteraard, mede bezien vanuit proportionaliteit, dient dit uitsluitend op een veilige manier te gebeuren in lijn met nationale en Europese wet- en regelgeving, en mag dit niet ten koste gaan van bijvoorbeeld cybersecurity en de privacy van burgers.

Vraag 9

Kunt u een overzicht geven van alle innovatieprojecten, pilots, of andere initiatieven van alle opsporingsdiensten die voorzien in de toepassing van gezichtsherkenning, sensortechnologie, (big) data-analyses en andere ingrijpende digitale surveillance technologie?

De Kamer is met de brief van de Minister van Justitie en Veiligheid van 20 november 2019 geïnformeerd over de toepassing van gezichtsherkenningstechnologie in het kader van de opsporing door de politie.9 In het kader van de grenscontroles van personen aan de Nederlandse buitengrens wordt bij gebruik van de automatische grenspassage (e-gates) de gezichtsopname gemaakt en vindt verificatie plaats met de gezichtsopname op de chip van het reisdocument. Met de implementatie van het Europees in- en uitreissysteem (EES) aan de buitengrenzen van de Schengenlidstaten wordt het mogelijk dat de gezichtsopname van derdelanders in het grenscontroleproces worden vastgelegd en opgeslagen ter verificatie van de identiteit van de betrokken derdelander.
Ter ondersteuning van de ambitie van de KMar om informatie gestuurd optreden te vergroten zijn de afgelopen jaren enkele kleinschalige plannen uitgewerkt waarbij gebruik zou worden gemaakt van gezichtsherkenning. In een project (proeftuin Camera en Sensoren) is daadwerkelijk gewerkt met vrijwilligers als proefpersoon, maar dit project is in een oriënterende fase gestopt.
De Minister voor Rechtsbescherming heeft de Kamer toegezegd na te gaan of er een jaarlijks overzicht kan worden gegeven van de lopende initiatieven op het gebied van nieuwe surveillancetechnieken en de Kamer daarover voor deze zomer te informeren.10 Inmiddels is duidelijk dat deze inventarisatie meer tijd vergt en is aangegeven dat de Kamer dit najaar hierover zal worden geïnformeerd.

Vraag 10

Hoe verloopt de controle van dergelijke projecten en de uiteindelijke toepassing van dergelijke technologie? Meer specifiek, hoe worden algoritmes gecontroleerd op goede werking en eventuele vooringenomenheden?

Voor het antwoord op deze vraag verwijs ik u graag naar de brief van de Minister van Justitie en Veiligheid van 20 november 2019 over waarborgen en kaders bij het gebruik van gezichtsherkenningstechnologie.11
Daarnaast verwijs ik u naar de brief van de Minister voor Rechtsbescherming van 8 oktober 2019, waarbij richtlijnen voor het toepassen van algoritmes door overheden met uw Kamer zijn gedeeld.12 Voor de stand van zaken met betrekking tot de doorontwikkeling van de richtlijnen die op dit moment gaande is, zie de brief van de Minister voor Rechtsbescherming van 20 april 2020 over de Initiatiefnota «Menselijke grip op algoritmen» en het onderzoek »Toezicht op gebruik van algoritmen door de overheid, in het bijzonder Bijlage 2 bij deze brief alsmede de Antwoorden van de Minister voor Rechtsbescherming van 20 mei 2020 op vragen van de vaste commissie voor Justitie en Veiligheid.13