Vraag 1

Bent u bekend met het bericht «Beelden van misbruik van Marcels dochter blijven rondgaan: «Mensen gaan hierdoor kapot»»?1

Ja.

Vraag 2

Herinnert u zich de antwoorden op de vragen van het lid Van Wijngaarden over het jaarrapport van de Internet Watch Foundation?2

Ja.

Vraag 3

Waarom lukt het journalisten wel om op darkweb kinderpornografisch materiaal te detecteren en duurt het langer voordat de politie darkweb kinderpornografisch materiaal kan detecteren?

Helaas is het voor iedereen mogelijk om beeldmateriaal van seksueel kindermisbruik op het internet te vinden. In Nederland is het een strafbaar feit om op het internet, waaronder ook het darkweb, te zoeken naar beeldmateriaal van seksueel kindermisbruik. De strafrechtelijke onderzoeken van de politie strekken zich uit over het gehele internet, waaronder ook het darkweb. Vanwege het operationeel belang wordt niet nader ingegaan op de opsporingsmethoden. In aanvulling hierop richt de aanpak van online seksueel kindermisbruik door de politie zich vooral op het identificeren van slachtoffers van actueel misbruik. De politie maakt hiertoe in een zo vroeg mogelijk stadium een onderscheid tussen oud en nieuw materiaal, zodat de kans om slachtoffers van actueel misbruik te ontdekken wordt vergroot. Verder zet de politie in op het opsporen en vervolgen van vervaardigers/misbruikers, sleutelfiguren (keyplayersen facilitators),de netwerken daarachter en downloaders/verspreiders. Deze aanpak is als prioriteit opgenomen in de Veiligheidsagenda.
Ook de internetsector zelf zet zich in om het openbaar maken, verspreiden en opslaan van online seksueel kindermisbruik tegen te gaan. Het Expertisebureau Online Kindermisbruik (EOKM) stuurt verwijderverzoeken van grote hoeveelheden online kindermisbruikmateriaal uit naar bedrijven. Deze werkwijze is zeer effectief en leidt tot verwijdering van grote hoeveelheden online kindermisbruik. Met de oprichting van de Autoriteit Terroristisch en Kinderpornografisch materiaal zet het kabinet in op bestuursrechtelijke handhaving op de verwijderverzoeken waaraan geen gehoor wordt gegeven door aanbieders van communicatiediensten die beeldmateriaal van seksueel kindermisbruik doorgeven of hebben opgeslagen.

Vraag 4

Klopt het dat de IWF (Internet Watch Foundation) wederom concludeert dat het percentage van het door hun gevonden kinderpornografisch materiaal dat wordt gehost in Nederland is gestegen van 71% naar 77%?

Het rapport van IWF over 2020 concludeert dat er dit jaar 77% van het door hun gevonden beeldmateriaal van seksueel kindermisbruik in Nederland wordt gehost. Dit ten opzichte van de 71% in het rapport van de IWF over 2019.
Zoals ook aangegeven in de beantwoording op vragen van het lid Van Wijngaarden3 zijn er kanttekeningen te maken bij de conclusies van de IWF. Het percentage wordt beïnvloed door meldingen die ze van burgers ontvangen, eigen zoekgedrag en (instellingen van) crawlers. De cijfers kunnen niet één op één worden door vertaald naar een mondiaal beeld.

Vraag 5

Hoe beoordeelt u het feit dat ondanks uw inspanningen om de hosting van kinderpornografische afbeeldingen in Nederland te verminderen, zowel de aantallen als het percentage van het door IWF gevonden materiaal dat wordt gehost in Nederland stijgt?

Het tegengaan van beeldmateriaal van seksueel kindermisbruik vraagt blijvende inzet. Om die reden blijven de sector, de politie, het OM, het EOKM en mijn ministerie via meerdere maatregelen inzetten op het voorkómen dat beeldmateriaal (opnieuw) online komt en het zo spoedig mogelijk verwijderen van materiaal dat wordt gemeld. Zie hiervoor ook de beantwoording van vraag 3 en 6.

Vraag 6

Welke maatregelen hebben Nederlandse webhosters afgelopen jaren geïmplementeerd om te voorkomen dat kinderpornografisch materiaal wordt gehost?

De afgelopen jaren heeft de sector zich erg ingespannen voor een internet vrij van beeldmateriaal van seksueel kindermisbruik. Dit heeft geleid tot goede resultaten. Zo heeft de sector afgesproken dat in de Notice-And-Takedown-procedure (NTD) dergelijk materiaal binnen 24 uur offline gehaald moet worden. Verder is er ingezet op de ontwikkeling van technische tools. Zo is de HashCheckService ontwikkeld, waarmee voorkomen kan worden dat bekend beeldmateriaal van seksueel kindermisbruik geüpload wordt, en helpt het innovatieve meldingsverwerkingssysteem SCART het EOKM bij het geautomatiseerd verwerken van meldingen. Ook is er door de sector meegedacht over de monitor van de TU Delft, waardoor duidelijk wordt welke hosters dit materiaal hosten en hoe snel zij dit verwijderen na een NTD-melding. Op deze manier wordt de spiegel voorgehouden aan hosters die zich onvoldoende inspannen voor een schoon netwerk en roepen we slecht presterende providers ter verantwoording.

Vraag 7

In hoeverre heeft het openbaar maken van de namen van webhosters die onvoldoende doen tegen het weren van kinderporno reeds effecten gesorteerd en op welke wijze wordt dit ook voor de Kamer inzichtelijk?

In oktober 2020 is de eerste rapportage van de TU Delft naar de Kamer verzonden4. De volgende rapportage van de TU Delft wordt naar verwachting in het voorjaar van 2022 naar de Kamer verzonden. Deze zal, net zoals de voorgaande keer, voorzien zijn van een begeleidende brief. De afgelopen metingen tonen dat er bedrijven zijn die maatregelen hebben genomen en hun prestaties hebben verbeterd. Verder tonen de metingen een wisselend beeld qua bedrijven die hierin voorkomen. De opgevoerde druk in Nederland heeft ook als gevolg dat materiaal zich naar het buitenland heeft verplaatst. Om die reden is het zeer belangrijk om dit ook op Europees niveau aan te pakken, zie ook de beantwoording van vragen 11, 12 en 13.
De TU Delft monitor is echter maar één van de vele maatregelen. Het is daarom lastig om bewegingen in de markt of ontwikkelingen in het aantal meldingen van beeldmateriaal van seksueel kindermisbruik toe te schrijven aan de effectiviteit van enkel de monitor.

Vraag 8

Kunnen webhosters die aantoonbaar onvoldoende doen tegen het weren van kinderporno niet alleen bestuursrechtelijk worden aangepakt, maar ook strafrechtelijk worden vervolgd wegens medeplichtigheid aan het verspreiden van kinderporno?

Op grond van Europese regelgeving en de Nederlandse implementatie daarvan zijn hostingproviders onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commercerichtlijn is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijke materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) – en straks ook op bevel van de Autoriteit – gegevens ontoegankelijk moeten maken. Verder is het voor het strafrechtelijk vervolgen van hosters voor medeplichtigheid aan strafbare feiten die op hun servers plaatsvinden, zoals het verspreiden van beeldmateriaal van seksueel kindermisbruik, noodzakelijk om het opzet of het voorwaardelijke opzet van de hoster te bewijzen. In de praktijk blijkt (voorwaardelijke) opzet bij hosters lastig te bewijzen.

Vraag 9

Wanneer wordt de volgende monitoringsrapportage van de TU Delft over webhosters naar de Kamer gestuurd?

De volgende rapportage van de TU Delft wordt naar verwachting in het voorjaar van 2022 naar de Kamer gestuurd.

Vraag 10

Op welke wijze worden (vertegenwoordigers van) slachtoffers en ouders betrokken bij de maatregelen om kinderporno tegen te gaan, zoals de doorontwikkeling van monitor van TU Delft?

In de aanpak van online seksueel kindermisbruik wordt intensief samengewerkt met het EOKM. Het EOKM houdt zich bezig met het voorkomen en bestrijden van (online) seksueel misbruik van kinderen. Een programma van het EOKM is HelpWanted.nl, dat als kerntaak heeft het bieden van acute hulp bij (dreigend) online seksueel geweld. Kinderen en jongeren, maar ook ouders, verzorgers, docenten en hulpverleners, kunnen hier onder andere terecht voor advies en informatie bij online seksueel misbruik. Het is goed dat de Motie-Hermans het mogelijk heeft gemaakt om verder te investeren in het EOKM en HelpWanted.nl. Hierover heb ik uw Kamer op 13 oktober jl. reeds geïnformeerd5.
Daarnaast zijn preventie en bewustwording twee belangrijke pijlers in de aanpak van (online) seksueel kindermisbruik. De digitale wereld speelt een grote rol in het onderlinge contact tussen minderjarigen, ook op het gebied van seksualiteit. Dit maakt dat het (onbewust) vervaardigen, delen en verkrijgen van beeldmateriaal door minderjarigen gemakkelijk is, terwijl minderjarigen de risico’s daarvan lang niet altijd overzien. In 2020 is daarom een lesprogramma en een wegwijzer ontwikkeld, om de bewustwording van online risico’s te vergroten en de seksuele weerbaarheid van kinderen te versterken.

Vraag 11

Kunt u de laatste stand van zaken schetsen met betrekking tot het in EU-verband gezamenlijk optreden tegen webhosters die onvoldoende doen om kinderporno te verwijderen?

Zie antwoord 12.

Vraag 12

Wanneer wordt het voorstel van de Europese Commissie om een Europese Autoriteit op te richten al gepubliceerd en kunt u binnen twee weken na publicatie van het voorstel een BNC-fiche over het voorstel met de Kamer delen?

Het aangekondigde wetgevende voorstel van de Europese Commissie voor de aanpak van online seksueel kindermisbruik wordt begin maart 2022 verwacht. Het voorstel zal zich richten zich op de verantwoordelijkheid van aanbieders van onlinediensten en de oprichting van een Europees Centrum ter bestrijding van online seksueel kindermisbruik. Na publicatie van het wetgevende voorstel zal mijn reactie binnen het vastgestelde termijn van 6 weken in een BNC-fiche naar de Tweede Kamer worden verzonden.

Vraag 13

In hoeverre is uw inzet dat een eventueel op te richten Europese Autoriteit – indien u het voorstel van de Europese Commissie positief beoordeelt ten aanzien van subsidiariteit en proportionaliteit – het beste in Nederland kan worden gevestigd?

Ik verwacht dat een Europees centrum om (online) seksueel kindermisbruik te voorkomen en te bestrijden tot verbetering kan leiden. De overweging om dit centrum eventueel in Nederland te vestigen is de beoogde nauwe samenwerking met Europol in Den Haag, waarbij een korte afstand wenselijk is. Daarbij is Nederland een belangrijk internetknooppunt, waardoor het een hoofdrol in de mondiale internetindustrie speelt. Veel betrokken bedrijven zijn in Nederland gevestigd en Nederland heeft reeds een lopende constructieve samenwerking met de internetsector. Ik zie met belangstelling uit naar de uitwerking van het voorstel van de Commissie om te beoordelen of Nederland als vestigingsplaats voor het Europees centrum kan dienen.

Vraag 14

Hoe beoordeelt u de inzet van algoritmen zoals NeuralHash van Apple om kinderpornografisch materiaal eerder te signaleren en wat is de inzet van Nederland in Brussel hierover?

In de strijd tegen deze verschrikkelijke vorm van criminaliteit is het belangrijk dat ook bedrijven hun verantwoordelijkheid nemen. Dit heb ik nogmaals benadrukt op de ministeriële bijeenkomst van het Europees Internetforum op 8 december jl. Het is een hoopvolle ontwikkeling dat een aantal bedrijven deze verantwoordelijkheid serieus neemt en actie onderneemt. Ik heb met Apple gesproken over hun plannen om beeldmateriaal van seksueel kindermisbruik online tegen te gaan. Apple heeft zich aangesloten bij de nationale publiek-private werkgroep tegen online seksueel kindermisbruik. Dit is een goede plek om gezamenlijk een schoner internet te realiseren en van elkaar te leren wat wel en niet werkt. Het is belangrijk dat bij de proactieve maatregelen om beeldmateriaal van seksueel kindermisbruik online te detecteren wordt gezocht naar een goede balans tussen het respecteren van privacy en het beschermen van kinderen.

Vraag 1

Hoe beoordeelt u het feit dat verschillende gemeenten zoals Hof van Twente afgelopen jaren slachtoffer zijn geworden van cyberaanvallen waarbij veel gevoelige persoonsgegevens zijn buitgemaakt?1

Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.

Vraag 2

Hoe beoordeelt u het feit dat uit onderzoek blijkt dat een groot deel van de gemeenten nog geen draaiboek (protocol) heeft in het geval van een digitale aanval? Hoe beoordeelt u het feit dat gemeenten als gevolg hiervan geen kennis en kunde in huis hebben om de benodigde stappen te zetten na een digitale aanval en om de opgelopen schade te mitigeren?2

Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.

Vraag 3

Hoe beoordeelt u het feit dat er wetenschappelijk en maatschappelijk consensus bestaat over de meerwaarde van een cyber protocol/draaiboek in het geval van een digitale aanval waarbij handelingsperspectief kan worden geboden aan organisaties en digitale aanvallen sneller kunnen worden verholpen?

Zie antwoord vraag 2.

Vraag 4

Bent u het met ons eens dat digitale aanvallen nooit honderd procent voorkomen kunnen worden, maar dat het hebben van een cyber protocol/draaiboek indien een aanval zich voordoet wel van essentieel belang is om gemeentes de juiste stappen te laten zetten om zo goed mogelijk om te gaan met digitale aanvallen en om de schade zoveel mogelijk te beperken? Zo ja, bent u het dan ook eens dat het hebben van een cyber protocol/draaiboek een belangrijk hulpmiddel is in het zo goed mogelijk omgaan met digitale aanvallen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Bent u het met ons eens dat het hebben van een cyber protocol/draaiboek als een belangrijk aanvullend instrument kan worden in gezet in een breder pakket van bestaande maatregelen tegen digitale aanvallen? Zo ja, bent u alsnog bereid om de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753) uit te voeren en dus in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) cyber protocollen/draaiboeken op te stellen om gemeentes beter voor te bereiden op digitale aanvallen? Zo nee, waarom niet?

In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.

Vraag 1

Kent u het bericht «Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon»? Wat vindt u van het bericht?1

Ja, ik heb kennisgenomen van dit bericht. Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover gesteld zijn2, zie ik het als de eigen verantwoordelijkheid van mensen om rekening te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd of ongevaccineerd) ga je thuis in isolatie en gebruik je de QR-code niet voor toegang. Als iedereen zich aan deze afspraak houdt, zie ik geen reden om de QR-code in te trekken.
Op dit moment is het (tijdelijk) op afstand intrekken of ongeldig maken van deze coronatoegangsbewijzen (CTB’s) technisch niet mogelijk zonder afbreuk te doen aan de hoge eisen van gegevensbescherming die ik heb gesteld aan de ontwikkeling van het Nederlandse CTB (zowel digitaal in de CoronaCheck-app als ook geprint op papier). Hierbij is een afweging gemaakt in de balans tussen de bescherming van persoonsgegevens en het tegengaan van misbruik. In die afweging heb ik uw Kamer eerder dit jaar meegenomen.3 De CoronaCheck-app is daarom ontwikkeld volgens de principes van privacy- en security by design waarbij verschillende maatregelen zijn getroffen om de privacy van burgers te borgen. Door deze ontwerpkeuzes bevat het CTB te weinig informatie om de QR-code in te trekken. Naar aanleiding van de Motie Den Haan4; «geen Groen vinkje in de CoronaCheck-app na besmetting» zal ik u binnenkort nader berichten over de keuzes die te maken zijn. Daarbij geef ik u alvast het volgende mee.
Allereerst moet er onderscheid gemaakt worden tussen papieren bewijzen en bewijzen in de app. Het zonder meer intrekken van papieren bewijzen op afstand kan niet, ze kunnen immers niet worden weggenomen of vernietigd. Wel kan worden gedacht aan het controleren aan de deur of een eerder afgegeven papieren bewijs op dat moment geldig is. Dat vergt een publiek beschikbare zwarte lijst van positief geteste mensen die kan worden gekoppeld aan papieren bewijzen. De huidige papieren bewijzen zijn daarvoor niet geschikt. De al meer dan 600.000 per post uitgegeven papieren bewijzen en alle daarnaast door mensen zelf afgedrukte bewijzen zouden allemaal moeten worden ingetrokken (en opnieuw aangevraagd). Ze zouden daarbij zo moeten worden gemaakt dat ze direct te koppelen worden aan individuele personen, om de relatie te leggen tussen een positief getest persoon en een specifiek bewijs teneinde dit bewijs op een lijst van besmette personen te kunnen plaatsen. Het opstellen van een dergelijke lijst heeft als risico dat door iedereen met een scanner-app kan worden vastgesteld dat mensen positief getest zijn of zijn geweest. Daarbij bestaat het risico dat een dergelijke lijst wordt gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Bewijzen in de app zouden wellicht wel technisch kunnen worden ingetrokken. Een mogelijke werkwijze daarbij kan zijn dat mensen verplicht worden om (bijvoorbeeld elke dag) met DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook dit brengt allerlei risico’s met zich mee. Het leidt tot hoge kosten (voor onder meer dagelijks gebruik van DigiD), overbelasting van systemen omdat dit aantal inlogpogingen niet ondersteund kan worden en sluit heel veel mensen uit (zoals de groep mensen die niet beschikt over DigiD of een Burgerservicenummer).
Zoals gezegd zal ik uw Kamer nader informeren naar aanleiding van genoemde motie. Ter voorbereiding daarvan wordt de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 om advies gevraagd. Aan de Begeleidingscommissie is de vraag gesteld of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij de ontwikkeling. Hierbij maak ik graag gebruik van alle expertise van de Begeleidingscommissie, waaronder op het gebied van ethiek, gedragswetenschappen, privacy en informatieveiligheid en morele aspecten.

Vraag 2

Bent u het eens dat het volstrekt onverantwoord is om als positief geteste persoon een eerder verkregen QR-code te gebruiken om toegang te krijgen tot activiteiten met een coronatoegangsbewijs? Zo nee, waarom niet? Zo ja, waarom bent u dan niet bereid om dit probleem op te lossen?

Zie antwoord vraag 1.

Vraag 3

Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van mij, over het bericht «Fraudeurs houden toch groen vinkje»?2

Ja.

Vraag 4

Waarom is het, zoals wordt vermeld in uw antwoorden, blijkbaar wel mogelijk QR-codes te blokkeren als gevolg van fraude met het online verspreiden van QR-codes van coronatoegangsbewijzen waarmee andere personen deze QR-codes kunnen gebruiken om toegang te krijgen, maar is het niet mogelijk om QR-codes te blokkeren van mensen die positief zijn getest?

Onlangs is gebleken dat CTB’s en buitenlandse DCC’s worden gekopieerd en via het internet beschikbaar worden gesteld om door anderen te worden gebruikt voor binnenlandse toegang. Dit gebeurt vooral met bewijzen die op papier zijn uitgegeven. Deze QR-code is statisch, anders dan een QR-code die in de CoronaCheck-app wordt gemaakt en elke minuut wordt ververst. Zodra wordt geconstateerd dat een CTB of DCC met anderen wordt gedeeld, kan deze worden geblokkeerd. Gedupeerden van fraude of misbruik kunnen op de gebruikelijke wijze een nieuw CTB aanmaken en daarmee opnieuw toegang verkrijgen tot activiteiten en voorzieningen.
Omdat voor zover het gaat om papieren QR-codes, de codes van mensen die positief getest zijn niet door hen of anderen gepubliceerd zijn, kunnen deze niet op dezelfde wijze worden geblokkeerd.

Vraag 5

Wat zijn de verschillen in de apps voor coronatoegangsbewijzen in Nederland en België, aangezien het in België wel mogelijk is om de QR-code van een positief geteste persoon tijdelijk te blokkeren? Welke andere landen kunnen QR-codes van positief geteste personen tijdelijk blokkeren?

In een Nederlands CTB zijn – zoals toegelicht in het antwoord op vraag 1 en 2 – nauwelijks gegevens opgenomen, waardoor het intrekken of ongeldig maken van de QR-code in de CoronaCheck app op dit moment onmogelijk is. Dit in tegenstelling tot de internationale QR-code die meer gegevens bevat. Het is aan een land zelf om te bepalen of en hoe invulling wordt gegeven aan coronabewijzen voor binnenlands gebruik. In sommige Europese landen zoals België wordt alleen gebruik gemaakt van het DCC, in andere landen is een eigen CTB-equivalent ontwikkeld. Hierdoor kan het zijn dat de QR-code in een ander land – zoals België – door andere ontwerpkeuzes wel herleidbaar is naar een specifiek persoon en dus kan worden ingetrokken door deze op een lijst te plaatsen. De Belgische Gegevensbeschermingsautoriteit doet nu onderzoek naar een mogelijk datalek bij een versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Uit navraag begin oktober is bekend dat het op dit moment in Letland, Frankrijk, België en Liechtenstein mogelijk is om vaccinatiebewijzen tijdelijk in te trekken in het geval van een positief testresultaat.

Vraag 6

Wat is er nodig om QR-codes van positief geteste personen alsnog tijdelijk te kunnen blokkeren?

Zie het antwoord op vraag 2.

Vraag 7

Bent u bereid om alsnog de QR-code te blokkeren van mensen die positief getest zijn op het coronavirus? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 8

In hoeverre is het strafbaar om met een onterecht coronatoegangsbewijs en dus met een positieve coronatest naar activiteiten toe te gaan waar een coronatoegangsbewijs nodig is?

Wanneer iemand, ondanks een positieve coronatest, een legaal CTB gebruikt om toegang te krijgen tot een CTB-plichtige activiteit, dan is dat in de eerste plaats zeer onverantwoordelijk handelen van deze persoon. Dergelijk onverantwoordelijk handelen kan een gevaar vormen voor anderen en kan afhankelijk van de specifieke omstandigheden in sommige gevallen mogelijk als strafbaar worden beschouwd.

Vraag 9

Welk gezondheidsadvies krijgen mensen die positief getest zijn op het coronavirus, maar ook gevaccineerd zijn? Wordt bij een positief getest persoon gemeld dat het tijdelijk niet bedoeling is dat een verkregen QR-code gebruikt wordt?

Vanaf het begin van de coronapandemie is het dringende advies om bij klachten thuis te blijven, je te laten testen en als je weet dat je corona hebt in quarantaine te gaan. Dit wordt op alle mogelijke manieren uitgedragen. Als je gevaccineerd bent en klachten hebt of positief bent getest, geldt dit ook. Wanneer iemand positief test, dan neemt de GGD contact met diegene op voor het bron- en contactonderzoek. De medewerker van de GGD zal tijdens dit gesprek de informatie verschaffen die is opgesteld door het landelijk centrum infectieziektebestrijding (LCI) van het RIVM.6

Vraag 1

Bent u bekend met het bericht ««Hoe China met de Nederlandse politie meekijkt»»?1

Ja.

Vraag 2

Klopt het dat de Nederlandse politie drones van het Chinese bedrijf Da Jiang Innovations (DJI) inzet? Zo ja, voor welke taken precies? Waarom is er gekozen voor drones van dit bedrijf?

Ja. De politie heeft bij de aanschaf van de drones, via een security check, een bewuste afweging gemaakt om de drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.
De politie besteedt structureel aandacht aan de bescherming en beveiliging van gegevens en veilige inkoop. De drones zijn aangeschaft via wettelijk voorgeschreven inkoopprocedures op grond van de Aanbestedingswet 2012. De Aanbestedingswet 2012 biedt een aantal wettelijke gronden om een inschrijver uit te sluiten. Gezien het doel van de inzet van de drones was er geen reden om een beroep te doen op een van de uitsluitingsgronden. De Aanbestedingswet schrijft voor dat als er meerdere partijen zijn die voldoen aan de gestelde eisen, er moet worden gekozen voor de biedende partij met de beste prijs-kwaliteitverhouding.

Vraag 3

Is de aanschaf en het gebruik van drones van Da Jiang Innovations door de politie voorafgegaan door een risico- en veiligheidsanalyse? Zo ja, zijn daarbij (digitale) veiligheids- en privacyexperts geraadpleegd over het verzamelen van persoonsgegevens? Zo nee, waarom niet?

Zoals gezegd heeft de politie bij de aanschaf van de drones een security check uitgevoerd. Daarnaast is tijdens de projectfase een gegevensbeschermingseffectbeoordeling (GEB) gedaan. Uit deze beoordeling is niet gebleken dat er sprake is van verwerking van gegevens met een hoog risico. Er wordt alleen beeldmateriaal vastgelegd, dat versleuteld wordt verzonden. Niet kan worden uitgesloten dat deze beelden, ondanks de vastgelegde schriftelijke afspraken met de leverancier, toch bij DJI en/of Chinese overheid terecht komen, omdat DJI ook (naast de politie zelf) in het bezit is van de sleutel. Om deze reden heeft de politie mitigerende maatregelen genomen. Zo worden voor operaties waar vertrouwelijkheid gegevens worden verwerkt geen DJI-producten ingezet, maar andere vormen van luchtsteun.

Vraag 4

Klopt het dat de Nederlandse inlichtingendiensten hebben geconstateerd dat China een offensief cyberprogramma heeft tegen de Nederlandse nationale belangen? Hoe beoordeelt u het gebruik van drones van Da Jiang Innovations in dat licht? Deelt u de mening dat het onwenselijk is om voor politiewerk afhankelijk te zijn van Chinese hardware/IT-producten?

In openbare stukken zoals de jaarverslagen van de AIVD en de MIVD en het Dreigingsbeeld Statelijke Actoren (2021) geven de inlichtingen- en veiligheidsdiensten en de NCTV aan dat China één van de staten is waarvan is onderkend dat ze een offensief cyberprogramma hebben dat gericht is tegen Nederlandse belangen. De Chinese overheid gebruikt cyberoperaties om inlichtingen te verzamelen ter ondersteuning van haar economische, militaire en politieke doelstellingen.
In het algemeen geldt dat het afhangt van het inzetdoel of het gebruik van een bepaalde technologie veilig (genoeg) is en of eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat genomen maatregelen proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. De politie en Rijswaterstaat hebben beide een dergelijke analyse gemaakt voordat tot de aanschaf van de drones is over gegaan. Daarnaast is door de politie de afweging gemaakt de drones niet in te zetten voor processen waarbij het gaat om vertrouwelijke informatie.

Vraag 5

Klopt het dat Chinese bedrijven volgens de Chinese wet verplicht zijn om data af te staan aan hun overheid? Deelt u de mening dat het uit veiligheidsoogpunt zeer onwenselijk is dat er door de Nederlandse overheid IT-producten worden afgenomen bij een bedrijf dat data deelt met de Chinese overheid?

In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven. China kent daarnaast wetgeving die (buitenlandse) bedrijven dwingt om gegevens te delen met de overheid. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans».2
Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA)3 beschreven, is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren. Wel bestaat het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.4 Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Als hulpmiddel bij het uitvoeren van een dergelijke risicoanalyse en het nemen van eventuele mitigerende maatrelen is eind 2018 instrumentarium ontwikkeld dat organisaties helpt bij het meewegen van nationale veiligheidsrisico’s bij de inkoop- en aanbesteding van producten en diensten. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s.
De DJI-drones die Rijkswaterstaat op dit moment gebruikt zijn in 2017 aangeschaft ten behoeve van een pilot. Het genoemde instrumentarium was toen nog niet beschikbaar. Voor de politie geldt dat toen de inkoop startte, dit instrumentarium nog niet was geïmplementeerd in de inkoopprocedures. Ook achteraf gezien – wanneer het genoemde instrumentarium wel zou zijn gebruikt – zou de uitkomst van het inkoopproces niet anders zijn geweest. Rijkswaterstaat en de politie verwerken immers geen vertrouwelijke gegevens met de DJI-drones.
Rijkswaterstaat en de politie maken voor de lopende en toekomstige aanbestedingen met een mogelijk risico voor de nationale veiligheid wel gebruik van het instrumentarium.

Vraag 6

Wordt er bij het inzetten van drones van Da Jiang Innovations door de politie gebruikgemaakt van eigen software of gebruikt de politie DJI-bedrijfssoftware? Bent u op de hoogte van de veiligheidsrisico’s van het gebruik van DJI-software? Gebruikt de politie speciale overheidsdrones?

De politie gebruikt de besturingssoftware van DJI, maar er wordt geen gebruik gemaakt van de DJI-besturingsapp. De politie gebruikt geen speciale overheidsdrones. Voor het overige verwijs ik naar het antwoord op vragen 5 en 7.

Vraag 7

Bent u bereid om preventieve maatregelen te nemen die de risico’s op Chinese spionage beperken? Bent u bereid hiervoor onderzoek te laten doen naar het gebruik door de politie van drones van Da Jiang Innovations? Zo nee, waarom niet?

Zoals ook in de beantwoording van vraag 5 omschreven, bestaat het risico dat met technologische toeleveringen digitale spionage- en sabotagemogelijkheden toenemen.
Risico’s voor de nationale veiligheid kunnen met name ontstaan wanneer deze technologie de Nederlandse vitale infrastructuur raakt, of wanneer deze technologie raakt aan gevoelige kennis en informatie. Zoals gezegd is dit in het geval van de politie niet het geval. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers uit bepaalde landen die via nationale wet- en regelgeving gedwongen kunnen worden tot medewerking aan inlichtingenactiviteiten. De risico’s voor de nationale veiligheid worden verder vergroot als het landen betreft die een offensief cyberprogramma voeren tegen de Nederlandse belangen en wanneer (technische) mogelijkheden om risico’s te adresseren niet voorhanden zijn.
Bij elke casus moet worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
Ik zie, gezien de stappen die de politie al heeft gezet, geen aanleiding om een onderzoek in te stellen.

Vraag 8

Hoe beschouwt u het feit dat Defensie vanwege veiligheidsrisico’s reeds geen gebruik meer maakt van DJI-drones? Hoe beschouwt u in dat licht het gebruik van DJI-producten door de politie?

Het hangt af van het inzetdoel of een bepaald type drone veilig (genoeg) is. Het uitgangspunt is dat eventuele risico’s per casus in kaart moeten worden gebracht. Defensie heeft besloten om geen gebruik meer te maken van Chinese drones voor operationele taken, maar wel voor luchtopnames van trainingen of evenementen. Defensie heeft daarin haar eigen afweging gemaakt.
Bij de aanschaf van de drones heeft de politie, via een security check, een bewuste afweging gemaakt om drones niet voor gevoelige operaties, maar alleen voor reguliere processen in te zetten. Dat wil zeggen: wel voor forensische opsporing, verkeersongevallenanalyse en openbare orde en veiligheid, maar niet operaties waarbij vertrouwelijke informatie wordt verwerkt.

Vraag 9

Bent u bekend met het feit dat drones van DJI sinds 2020 niet meer gebruikt worden door de Verenigde Staten vanwege veiligheidszorgen en dat Japan dit overweegt? Hoe beoordeelt u dit? Heeft u hierover contact gehad met de VS en Japan? Zo nee, bent u bereid hierover contact op te nemen?

Nederland is eind 2020 door de VS geïnformeerd dat DJI op de entity list van het Bureau of Industrial Security van het Department of Commerce is geplaatst. In de publiekelijk beschikbare listing geven de VS aan dat zij DJI zien als een mogelijk risico voor de Amerikaanse buitenlandse politieke belangen.5 Hierbij wijzen zij op de rol van o.a. DJI bij het mogelijk maken van mensenrechtenschendingen in China door hoogtechnologische surveillance en het exporteren van deze technologie naar derde landen waar repressieve regimes aan de macht zijn.
Japan verbiedt geen producten van specifieke landen of bedrijven maar heeft aanbestedingsrichtlijnen opgesteld voor gebruik van IT-producten door overheidsinstanties. Wanneer deze worden ingezet voor publieke veiligheid en orde, kritieke infrastructuur en het uitvoeren van reddingsacties, dient de Japanse overheid mogelijke risico’s in kaart te brengen. Sinds april 2021 vallen drones ook binnen deze richtlijnen. Nadien zijn drones die als «hoog risico» worden aangemerkt zo snel mogelijk vervangen. Ook worden maatregelen getroffen om dataveiligheid van drones te garanderen.
Nederland ziet het gebruik van Chinese technologie niet als absoluut risico. Het inzetdoel van de technologie en de mogelijkheid om mitigerende maatregelen te treffen zijn bepalend of het verantwoord is om gebruik te maken van een bepaalde technologie.

Vraag 10

Is er binnen de NAVO of de EU gesproken over de veiligheid van het gebruik van deze drones? Gebruiken NAVO-bondgenoten en EU-lidstaten deze drones voor politie-, militaire of andere doeleinden?

Overwegingen rondom de veiligheid van het gebruik van dit type drones is een nationale aangelegenheid waarover in NAVO-verband niet wordt gesproken. Ook in EU-verband is niet gesproken over het gebruik van dit type drones. Het is het kabinet niet bekend welke andere NAVO-bondgenoten en EU-lidstaten deze drones gebruiken. NAVO zelf beschikt in ieder geval niet over dit type drones.

Vraag 11

Zijn er Europese landen die drones van een bedrijf uit een EU-lidstaat of OESO-land inzetten voor vergelijkbare taken als waar de Nederlandse politie de DJI-drones voor inzet? Zo ja, kunt u aangeven welke landen dit zijn en uit welke landen de bedrijven komen die ook drones in deze categorie produceren?

Het is het kabinet niet bekend welke drones er in andere Europese landen worden gebruikt.

Vraag 12

Hoe beoordeelt u het risico dat China de data van drones gebruikt voor het analyseren van Nederlandse (vitale) infrastructuur? Deelt u de inschatting van experts dat deze informatie zeer interessant is voor China?

Zoals gezegd worden de drones door de politie niet ingezet bij processen waarbij het gaat om vertrouwelijke informatie of vitale infrastructuur.
Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari jl. de laatste stand van zaken heeft ontvangen.6
Zoals ook in mijn antwoord op vraag 4 gegeven moet bij elke casus worden bezien hoe eventuele risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Uitgangspunt is dat maatregelen die hiertoe genomen worden proportioneel zijn. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid. Verder verwijs ik u graag naar het antwoord op vraag 7.

Vraag 13

Ziet u een gevaar van het gebruik van DJI-drones voor bijvoorbeeld Oeigoeren in Nederland, gezien het feit dat China gezichtsherkenningssoftware gebruikt om Oeigoeren te onderdrukken en ook de diaspora in Nederland onder druk zet?

Er zijn voor zover mij bekend momenteel geen aanwijzingen dat China de DJI-drones kan en zal gebruiken om bepaalde minderheidsgroepen in Nederland te monitoren. Mocht dit in de (nabije) toekomst wel het geval zijn, dan is er naar het oordeel van het kabinet sprake van ongewenste buitenlandse inmenging en heeft het kabinet verschillende instrumenten tot haar beschikking, zoals uiteengezet in de brief van 16 maart 2018 over de aanpak ongewenste buitenlandse inmenging.7
De politie kan tijdens demonstraties DJI-drones inzetten ten behoeve van de handhaving van de openbare orde en veiligheid. Tot op heden heeft de politie drones ingezet tijdens Coronaprotesten, Black Lives Matter-demonstraties, boerenprotesten en het Woonprotest in Rotterdam. In het kader van de mitigerende maatregelen rondom het gebruik van Chinese drones heeft de korpsleiding van de politie besloten om bij bijvoorbeeld demonstraties voor de rechten van Oeigoeren andere luchtsteunmiddelen te gebruiken, bijvoorbeeld een helikopter of een militaire drone.

Vraag 14

Heeft u in algemene zin diplomatiek contact met China over de dataveiligheid van Chinese technologie voor Nederlandse gebruikers? Zo ja, wat is hierbij de Nederlandse inzet?

Ja, Nederland spreekt in verschillende verbanden, waaronder binnen de VN, met China over dataveiligheid. Centraal hierbij staat de bescherming van privacy, zoals de naleving van de Algemene Verordening Gegevensbescherming (AVG), bescherming van mensenrechten en het tegengaan van ongepaste toegang van overheden tot datagegevens. Zoals aangegeven in de notitie «Nederland-China: Een nieuwe balans» staat het kabinet achter striktere handhaving en sterker uitdragen van bestaande standaarden en normen, zoals de Europese regelgeving op het gebied van data, privacy en productveiligheid. Wat Nederland betreft dient China zich eveneens aan deze afspraken te conformeren.

Vraag 1

Heeft u kennis genomen van het artikel «Gigabytes aan data van asielzoekers doorzocht: geen terrorist gevonden» waarin staat beschreven dat de Nederlandse politie met proefproject Athene op grote schaal onrechtmatig data verzamelde van asielzoekers?1

Vraag 2

Hoe reageert u op de stelling van criminoloog Maarten Bolhuis in het artikel dat Athene het risico van etnisch profileren in de hand werkte omdat er voor het daadwerkelijk analyseren van al deze data risico-indicatoren ontwikkeld dienen te worden?

Vraag 3

Bent u het eens met de stelling in het artikel dat het project niet alleen privacy van asielzoekers op grote schaal heeft geschonden, maar daarnaast ook uiterst inefficiënt is in het opsporen van potentiële misdadigers en terroristen? En bent u het eens dat dit soort dataverzamelingsprojecten bij asielzoekers te allen tijden voorkomen moeten worden? Kunt u dit verder toelichten?

Vraag 4

Welke maatregelen heeft u getroffen om de gemaakte fouten in Athene bij de politie te corrigeren? Zijn de gegevens gewist? Worden disciplinerende maatregelen opgelegd?

Vraag 5

Op welke wijze worden of zijn gedupeerde asielzoekers op de hoogte gesteld en gecompenseerd voor de onrechtmatige verzameling en verwerking van hun gegevens?

Vraag 6

Gaat u openheid geven van de in het Athene gebruikte zoekmodellen en eventueel gebruikte profielen, in het kader van transparantie van algoritmes in gebruik bij de overheid? Zo ja, wanneer en hoe? Zo nee, waarom niet?

Vraag 7

Welke middelen gaat u inzetten om onrechtmatige verwerking van gegevens tegen te gaan bij asielzoekers?

Vraag 8

Welke middelen gaat u inzetten die transparantie, mensenrechten en privacy bevorderen bij het gebruik van algoritmen en dataverwerking door de politie en het ministerie in brede zin?

Vraag 1

Bent u bekend met het bericht «Snel internet toch weer in beeld»?1

Vraag 2

Deelt u de mening dat het voor zowel particulieren als bedrijven, zoals in de glastuinbouwsector, van groot belang is dat zij ook in het buitengebied kunnen beschikken over glasvezel, vanwege de toenemende afhankelijkheid van digitalisering en van snelle, betrouwbare internetverbindingen voor bijvoorbeeld thuiswerken en online zakendoen?

Vraag 3

Wat is de huidige stand van zaken met betrekking tot de aanleg van glasvezel in het Westland? Kunt u de ontwikkelingen schetsen vanaf het moment dat aanbieder Delta Fiber aangaf zich te willen terugtrekken uit het samenwerkingsverband met de gemeente Westland (december 2020)?

Vraag 4

Is het juist dat hoge kosten, als gevolg van de complexiteit van het gebied (met veel dijken, smalle bermen en sloten) de aanleg van glasvezel in het Westland in de weg staat? In hoeverre spelen nog andere factoren mee?

Vraag 5

Deelt u de mening dat digitalisering, waaronder het kunnen beschikken over snel internet, een maatschappelijk belang is, wat overheidsingrijpen rechtvaardigt indien sprake is van marktfalen?

Vraag 6

Wat kunt u voor de inwoners en ondernemers in het Westland en van andere moeilijk te verglazen gebieden in Nederland, waar niet tot een sluitende business case kan worden gekomen, betekenen om de aanleg van glasvezel daar alsnog mogelijk te maken? Bent u bereid hiertoe contact op te nemen met de betreffende gemeentes?

Vraag 7

Welke nationale en Europese mogelijkheden zijn er voor investeringen in glasvezel, met name in moeilijk te verglazen gebieden? Hoe maakt Nederland hier gebruik van? Welke rol kunnen de middelen uit het Recovery and Resilience Facility (RRF) hierbij spelen?

Vraag 8

Welke aanbevelingen geeft u aan het nieuwe kabinet mee om invulling te geven aan de inzet Nederland wordt het digitale knooppunt van Europa en krijgt robuust, supersnel en veilig internet in alle delen van het land. uit het onlangs gepresenteerde coalitieakkoord «Omzien naar elkaar, vooruitkijken naar de toekomst»?

Vraag 1

Hoe gaat u uitvoering geven aan de aangenomen motie Koffeman (Partij voor de Dieren) (Kamerstuk 35 925 XIV, H) die de regering vraagt om de verkoop van grond voor (hyperscale) datacenters op te schorten?1

Vraag 2

Bent u bereid om ook andere partijen dan het Rijksvastgoedbedrijf te vragen (tijdelijk) geen grond te verkopen voor de aanleg van nieuwe datacenters?

Vraag 3

Waarom leek het u verstandig de afgelopen jaren een industrie naar Nederland te lokken die a) veel energie verbruikt en b) veel ruimte nodig heeft, terwijl Nederland a) een tekort heeft aan duurzame energie en b) een gebrek heeft aan ruimte om te bouwen?

Vraag 4

Waarom voelen datacenters zich zo sterk aangetrokken tot Nederland? En op welke wijze is er (financieel/fiscaal) beleid gemaakt om datacenters extra te verleiden naar Nederland te komen? Kunt u in uw antwoord ook ingaan op de rol van de energiebelasting en netwerktariefkosten?2

Vraag 5

Kunt u bevestigen dat Nederland al decennia notoir slecht scoort in Europa op het gebied van duurzame energie?

Vraag 6

Kunt u bevestigen dat in de Nationale Omgevingsvisie valt te lezen dat datacenters zich kunnen vestigen op locaties waar veel aanbod is van duurzame energie? Betekent het gegeven dat er nergens in Nederland voldoende duurzame energie is daarmee ook dat er geen ruimte is voor nieuwe datacenters?

Vraag 7

Wat is het effect van het aantrekken van dit soort – absoluut gezien – energieslurpers op het draagvlak voor de energietransitie?

Vraag 8

Wat is het effect van de komst van datacenters op de haalbaarheid van de energiedoelen? Kunt u in uw reactie niet alleen ingaan op de extra vraag naar energie die datacenters met zich meebrengen, maar vooral ook op het risico dat het kabinet zijn energiedoelen niet haalt als de vraag naar energie toeneemt?

Vraag 9

Welke rol spelen de lage energiebelasting en netwerktariefkosten die Nederland aanbiedt in de businessplannen van dit soort bedrijven?

Vraag 10

Hoe zijn de netwerktariefkosten verdeeld over consumenten, het midden- en kleinbedrijf, en grootverbruikers (zoals datacenters en hyperscale datacenters)? Klopt het dat grootverbruikers relatief veel minder betalen en consumenten relatief veel meer? Kunt u een overzicht geven waaruit duidelijk wordt wie wat betaalt?

Vraag 11

Klopt het dat met de Wijziging van de Energiewet 1998 in 2013 grootverbruikers financieel nog verder worden beloond met lage netwerktariefkosten? Wie draaien er dan voor die kosten op?

Vraag 12

Waarom wordt er in Nederland niet betaald naar de mate waarin een verbruiker het net belast? Is dat eerlijk/rechtvaardig naar uw mening?

Vraag 13

Hoe staat het met het voornemen om een norm voor de energiebesparing in te stellen voor datacenters?

Vraag 14

Klopt het dat reguliere datacenters in Nederland al 550.000m2 in beslag namen? Klopt het dat de twee hyperscale datacenters nog eens 213.000m2 in beslag namen? Kunt u een actualisatie van die cijfers geven aangezien de laatste cijfers uit 2018 lijken te komen?3

Vraag 15

Klopt het dat de sector (en daarmee ook het ruimtegebruik) de afgelopen tien jaar gemiddeld met 10% is gegroeid?

Vraag 16

Kunt u aangeven wat de verwachtte groei is in ruimtegebruik, aangezien u stelt dat de sector over tien jaar twintig keer de omvang kan hebben die het in 2020 had?

Vraag 17

Waar in Nederland denkt u dat die ruimte te vinden is? Vindt u het wenselijk dat schaarse ruimte die nodig is voor natuurontwikkeling en woningbouw om iedereen een dak boven het hoofd te kunnen bieden in beslag wordt genomen door datacenters?

Vraag 18

Kunt u aangeven waar de 20 tot 25 datacenters die in aantocht zijn, geplaatst zullen worden? Is er al contact, formeel of informeel, om te bekijken waar deze zullen komen en wie is daarbij betrokken?4 Welke functies hebben de mogelijke locaties waar momenteel aan wordt gedacht?

Vraag 19

Waarom wordt geschermd met werkgelegenheidseffecten terwijl reeds bekend is dat, bezien per m2, een datacenter een van de functies is die het minste werkgelegenheid biedt?5

Vraag 20

Welke activiteiten vinden plaats op, of welke functie heeft de grond, die momenteel in handen is van het Rijksvastgoedbedrijf (RVB), maar die in de toekomst mogelijk verkocht wordt aan Meta (moederbedrijf van Facebook)?

Vraag 21

Klopt het dat er een milieueffectrapportage zal worden vereist voor de oprichting van het datacenter in Zeewolde?

Vraag 22

Erkent u dat de grond in Flevoland zeer jong is en bekend staat als de meest vruchtbare grond van Nederland en wellicht zelfs van Europa, waardoor het uiterst geschikt is voor biologische, plantaardige voedselproductie?6 Waarom kiest u ervoor om deze grond op te geven voor de bouw van een datacenter?

Vraag 23

Is er al een plan waar het water (drink-, oppervlakte-, of grondwater) vandaan gaat komen om het datacenter in te koelen? Zo nee, wanneer zal dit duidelijk worden? Zo ja, waar zal het water vandaan komen en wat is momenteel de functie van dat water?

Vraag 24

Hoeveel water is er maximaal en minimaal nodig voor de koeling van het datacenter?

Vraag 25

Klopt het dat het drinkwaterbedrijf een aansluitplicht heeft wanneer het datacenter daarom vraagt, ook al betreft het levering van drinkwaterkwaliteit voor koeling?

Vraag 26

Zal het koelwater worden geloosd? Zo ja, waar? En is er sprake van het gebruik van additieven in het koelwater? Kunt u aangeven op welke wijze eisen gesteld zouden kunnen worden aan koelsystemen?

Vraag 27

Wat is het effect van de recente uitspraak van de Hoge Raad die oordeelde dat de overheid percelen niet exclusief aan één partij mag verkopen?

Vraag 28

Klopt het dat Facebook (of Meta) druk heeft uitgeoefend om een locatie geregeld te krijgen?

Vraag 29

Klopt het dat uw voorganger Minister Wiebes destijds een brief «bestelde» bij de gemeente Zeewolde en de provincie Flevoland, waarin ze moesten vragen om een datacenter om daarmee te kunnen pretenderen dat hier lokaal vraag naar was?7 Wat vindt u van die gang van zaken?

Vraag 30

Wat is, naar uw mening, de betekenis van de erkenning in het coalitieakkoord dat hyperscale datacentra een onevenredig groot beslag leggen op de beschikbare duurzame energie en beschikbare ruimte in verhouding tot de maatschappelijke en/of economische meerwaarde?

Vraag 31

Betekent dit dat de komst van hyperscale datacenters momenteel ten koste gaat van de brede welvaart? Betekent dit ook dat het kabinet hyperscale datacenters gaat weren?

Vraag 32

Wat is, naar uw mening, de betekenis van de erkenning in het coalitieakkoord dat verdozing moet worden tegengegaan? Wat is het effect daarvan op de visie voor datacenters?

Vraag 33

Heeft het stukje over hyperscale datacenters in het coalitieakkoord betrekking op de mogelijke komst van de 20 tot 25 datacenters? Zo nee, waarom niet? Zo ja, hoe gaat u voorkomen dat ze toch naar Nederland komen?

Vraag 34

Wat wordt er precies bedoeld met deze zin in het coalitieakkoord over hyperscale datacenters: «Daarom scherpen we de landelijke regie en de toelatingscriteria bij de vergunningverlening hiervoor aan»?

Vraag 35

Op welke manieren kunt u datacenters nog meer weren? Welk effect zou het stoppen met de verlaagde energiebelasting en netwerktariefkosten hebben op de aantrekkingskracht die Nederland uitoefent op datacenters? Welke activiteiten vinden plaats op, of welke functie heeft de grond, die momenteel in handen is van het RVB, maar die mogelijk verkocht wordt aan Meta?

Vraag 36

Is u bekend waarom in het coalitieakkoord alleen gesproken wordt over hyperscale datacenters? Is naar uw mening één grote ruimte en energieverbruiker wezenlijk anders dan drie wat kleinere die netto dezelfde ruimte en energie verbruiken?

Vraag 37

Op welke wijze gaat het kabinet in de toekomst om met het vraagstuk van welke bedrijvigheid men wil aantrekken, aangezien het niet logisch is om in een land met schaarse grond en een tekort aan duurzame energie industrieën aan te trekken die ruimte- en energie-intensief zijn?

Vraag 38

Deelt u de mening dat het niet langer verstandig is om telkens maar nieuwe industrieën aan te trekken en bestaande industrieën in de benen te houden, zonder een visie over welke industrie past bij een duurzame samenleving en wat het betekent voor de brede welvaart?

Vraag 1

Kunt u aangeven aan welke regels en voorwaarden algoritmes moeten voldoen als deze gebruikt worden door decentrale overheden en andere overheidsinstanties?1

Vraag 2

Voldoet volgens u het gebruikte algoritme in de gemeente Rotterdam aan deze voorwaarden? Zo ja, waarom?

Vraag 3

Bent u bereid onderzoek te doen naar de vraag in welke gemeenten en provincies soortgelijke algoritmes worden gebruikt, en met welk doel? Zo nee, waarom niet?

Vraag 4

Welke bedrijven of instanties ontwikkelen dergelijke algoritmes voor overheidsinstanties en worden deze ontwikkelaars actief aanbevolen door bijvoorbeeld de VNG, de landelijke overheid of door andere belanghebbenden? Zo ja, welke ontwikkelaars zijn dit?

Vraag 5

Op welke manieren wordt er door gemeenten of andere overheden getoetst of het gebruik van een dergelijk algoritme de meest proportionele maatregel is ten aanzien van andere maatregelen? Is een dergelijke toetsing verplicht? Zo nee, waarom niet?

Vraag 6

Vindt u het begrijpelijk dat mensen met een uitkering zich automatisch verdacht voelen als ze lezen dat gemeenten gesprekken met bijstandsgerechtigden standaard filmen, verregaande algoritmes ingezet worden om uitkeringsfraude op te sporen, en drones en camera’s worden gebruikt om mensen thuis te controleren op bijstandsfraude? Zo nee, waarom niet?2 3

Vraag 7

In de beantwoording van eerdere schriftelijke vragen zegt u: «De camera had geen invloed op het gesprek of de strekking van het gesprek en het al dan niet verstrekken van de uitkering.», kunt u bevestigen dat mensen die weigerden deel te nemen aan een gesprek omdat zij gefilmd werden, om die reden een uitkering is ontzegd of is verminderd? Zo nee, waarom niet?

Vraag 8

In diezelfde beantwoording stelt u dat er geen onderscheid gemaakt werd naar de aard van het gesprek of de doelgroep waarbij camera’s werden ingezet, terwijl de gemeente in antwoord op vragen aangeeft dat dit bij gesprekken gebeurde «waarbij een verhoogd risico bestaat op fysiek of verbaal geweld». Wat waren daar de selectiecriteria voor, los van eerdere geweldsincidenten die hebben plaatsgevonden met een individu? Vindt u deze selectiecriteria passend?4

Vraag 9

Is er een verplichting voor gemeenten en andere (decentrale) overheden om mensen op de hoogte te stellen dat zij onderwerp zijn van een fraudeonderzoek op basis van een resultaat van een algoritme? Zo nee, waarom niet?

Vraag 10

In hoeverre zijn mensen vrij om te weigeren dat zij zonder individuele aanleiding worden gefilmd, zonder dat dit nadelige gevolgen heeft voor de aanvraag van een uitkering of andere voorziening?

Vraag 11

Wanneer vindt u het gerechtvaardigd dat gemeenten of andere decentrale overheden algoritmes gebruiken gebaseerd op kenmerken als woonplaats, leeftijd, geslacht, levensovertuiging, burgerlijke staat of etnische achtergrond?

Vraag 1

Bent u bekend met het bericht «Banken en overheden zetten software af uit angst voor hacks»?1

Vraag 2

Kunt u een inschatting maken wat tot nu toe de schade is als gevolg van het lek bij Apache log4j? Wat is de schatting voor de komende weken?

Vraag 3

Hoeveel gevallen zijn er al bekend waarbij criminele hackers Nederlandse organisaties aanvallen als gevolg van het lek bij Apache log4j? Met welk doel worden de betreffende organisaties aangevallen? Om welke organisaties gaat het en wat zijn de gevolgen van deze hacks?

Vraag 4

In hoeverre zijn organisaties en (vitale) bedrijven die mogelijk gebruik maken van Apache log4j van dit lek op de hoogte? Wat is de rol van het Nationaal Cyber Security Centrum (NCSC) en het Digital Trust Center (DTC) hierin? Hebben zij een regierol hier? Zo ja, wat hebben zij tot nu toe gedaan om de risico’s van dit grootschalige lek te mitigeren? Hoe is de IT-informatiesessie van 15 december jl. bevallen?

Vraag 5

In hoeverre zijn organisaties ervan op de hoogte dat er een update van Apache log4j beschikbaar is en dat ze deze update moeten uitvoeren? Hoe vaak is deze update uitgevoerd door organisaties? Welke maatregelen worden getroffen om ook de kleinere bedrijven in te lichten over het doen van deze update?

Vraag 6

Welke overheidsorganisaties maken gebruik van Apache Log4j? Zijn er al overheidsorganisaties aangevallen door criminele hackers? Welke maatregelen neemt u om de kans zo klein mogelijk te maken dat criminele hackers succesvolle aanvallen op cruciale overheidsorganisaties kunnen uitvoeren en hen digitaal kunnen gijzelen?

Vraag 7

Bekend is dat meerdere gemeentes hun systemen gedeeltelijk hebben afgesloten? Om hoeveel gemeentes gaat dit? Wat doen deze systemen en hoe lang gaan ze afgesloten blijven? Welke gevolgen heeft het voor de gemeentes als ze hun systemen tijdelijk gedeeltelijk moeten afsluiten?

Vraag 8

Naast gemeentes hebben ook organisaties in de vitale sectoren zoals banken hun systemen gedeeltelijk afgesloten. Welke gevolgen heeft dit voor de vitale sectoren? In hoeverre wordt er via het NCSC ondersteuning geboden en samengewerkt met vitale sectoren zoals de banken- en telecomsector om de schade van dit lek te beperken?

Vraag 9

Hoe wordt in andere landen omgegaan met dit lek? Werkt u samen met andere landen om oplossingen te vinden voor dit lek? Kunnen lessen getrokken worden uit hoe in het buitenland om wordt gegaan met dit lek?

Vraag 10

Welke gevolgen heeft dit lek voor het gebruik maken van Apache log4j door de overheid? Zijn er betere alternatieven waar naar gekeken kan worden?

Vraag 11

Deelt u de mening dat het NCSC en DTC proactief lijken te communiceren? Op welke verschillende manieren proberen zij organisaties te bereiken en van informatie te voorzien? Wat kan het NCSC en DTC nog beter doen om meer mensen te bereiken, in begrijpelijke taal en welke informatie zou er nog meer gedeeld kunnen worden?

Vraag 12

Deelt u de mening dat het afkondigen van een code rood, zoals het Duitse Ministerie van Binnenlandse Zaken heeft gedaan, een interessante manier kan zijn om de urgentie van deze kwetsbaarheid aan te geven, er aandacht voor te vragen en de handelingsbereidheid bij organisaties te vergroten? Zo nee, waarom niet?

Vraag 13

Het Belgische Ministerie van Defensie lijkt aangevallen te zijn via de log4j-kwetsbaarheid; Deelt u de mening dat deze kerstperiode voor criminelen en statelijke actoren een uitgelezen kans zou kunnen zijn om de rijksoverheid en vitale sectoren aan te vallen? Zo nee, waarom niet? Zo ja, welke voorbereidingen worden getroffen? Staan er extra cyberteams paraat en zijn alle systemen gecheckt? Is het helder wie bij een crisis de leiding neemt en hoe cyberteams van de verschillende veiligheidsdiensten zich tot elkaar verhouden? Zo nee, waarom niet? Zo ja, welke rol speelt het Defensie Cyber Commando?

Vraag 1

Bent u bekend met het rapport van de Onderzoeksraad voor Veiligheid en het bericht Fundamenteel ingrijpen is nodig voor Nederlandse digitale veiligheid?1

Vraag 2

Bent u het eens met de stelling dat de veiligheid van software allereerst de verantwoordelijkheid is van de softwarefabrikant en dat deze fabrikanten meer zouden moeten investeren om de veiligheid van software voortdurend te verbeteren? Zo nee, waarom niet? Zo ja, wat gaat u doen om te zorgen dat deze verantwoordelijkheid in de praktijk feitelijk bij softwarefabrikanten komt te liggen?

Vraag 3

Hoe gaat u invulling geven aan het advies om een voortrekkersrol te nemen voor Nederlandse organisaties en consumenten om gezamenlijk veiligheidseisen te formuleren en af te dwingen bij softwarefabrikanten?

Vraag 4

Wat gaat u ondernemen om bij softwarefabrikanten af te dwingen dat ze meer investeren in structurele en toetsbare oplossingen voor veiligheidsproblemen in software, in plaats van dat softwarefabrikanten de softwaregebruikers overladen met patches en updates?

Vraag 5

Hoe gaat u opvolging geven aan het advies om softwarefabrikanten aansprakelijk te stellen voor de gevolgen van softwarekwetsbaarheden?

Vraag 6

Hoe gaat u invulling geven aan de aanbeveling van de Onderzoeksraad voor Veiligheid om op Europees niveau kwaliteitseisen aan software te stellen om softwarefabrikanten te dwingen verantwoordelijkheid te nemen voor de veiligheid van hun product?

Vraag 1

Kunt u een stand van zaken geven over de ontwikkeling van een Europese digitale identiteit en de Nederlandse inzet daaromtrent?1

Vraag 2

Kunt u een stand van zaken geven over de ontwikkeling van Nederlandse digitale identiteiten, zoals de eID?

Vraag 3

Kunt u helder uiteenzetten in welke mate en hoe de data die gekoppeld is aan een eID decentraal wordt opgeslagen en in welke mate en hoe dit centraal wordt opgeslagen? Zo nee, waarom niet?

Vraag 4

Begrijpt u de kritiek van experts, die aangeven dat hoewel mensen eigenaar lijken te zijn van hun eigen data, maar dat dit principe ondermijnd wordt door verdienmodellen van verschillende deelnemers en aanbieders van digitale identiteiten? Zo nee, waarom niet? Zo ja, wat zijn de waarborgen waardoor deze prikkels worden weggenomen?

Vraag 5

Waarom is er bij de ontwikkeling van de eID/SSI (Self-Sovereign Identity) gekozen voor blockchaintechnologie? Begrijpt u de kritiek van wetenschappers dat dit kwetsbaar en kostbaar is, onder andere omdat data, ook als deze niet juist is, niet verwijderd kan worden? Kunt u uw antwoord toelichten?

Vraag 6

Kunt u ingaan op de zorgen over hoe de gekozen techniek mensen ernstig kan benadelen, omdat zij aan een systeem vastzitten en daar alleen afstand van kunnen nemen met grote persoonlijke consequenties? Hoe denkt u dit te voorkomen?

Vraag 7

Hoeveel lobbycontacten zijn er geweest tussen de overheid en het platform ID2020? Kunt u een overzicht verstrekken?

Vraag 8

Kunt u ingaan op de zorgen van wetenschappers dat de coronapandemie door bedrijven en politici wordt gebruikt of misbruikt om een digitale identiteitskaart(ID) in te voeren? Kunt u uw antwoord toelichten?

Vraag 9

In hoeverre vindt u het ethisch verantwoord dat bedrijven of beleidsmakers een gezondheidscrisis gebruiken om een digitale identiteit aan te prijzen, waardoor zij meer winst kunnen maken of meer invloed kunnen vergaren door dataverzameling?

Vraag 10

Op welke manier zijn de ethische aspecten meegewogen in het beleid rond de Europese en Nederlandse digitale identiteit? Kunt u uw antwoord toelichten?

Vraag 11

Kunt u reflecteren op de wenselijkheid van de invloed van onder andere Microsoft, maar ook andere multinationals of big techbedrijven, in de oproep aan overheden tot het ontwikkelen van een zogenoemde coronapas? Zo nee, waarom niet?

Vraag 12

In hoeverre vindt u het afhankelijk worden van een digitale identiteit wenselijk als er tegelijkertijd nog altijd grote beveiligingsrisico’s zijn voor mensen als het gaat om het gijzelen van data en persoonsgegevens?2

Vraag 13

Kunt u aangeven wat u onderneemt om deze kwetsbaarheid, en het oplossen van die kwetsbaarheden, zo veel mogelijk onder de aandacht te brengen van (overheids)instellingen en bedrijven?

Vraag 14

Kunt u aangeven hoe bedrijven en (overheids)instellingen en getroffen burgers worden ondersteund bij eventuele schade van dit veiligheidslek?

Vraag 15

Vindt u het wenselijk dat zoveel bedrijven en instellingen afhankelijk zijn van het veiligheidsbeleid van één bedrijf? Zo nee, wat is hiervoor volgens u een oplossing?

Vraag 16

Kunt u aangeven of er een melding moet worden gedaan van digitale aanvallen en beveiligingslekken waardoor er preventief kan worden opgetreden om verdere onveiligheden op te lossen? Kunt u uw antwoord toelichten?

Vraag 1

Bent u bekend met het bericht «Technologieleverancier van Defensie en politie gehackt, losgeld geëist voor vertrouwelijke informatie»1?

Vraag 2

Aan welke overheidsorganisaties levert Abiom communicatietechnologie?

Vraag 3

Gelden er bepaalde (veiligheids)eisen voor kritieke toeleveranciers zoals Abiom die technologie leveren aan overheidsorganisaties? Zo ja, welke en in welke mate wordt hierop gescreend bij aanbestedingsprocessen? Zo nee, waarom niet?

Vraag 4

Deelt u de mening dat het goed is om de minimale veiligheidseisen voor IT-leveranciers te herzien en wellicht te verhogen om de kans op hacks met grootschalige impact zo klein mogelijk te maken? Zo ja, welke veiligheidseisen heeft u voor ogen en vanaf wanneer? Zo nee, waarom niet?

Vraag 5

Aan welke eisen moeten IT-leveranciers aan de overheid voldoen na een veiligheidsincident zoals een hack? Welk controle of testen worden er uitgevoerd?

Vraag 6

Klopt het dat de ransomwaregroep LockBit vertrouwelijke documenten online heeft gezet? Zo ja, om wat voor documenten en gegevens gaat het en komen hierdoor processen van de overheid in gevaar en/of lopen burgers gevaar om eventueel slachtoffer te worden van misbruik met hun gegevens?

Vraag 7

Wat is het bedrag dat LockBit vraagt voor het niet publiceren van deze documenten? Klopt het dat Abiom niet is ingegaan op de eis van de hackers?

Vraag 8

Is bekend waarom een ransomware-aanval bij Abiom is gedaan, wat de werkwijze van de criminelen is en wie hier eventueel achter zit? Zo nee, wordt daar nog onderzoek naar gedaan?

Vraag 9

Wordt er vanuit de overheid toezicht gehouden op gevoelige data van kritieke toeleveranciers van de overheid die online komen te staan? Zo ja, wie verzorgt dit toezicht en wat voor data is tot nu gevonden dat kan worden herleid tot de hack bij Abiom? Zo nee, waarom gebeurt dit niet?

Vraag 10

Deelt u de mening dat het goed om is Abiom te vragen om informatie over de hack te delen met bijvoorbeeld het Nationaal Cyber Security Centre en/of Digital Trust Centre? Zo ja, is dit gevraagd en wat gaat er met deze informatie gebeuren? Zo nee, waarom niet?

Vraag 11

Deelt u de mening dat dit soort voorvallen zeer schadelijk kunnen zijn voor het functioneren van kritieke processen van de overheid zoals het functioneren van onze hulpdiensten? Zo ja, welke lessen worden uit deze hack getrokken en welke maatregelen kunnen worden genomen om kritieke toeleveranciers van de overheid (nog) weerbaarder te maken tegen ondermijnende digitale aanvallen zoals ransomware-aanvallen?

Vraag 1

Bent u bekend met de artikelen «Rode loper voor datacenter Facebook, Zeewolde wuift groene bezwaren weg»1 en «Het Rijk regelde onder druk van Facebook voorrang op het stroomnet»?2

Vraag 2

Klopt het dat uw ministerie, net zoals bij het datacenter in de Wieringermeer, een actieve rol heeft gespeeld bij het binnenhalen van het datacenter van Facebook? Hoe zag die actieve rol eruit?

Vraag 3

Klopt het dat het Ministerie van Algemene Zaken heeft aangespoord tot snelheid in het proces? Welke rol heeft het Ministerie van Algemene Zaken gehad rondom het datacenter van Facebook in Zeewolde?3

Vraag 4

Kunt u toelichten wat uw voorganger precies heeft gedaan aangaande het leveren van de genoemde voorrang op het hoogspanningsnet? Welke bevoegdheden heeft u om voorrang te geven aan bedrijven op het hoogspanningsnet?

Vraag 5

Bent u van mening dat een nieuw datacenter van Facebook van enorm strategisch belang is voor de Nederlandse economie?

Vraag 6

Welke consequenties heeft deze voorrang op het hoogspanningsnet mogelijk voor andere bedrijven of nieuwe woningen? Welke nieuwe woningen, scholen of bedrijven zijn hierdoor niet of pas veel later aangesloten op het hoogspanningsnet?

Vraag 7

Op welke manieren heeft u Meta/Facebook nog meer gefaciliteerd? Kunt u daarbij inzage geven in uw contacten en die van uw ministerie met Meta/Facebook, lobbyorganisaties of organisaties die namens Meta/Facebook hebben gehandeld? Kunt u ook alle in- en uitgaande correspondentie met Meta/Facebook, lobbyorganisaties of organisaties die namens Meta/Facebook hebben gehandeld vanuit de Ministeries van Economische Zaken en Klimaat, Binnenlandse Zaken en Koninkrijksrelaties en Algemene Zaken naar de Kamer sturen?

Vraag 8

Hoe kan het zo zijn dat het datacenter van Facebook toch op een plek komt die niet past in de voorkeurslocatie van dit kabinet? Bent u hierdoor door Facebook ook actief op belobbyd?

Vraag 9

Wat heeft u gedaan met de kritische opmerkingen over datacenters vanuit uw ministerie? Welke rol hebben deze kritische opmerkingen gehad op de besluitvorming rondom de komst van het datacenter Facebook?

Vraag 10

Klopt het dat er ook bij dit datacenter opnieuw grote vragen bestaan over het stroom- en waterverbruik en de restwarmte?

Vraag 11

Is er inmiddels duidelijkheid voor de benutting van de restwarmte van dit datacenter?

Vraag 12

Heeft Facebook inmiddels al zekerheid gegeven wat zij met de restwarmte van het datacenter gaat doen?

Vraag 13

Kunt u aangeven hoeveel stroom het datacenter gaat verbruiken en hoeveel daarvan duurzaam, door bestaande wind- zonneparken, opgewekte energie is? Klopt het dat dit datacenter net zoveel stroom gaat gebruikt als de stad Amsterdam?

Vraag 14

In hoeverre maken deze hyperscale datacenters het voor Nederland lastig om de productiedoelstelling voor duurzame energie te halen?

Vraag 15

Hoeveel extra wind- en zonneparken moeten er aan worden gelegd voor het datacenter Facebook in Zeewolde?

Vraag 16

Wat is de reden dat Facebook niet zelf zonnepanelen op het dak van haar datacenter neerlegt? Hoeveel duurzame energie zou dit opleveren?

Vraag 17

Klopt het dat voor het datacenter in Zeewolde 34 dieselaggregaten als noodstroomvoorziening noodzakelijk zijn? Hoe vaak moeten deze dieselaggregaten proefdraaien? Hoeveel CO2 stoten deze dieselaggregaten dan uit tijdens dit proefdraaien? Wat is de CO2-uitstoot van deze dieselaggregaten? Hoeveel extra CO2-emissierechten dienen hiervoor aangeschaft te worden?

Vraag 18

Gaat er voor deze dieselaggregaten ook een dieselmeer worden aangelegd? Zo ja, van hoeveel liter? Hoe is de veiligheid, zoals het tegengaan van lekkages, geborgd?

Vraag 19

Kunt u aangeven hoeveel duurzame banen (directe en indirecte werkgelegenheid) dit datacenter oplevert?

Vraag 20

Deelt u de mening dat de komst een enorme impact heeft voor het hele land en dat om die reden een beslissing over de komst van datacenters op nationaal niveau genomen zou moeten worden?

Vraag 21

Wanneer komt u met de eerdere toegezegde landelijke datacenterstrategie? Kan deze landelijke datacenterstrategie nog invloed hebben op de besluitvorming van het datacenter in Zeewolde?

Vraag 22

Bent u bereid ervoor zorg te dragen dat het Rijksvastgoedbedrijf geen grond verkoopt voor de bouw van datacenters zolang er geen landelijke datacenterstrategie is?

Vraag 23

Welke mogelijkheden heeft het ministerie, juridisch of anderszins, om de bouw van deze datacentrale te stoppen? Welke mogelijkheden heeft de provincie hiervoor?

Vraag 24

Kunt u nog verder ingaan op de nota van begin 2021 waarin uw voorganger wordt opgeroepen lastige vragen uit de weg gaan en bewust inhoudsloze informatie te verstrekken om inhoudelijke discussies te ontwijken?

Vraag 25

Kunt u deze vragen een voor een en voor 16 december 2021 beantwoorden?

Vraag 1

Bent u bekend met het bericht «Beelden van misbruik van Marcels dochter blijven rondgaan: «Mensen gaan hierdoor kapot»»?1

Ja.

Vraag 2

Herinnert u zich de antwoorden op de vragen van het lid Van Wijngaarden over het jaarrapport van de Internet Watch Foundation?2

Ja.

Vraag 3

Waarom lukt het journalisten wel om op darkweb kinderpornografisch materiaal te detecteren en duurt het langer voordat de politie darkweb kinderpornografisch materiaal kan detecteren?

Helaas is het voor iedereen mogelijk om beeldmateriaal van seksueel kindermisbruik op het internet te vinden. In Nederland is het een strafbaar feit om op het internet, waaronder ook het darkweb, te zoeken naar beeldmateriaal van seksueel kindermisbruik. De strafrechtelijke onderzoeken van de politie strekken zich uit over het gehele internet, waaronder ook het darkweb. Vanwege het operationeel belang wordt niet nader ingegaan op de opsporingsmethoden. In aanvulling hierop richt de aanpak van online seksueel kindermisbruik door de politie zich vooral op het identificeren van slachtoffers van actueel misbruik. De politie maakt hiertoe in een zo vroeg mogelijk stadium een onderscheid tussen oud en nieuw materiaal, zodat de kans om slachtoffers van actueel misbruik te ontdekken wordt vergroot. Verder zet de politie in op het opsporen en vervolgen van vervaardigers/misbruikers, sleutelfiguren (keyplayersen facilitators),de netwerken daarachter en downloaders/verspreiders. Deze aanpak is als prioriteit opgenomen in de Veiligheidsagenda.
Ook de internetsector zelf zet zich in om het openbaar maken, verspreiden en opslaan van online seksueel kindermisbruik tegen te gaan. Het Expertisebureau Online Kindermisbruik (EOKM) stuurt verwijderverzoeken van grote hoeveelheden online kindermisbruikmateriaal uit naar bedrijven. Deze werkwijze is zeer effectief en leidt tot verwijdering van grote hoeveelheden online kindermisbruik. Met de oprichting van de Autoriteit Terroristisch en Kinderpornografisch materiaal zet het kabinet in op bestuursrechtelijke handhaving op de verwijderverzoeken waaraan geen gehoor wordt gegeven door aanbieders van communicatiediensten die beeldmateriaal van seksueel kindermisbruik doorgeven of hebben opgeslagen.

Vraag 4

Klopt het dat de IWF (Internet Watch Foundation) wederom concludeert dat het percentage van het door hun gevonden kinderpornografisch materiaal dat wordt gehost in Nederland is gestegen van 71% naar 77%?

Het rapport van IWF over 2020 concludeert dat er dit jaar 77% van het door hun gevonden beeldmateriaal van seksueel kindermisbruik in Nederland wordt gehost. Dit ten opzichte van de 71% in het rapport van de IWF over 2019.
Zoals ook aangegeven in de beantwoording op vragen van het lid Van Wijngaarden3 zijn er kanttekeningen te maken bij de conclusies van de IWF. Het percentage wordt beïnvloed door meldingen die ze van burgers ontvangen, eigen zoekgedrag en (instellingen van) crawlers. De cijfers kunnen niet één op één worden door vertaald naar een mondiaal beeld.

Vraag 5

Hoe beoordeelt u het feit dat ondanks uw inspanningen om de hosting van kinderpornografische afbeeldingen in Nederland te verminderen, zowel de aantallen als het percentage van het door IWF gevonden materiaal dat wordt gehost in Nederland stijgt?

Het tegengaan van beeldmateriaal van seksueel kindermisbruik vraagt blijvende inzet. Om die reden blijven de sector, de politie, het OM, het EOKM en mijn ministerie via meerdere maatregelen inzetten op het voorkómen dat beeldmateriaal (opnieuw) online komt en het zo spoedig mogelijk verwijderen van materiaal dat wordt gemeld. Zie hiervoor ook de beantwoording van vraag 3 en 6.

Vraag 6

Welke maatregelen hebben Nederlandse webhosters afgelopen jaren geïmplementeerd om te voorkomen dat kinderpornografisch materiaal wordt gehost?

De afgelopen jaren heeft de sector zich erg ingespannen voor een internet vrij van beeldmateriaal van seksueel kindermisbruik. Dit heeft geleid tot goede resultaten. Zo heeft de sector afgesproken dat in de Notice-And-Takedown-procedure (NTD) dergelijk materiaal binnen 24 uur offline gehaald moet worden. Verder is er ingezet op de ontwikkeling van technische tools. Zo is de HashCheckService ontwikkeld, waarmee voorkomen kan worden dat bekend beeldmateriaal van seksueel kindermisbruik geüpload wordt, en helpt het innovatieve meldingsverwerkingssysteem SCART het EOKM bij het geautomatiseerd verwerken van meldingen. Ook is er door de sector meegedacht over de monitor van de TU Delft, waardoor duidelijk wordt welke hosters dit materiaal hosten en hoe snel zij dit verwijderen na een NTD-melding. Op deze manier wordt de spiegel voorgehouden aan hosters die zich onvoldoende inspannen voor een schoon netwerk en roepen we slecht presterende providers ter verantwoording.

Vraag 7

In hoeverre heeft het openbaar maken van de namen van webhosters die onvoldoende doen tegen het weren van kinderporno reeds effecten gesorteerd en op welke wijze wordt dit ook voor de Kamer inzichtelijk?

In oktober 2020 is de eerste rapportage van de TU Delft naar de Kamer verzonden4. De volgende rapportage van de TU Delft wordt naar verwachting in het voorjaar van 2022 naar de Kamer verzonden. Deze zal, net zoals de voorgaande keer, voorzien zijn van een begeleidende brief. De afgelopen metingen tonen dat er bedrijven zijn die maatregelen hebben genomen en hun prestaties hebben verbeterd. Verder tonen de metingen een wisselend beeld qua bedrijven die hierin voorkomen. De opgevoerde druk in Nederland heeft ook als gevolg dat materiaal zich naar het buitenland heeft verplaatst. Om die reden is het zeer belangrijk om dit ook op Europees niveau aan te pakken, zie ook de beantwoording van vragen 11, 12 en 13.
De TU Delft monitor is echter maar één van de vele maatregelen. Het is daarom lastig om bewegingen in de markt of ontwikkelingen in het aantal meldingen van beeldmateriaal van seksueel kindermisbruik toe te schrijven aan de effectiviteit van enkel de monitor.

Vraag 8

Kunnen webhosters die aantoonbaar onvoldoende doen tegen het weren van kinderporno niet alleen bestuursrechtelijk worden aangepakt, maar ook strafrechtelijk worden vervolgd wegens medeplichtigheid aan het verspreiden van kinderporno?

Op grond van Europese regelgeving en de Nederlandse implementatie daarvan zijn hostingproviders onder voorwaarden niet aansprakelijk voor de gedragingen van hun klanten. De beperking van aansprakelijkheid voor hostingproviders die wordt geregeld in artikel 14 van de E-Commercerichtlijn is geïmplementeerd in artikel 54a Sr. Artikel 54a Sr stelt dat hostingproviders in beginsel niet vervolgd kunnen worden vanwege wederrechtelijke materiaal dat door klanten op hun servers wordt geplaatst, indien zij doen wat redelijkerwijs van hen gevergd kan worden wanneer ze op bevel van de officier van justitie (125p Sv) – en straks ook op bevel van de Autoriteit – gegevens ontoegankelijk moeten maken. Verder is het voor het strafrechtelijk vervolgen van hosters voor medeplichtigheid aan strafbare feiten die op hun servers plaatsvinden, zoals het verspreiden van beeldmateriaal van seksueel kindermisbruik, noodzakelijk om het opzet of het voorwaardelijke opzet van de hoster te bewijzen. In de praktijk blijkt (voorwaardelijke) opzet bij hosters lastig te bewijzen.

Vraag 9

Wanneer wordt de volgende monitoringsrapportage van de TU Delft over webhosters naar de Kamer gestuurd?

De volgende rapportage van de TU Delft wordt naar verwachting in het voorjaar van 2022 naar de Kamer gestuurd.

Vraag 10

Op welke wijze worden (vertegenwoordigers van) slachtoffers en ouders betrokken bij de maatregelen om kinderporno tegen te gaan, zoals de doorontwikkeling van monitor van TU Delft?

In de aanpak van online seksueel kindermisbruik wordt intensief samengewerkt met het EOKM. Het EOKM houdt zich bezig met het voorkomen en bestrijden van (online) seksueel misbruik van kinderen. Een programma van het EOKM is HelpWanted.nl, dat als kerntaak heeft het bieden van acute hulp bij (dreigend) online seksueel geweld. Kinderen en jongeren, maar ook ouders, verzorgers, docenten en hulpverleners, kunnen hier onder andere terecht voor advies en informatie bij online seksueel misbruik. Het is goed dat de Motie-Hermans het mogelijk heeft gemaakt om verder te investeren in het EOKM en HelpWanted.nl. Hierover heb ik uw Kamer op 13 oktober jl. reeds geïnformeerd5.
Daarnaast zijn preventie en bewustwording twee belangrijke pijlers in de aanpak van (online) seksueel kindermisbruik. De digitale wereld speelt een grote rol in het onderlinge contact tussen minderjarigen, ook op het gebied van seksualiteit. Dit maakt dat het (onbewust) vervaardigen, delen en verkrijgen van beeldmateriaal door minderjarigen gemakkelijk is, terwijl minderjarigen de risico’s daarvan lang niet altijd overzien. In 2020 is daarom een lesprogramma en een wegwijzer ontwikkeld, om de bewustwording van online risico’s te vergroten en de seksuele weerbaarheid van kinderen te versterken.

Vraag 11

Kunt u de laatste stand van zaken schetsen met betrekking tot het in EU-verband gezamenlijk optreden tegen webhosters die onvoldoende doen om kinderporno te verwijderen?

Zie antwoord 12.

Vraag 12

Wanneer wordt het voorstel van de Europese Commissie om een Europese Autoriteit op te richten al gepubliceerd en kunt u binnen twee weken na publicatie van het voorstel een BNC-fiche over het voorstel met de Kamer delen?

Het aangekondigde wetgevende voorstel van de Europese Commissie voor de aanpak van online seksueel kindermisbruik wordt begin maart 2022 verwacht. Het voorstel zal zich richten zich op de verantwoordelijkheid van aanbieders van onlinediensten en de oprichting van een Europees Centrum ter bestrijding van online seksueel kindermisbruik. Na publicatie van het wetgevende voorstel zal mijn reactie binnen het vastgestelde termijn van 6 weken in een BNC-fiche naar de Tweede Kamer worden verzonden.

Vraag 13

In hoeverre is uw inzet dat een eventueel op te richten Europese Autoriteit – indien u het voorstel van de Europese Commissie positief beoordeelt ten aanzien van subsidiariteit en proportionaliteit – het beste in Nederland kan worden gevestigd?

Ik verwacht dat een Europees centrum om (online) seksueel kindermisbruik te voorkomen en te bestrijden tot verbetering kan leiden. De overweging om dit centrum eventueel in Nederland te vestigen is de beoogde nauwe samenwerking met Europol in Den Haag, waarbij een korte afstand wenselijk is. Daarbij is Nederland een belangrijk internetknooppunt, waardoor het een hoofdrol in de mondiale internetindustrie speelt. Veel betrokken bedrijven zijn in Nederland gevestigd en Nederland heeft reeds een lopende constructieve samenwerking met de internetsector. Ik zie met belangstelling uit naar de uitwerking van het voorstel van de Commissie om te beoordelen of Nederland als vestigingsplaats voor het Europees centrum kan dienen.

Vraag 14

Hoe beoordeelt u de inzet van algoritmen zoals NeuralHash van Apple om kinderpornografisch materiaal eerder te signaleren en wat is de inzet van Nederland in Brussel hierover?

In de strijd tegen deze verschrikkelijke vorm van criminaliteit is het belangrijk dat ook bedrijven hun verantwoordelijkheid nemen. Dit heb ik nogmaals benadrukt op de ministeriële bijeenkomst van het Europees Internetforum op 8 december jl. Het is een hoopvolle ontwikkeling dat een aantal bedrijven deze verantwoordelijkheid serieus neemt en actie onderneemt. Ik heb met Apple gesproken over hun plannen om beeldmateriaal van seksueel kindermisbruik online tegen te gaan. Apple heeft zich aangesloten bij de nationale publiek-private werkgroep tegen online seksueel kindermisbruik. Dit is een goede plek om gezamenlijk een schoner internet te realiseren en van elkaar te leren wat wel en niet werkt. Het is belangrijk dat bij de proactieve maatregelen om beeldmateriaal van seksueel kindermisbruik online te detecteren wordt gezocht naar een goede balans tussen het respecteren van privacy en het beschermen van kinderen.

Vraag 1

Bent u bekend met het bericht «Facebook vs. Zeewolde: hoe lokale politici moeten beslissen over een landelijke kwestie»?1

Vraag 2

Hoe oordeelt u over het feit dat er in Zeewolde wellicht een van de grootste datacentra van Europa gebouwd gaat worden?

Vraag 3

Welke impact heeft de komst van grote hyperscale datacentra op de internationale concurrentiekracht van het economisch kerngebied van Nederland en onze digitale infrastructuur ten opzichte van regionale, kleinere datacentra?

Vraag 4

Deelt u de mening dat het van belang is dat Nederland haar koploperspositie niet verliest aan Frankfurt, Londen, Amsterdam, Parijs (de FLAP-steden), Noord-Ierland of Zweden? Kan dit ook zonder de komst van hyperscale centra?

Vraag 5

Deelt u de mening dat een slimme datacenterstrategie ook betekent dat er gekeken wordt naar het opvangen en gebruiken van restwarmte, een lang gekoesterde wens van menig datacentrum?

Vraag 6

Wat is de impact van dit soort grote datacentra op de netproblematiek, gezien het feit dat de energietransitie op veel vlakken vastloopt op de beschikbare netcapaciteit? Deelt u de mening dat regio-overstijgende sturing voor dit soort ingrijpende besluiten (over)belasting van het stroomnet kan voorkomen?

Vraag 7

Klopt het dat dit datacentrum meer energie zal verbruiken dan de provincie Flevoland of de stad Amsterdam?2 Hoe gaat die energie opgewekt worden?

Vraag 8

Wat is de impact van dit datacentrum op de capaciteit van het stroomnet? Wat betekent de komst hiervan voor de continuïteit van andere grote stroomgebruikers in de regio?

Vraag 9

Welke trajecten voor de komst van regionale kleine of hyperscale datacentra lopen er op dit moment? Om welk type datacentrum gaat het, om welke locaties gaat het en per wanneer?

Vraag 10

Wat is de impact van dit soort grote datacentra op het energiebesparingsdoel dat Nederland heeft vanuit de Europese Commissie?

Vraag 11

Is de energie-infrastructuur aangepast in zowel (groot) Amsterdam als Almere, zoals te lezen is in de «Ruimtelijke Strategie Datacenters»?3 Zo nee, waarom niet en wanneer en hoe gaat dit gebeuren? Hoe zit het met de andere locaties die in de strategie worden genoemd?

Vraag 12

Op welke manier is er afstemming geweest tussen lokale bestuurders, de provincie en de rijksoverheid en wat is er afgesproken over randvoorwaarden voor de bouw van het datacentrum?

Vraag 13

Welke afspraken zijn er gemaakt met Meta/Facebook over onder andere het betalen van (lokale) belastingen, het wel of niet ontvangen van subsidies, de komst van arbeidsplaatsen en watercompensatie?

Vraag 14

Deelt u de mening dat het niet wenselijk zou zijn als lokale politici en bestuurders zonder afstemming met provincie en rijksoverheid zouden besluiten over de komst van een datacentrum vanwege de regio-overstijgende consequenties?

Vraag 15

Deelt u de mening dat de komst van een regionaal klein datacentrum bij kan dragen aan de internationale concurrentiekracht van het economisch kerngebied van Nederland en het onze digitale infrastructuur versterkt, mits het geen blokkerende impact heeft op het Nederlandse stroomnet? Zo nee, waarom niet? Zo ja, wilt u dit meenemen in de datacentervisie die naar de Tweede Kamer wordt gestuurd?

Vraag 16

Deelt u de mening dat er meer landelijke sturing moet zijn en dat er meer duidelijkheid moet komen over het beleid rondom het bouwen van datacentra in Nederland? Zo ja, welke randvoorwaarden zouden hier volgens u van toepassing zijn? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het artikel «Rode loper uit voor datacentra»?1

Vraag 2

Klopt het dat u actief internationaal beleid voert om grote multinationals, zoals Facebook, Google en Microsoft naar Nederland te halen? Op welke manier heeft u deze bedrijven gefaciliteerd?

Vraag 3

Klopt het dat u op basis van door de lobby van datacenters afgegeven rooskleurige informatie over datacenters uw beleid is gebaseerd voor een actieve acquisitiestrategie om grootschalige datacenters naar Nederland te halen?

Vraag 4

Klopt het verder dat u al in 2019 bekend was met de enorme nadelen van hyperscale datacenters, zoals problemen met het enorme water- & elektraverbruik en aansluiting op het stroomnet? Welke maatregelen heeft u vanaf 2019 genomen om deze genoemde problemen «kritische succesfactoren» serieus te nemen?

Vraag 5

Kunt u een overzicht geven van al uw contacten met bedrijven zoals Microsoft, Facebook en/of organisaties die lobbyen voor datacenters en die mogelijk een actieve rol hebben gehad in de besluitvorming?

Vraag 6

Heeft u daarnaast contact gehad met kritische geluiden omtrent datacenters? Zo ja, wat waren deze reacties en in hoeverre heeft u hier rekening mee gehouden in de besluitvorming? Heeft u verder actief kritische geluiden, zoals gemeenten en omwonenden, opgezocht en gesproken?

Vraag 7

Kunt u aangeven, op basis van onafhankelijk onderzoek, wat het publieke belang en de baten zijn van grootschalige datacenters voor Nederland? Kunt verder aangeven hoeveel structurele werkgelegenheid 1 hyperscale datacenter oplevert?

Vraag 8

Klopt het dat er op dit moment zelfs overcapaciteit aan datacenters is in Nederland, waardoor driekwart van de capaciteit naar het buitenland gaat? Vindt u het daarom ook onwenselijk, vanwege alle nadelige gevolgen rondom water- en elektraverbruik en problemen rond inpassing in het landschap, om nog actief datacenters naar Nederland te halen?

Vraag 9

Bent u het verder eens dat het onwenselijk is dat het elektraverbruik geheim wordt gehouden door de sector? Bent u daarom bereid om een onafhankelijk onderzoek, dus niet door de sector zelf, onderzoek te laten doen naar het elektra-, maar ook, waterverbruik van datacenters?

Vraag 10

Klopt het verder dat door de grote hoeveelheid stroom die datacenters gebruiken er daardoor nieuwe woonwijken of startende bedrijven niet kunnen worden aangesloten op het stroomnet in de Kop van Noord-Holland?2 Speelt dit probleem ook in andere gebieden waar hyperscale datacenters aanwezig zijn?

Vraag 11

Bent u vanwege het overvolle elektriciteitsnet van plan om, zoals ook de Provincie Noord-Holland bepleit3, om met wet- en regelgeving te komen zodat decentrale overheden de mogelijkheid krijgen om zelf te kunnen bepalen wat eerst, zoals nieuwe woningen, kan worden aangesloten op het elektriciteitsnet, in plaats van dat zij verplicht zijn om datacenters, die energie slurpen, toe te laten op het elektriciteitsnet?

Vraag 12

Klopt het dat voor datacenters er geen financiële prikkels zijn om minder energie, via de zogenaamde volumeheffingskorting, te gebruiken? Bent u daarom bereid om financiële prikkels in te bouwen, zodat zeer grote verbruikers van het elektriciteitsnet zoals datacenters efficiënter omgaan met de beschikbare transportcapaciteit?

Vraag 13

Bent u het eens dat het ongewenst is dat de gemeente Hollands Kroon een «gedoogbeslissing» heeft afgegeven aan een hyperscale datacenter van Microsoft, waardoor zonder dat alle democratische procedures zijn doorlopen?

Vraag 14

Bent u verder niet bezorgd dat lokale politici de lastige keuze moeten maken over het toestaan van hyperscale datacenters? Bent u het daarom eens dat het verstandiger is om de bevoegdheid voor het plaatsen van hyperscale datacenters bij het Rijk te leggen?

Vraag 15

Bent u om die reden dan ook van plan om als regisseur een leidende rol te nemen om strakke regels rondom water- en elektraverbruik, restwarmte en inpasbaarheid in het landschap bij datacenters vast te leggen?

Vraag 1

Hoe weet u zeker dat op de smartphones geen censuur wordt toegepast en dat deze software constant uit staat, aangezien u in de beantwoording aangeeft dat er op de in de Europese Unie verkochte smartphones geen censuur wordt toegepast, er voor Nederland op dit moment geen aanleiding is om een dergelijk zwaarwegend advies af te geven en dat u ziet dat het daadwerkelijk toepassen van dergelijke software inbreuk kan maken op de grondrechten van gebruikers?

Vraag 2

In hoeverre worden er, in het kader van «Bring-Your-Own-Device», privé Xiaomi-telefoons gebruikt, waarvan in de beantwoording is aangegeven dat er sinds 2018 60 van zijn aangeschaft, en is dit wenselijk?

Vraag 3

In hoeverre biedt de Baseline Informatiebeveiliging Overheid voldoende handvatten om nieuwe informatie en potentiële risico’s zoals censuursoftware zoveel als mogelijk te voorkomen?

Vraag 4

Wat zou u ervan vinden als Rijksambtenaren Chinese censuursoftware zouden downloaden op hun apparaten?

Vraag 5

Onderkent u dat Xiaomi telefoons, in tegenstelling tot wat er in de beantwoording te lezen is, niet alleen via verschillende webwinkels verkocht worden, maar dat er sinds 2020 ook een fysieke «Mi-store» is geopend in Rotterdam, de eerste fysieke Xiaomi winkel in de Benelux?

Vraag 6

Hoe beoordeelt u het feit dat aanbieders van apparaten waar censuursoftware op staat winkels openen in Nederland en hun marktaandeel in Nederland groeiend is?

Vraag 7

Klopt het dat de censuursoftware op afstand kan worden geactiveerd vanuit China, zonder dat gebruikers dit doorhebben? Deelt u de mening dat deze functionaliteit een potentiële bedreiging vormt voor de vrijheid van meningsuiting en de vrije toegang tot informatie van Nederlandse gebruikers van Xiaomi-toestellen? Zo ja, hoe beoordeelt u dit? Zo nee, waarom niet?

Vraag 8

Hoe beoordeelt u het feit dat ook de data van Nederlandse gebruikers die Xiaomi-toestellen gebruiken wordt doorgestuurd naar Xiaomi-servers in China, waar conform de geldende Chinese cyberveiligheidswet, ook de Chinese overheid toegang heeft tot de data van Nederlandse gebruikers?

Vraag 9

Klopt het dat de Belgische Staatsveiligheidsdienst al eerder publiekelijk heeft gewaarschuwd voor spionage via Chinese spionage, waaronder die van Xiaomi? Zo ja, hoe beoordeelt u dit en deelt u de mening dat deze waarschuwing zeer zorgelijk is?

Vraag 10

In hoeverre is de huidige aangewezen toezichthouder in staat om te controleren of er censuursoftware op mobiele telefoons aanwezig is en of deze software daadwerkelijk actief is?

Vraag 11

Hoe beoordeelt u de aanwezigheid van censuursoftware op Xiaomi-toestellen in het kader van een eerdere uitspraak, gedaan door de Algemene Inlichtingen- en Veiligheidsdienst, dat er sprake is van een «wereldwijde grootschalige vergaring van persoonsgegevens door Chinese actoren om profielen te maken van medewerkers van bedrijven en instellingen waar het land digitaal wil inbreken»?

Vraag 12

Deelt u de mening dat het zeer onwenselijk is dat ook de telefoons van Nederlandse gebruikers deze software kunnen bevatten en dat er een mogelijkheid is dat de censuursoftware wordt geactiveerd? Zo ja, bent u bereid een onafhankelijk onderzoek te laten uitvoeren door bijvoorbeeld het Agentschap Telecom en de Nationaal Coördinator Terrorismebestrijding en Veiligheid naar de mogelijke aanwezigheid van deze censuursoftware op Xiaomi-toestellen die in Nederland worden verkocht? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het bericht «Duizenden Nederlanders kunnen geen verklaring omtrent gedrag (VOG) aanvragen door software­fout overheid»1?

Ja.

Vraag 2

Waarom zijn meerdere systemen tegelijk uitgevallen en waarom is de storing tot op heden niet opgelost?

Vanaf vrijdag 15 oktober heeft zich een storing bij het Shared Service Center(SSC)-ICT voorgedaan. De storing trof meerdere systemen rijksbreed, waaronder de applicaties van Justis. Het betreft een technische fout, geen ransomware of hackaanval. Vanaf maandag 1 november is de storing verholpen en zijn de processen stap voor stap weer opgestart.

Vraag 3

Welke processen kan de Dienst Justis door de storing niet uitvoeren?

Aanvankelijk kon Justis geen enkele van de processen uitvoeren. Na enkele dagen konden de meeste processen weer worden opgestart. Dit gold echter niet voor de certificering van de buitengewoon opsporinsambtenaren (BOA), het toezicht op rechtspersonen en de VOG/GVA (verklaring omtrent gedrag/gedragsverklaring aanbesteden).
Per 26 oktober is een workaround in gebruik genomen voor het proces continue screenen. Tot en met 1 november kon een VOG of GVA niet worden aangevraagd. Sommige andere producten konden alleen per post worden aangevraagd.

Vraag 4

Hoeveel en op welke wijze zijn mensen getroffen door deze storing?

Doorgaans worden ongeveer 5.000 VOG’s per dag worden aangevraagd. Naar schatting konden door de storing ongeveer 70.000 VOG’s in de afgelopen twee weken niet worden aangevraagd. Dat kan gevolgen hebben gehad voor werkgevers en werknemers doordat een werknemer in afwachting van de VOG niet in een nieuwe baan kon starten. Ook andere processen waarvoor een VOG vereist is, zoals emigratie en inschrijving in registers van bepaalde beroepsgroepen, kunnen zijn geraakt. Nu de storing is verholpen werkt Justis met man en macht aan het verwerken van de (extra) aanvragen die nu alsnog worden ingediend. Ik heb u in de brief van 3 november reeds geïnformeerd over de maatregelen die Justis heeft getroffen om dit te realiseren.2

Vraag 5

Waarom is niet eerder gecommuniceerd over het feit dat er een grote storing bij de Dienst Justis is?

In eerste instantie was er ook een storing in de systemen die het plaatsen van informatie op de website, het digitaal aanvraag-kanaal en het Klantcontactcentrum onmogelijk maakte. Het Twitterkanaal van Justis is daarom vanaf vrijdag 15 oktober gebruikt om mensen te informeren. Zodra de website www.justis.nl op dinsdag 19 oktober weer toegankelijk was, zijn er nieuwsberichten op de homepage geplaatst over de storing, evenals op het kanaal digitaal aanvragen (MijnJustis). Daarnaast heb ik u op 29 oktober3 en op 3 november4 per brief geïnformeerd over de voortgang omtrent het oplossen van de storing.

Vraag 6

Waar kunnen mensen terecht die in de problemen komen door de storing?

In beginsel kunnen mensen zich het best wenden tot degene die de VOG verlangt, bijvoorbeeld een werkgever. Justis probeert uitloop van beoordeling zoveel mogelijk te voorkomen. Met de extra inzet die Justis, nu de storing achter de rug is, pleegt houdt Justis de termijn waarop een VOG wordt behandeld zo kort mogelijk. De wettelijke termijn voor het afgeven van een VOG is in de meeste gevallen vier weken vanaf het moment van indienen van de aanvraag. Justis verwacht dat het overgrote deel van de aanvragers alsnog een VOG ontvangt binnen vier weken nadat ze de aanvraag hadden willen, maar niet konden indienen.

Vraag 7

Welke gevolgen heeft de storing voor de werkvoorraad van de Dienst Justis? Leidt de storing tot achterstanden en zo ja, hoe worden deze weggewerkt?

Nu het systeem weer werkt, is het aantal aanvragen dat momenteel binnenkomt bovengemiddeld hoog. Hiertoe is de capaciteit van de systemen opgeschroefd, rekening houdend met het belang om de stabiliteit van de systemen niet in gevaar te brengen. Medewerkers werken over. Een groot deel van de aanvragen die nu binnen komen, worden daardoor erg snel verwerkt. Voor het deel dat handmatig moet worden beoordeeld, wordt voorrang gegeven aan de VOG’s die wettelijk verplicht zijn.

Vraag 8

Klopt het dat in 2017 voor het laatst een jaarverslag van de Dienst Justis naar de Kamer is gestuurd?2 Zo ja, wat is hiervoor de reden?

Dat klopt. Sinds 2017 worden de cijfers op www.justis.nl gepubliceerd.

Vraag 9

Welke maatregelen zijn reeds getroffen en welke maatregelen worden op de korte termijn uitgewerkt om nieuwe storingen bij de Dienst Justis te voorkomen?

De afgelopen weken lag de focus op het oplossen van de huidige storing. Na evaluatie van de storing door SSC-ICT en door JenV zal bezien worden welke maatregelen worden getroffen

Vraag 1

Kent u het bericht «Virologen schrikken: geprikt en toch besmet, maar QR-code werkt gewoon»? Wat vindt u van het bericht?1

Ja, ik heb kennisgenomen van dit bericht. Zoals ook aangegeven in de beantwoording op eerdere schriftelijke vragen die hierover gesteld zijn2, zie ik het als de eigen verantwoordelijkheid van mensen om rekening te houden met anderen en zich bij een eventuele besmetting aan de op dat moment geldende richtlijnen en basisregels te houden. Bij een positieve testuitslag (gevaccineerd of ongevaccineerd) ga je thuis in isolatie en gebruik je de QR-code niet voor toegang. Als iedereen zich aan deze afspraak houdt, zie ik geen reden om de QR-code in te trekken.
Op dit moment is het (tijdelijk) op afstand intrekken of ongeldig maken van deze coronatoegangsbewijzen (CTB’s) technisch niet mogelijk zonder afbreuk te doen aan de hoge eisen van gegevensbescherming die ik heb gesteld aan de ontwikkeling van het Nederlandse CTB (zowel digitaal in de CoronaCheck-app als ook geprint op papier). Hierbij is een afweging gemaakt in de balans tussen de bescherming van persoonsgegevens en het tegengaan van misbruik. In die afweging heb ik uw Kamer eerder dit jaar meegenomen.3 De CoronaCheck-app is daarom ontwikkeld volgens de principes van privacy- en security by design waarbij verschillende maatregelen zijn getroffen om de privacy van burgers te borgen. Door deze ontwerpkeuzes bevat het CTB te weinig informatie om de QR-code in te trekken. Naar aanleiding van de Motie Den Haan4; «geen Groen vinkje in de CoronaCheck-app na besmetting» zal ik u binnenkort nader berichten over de keuzes die te maken zijn. Daarbij geef ik u alvast het volgende mee.
Allereerst moet er onderscheid gemaakt worden tussen papieren bewijzen en bewijzen in de app. Het zonder meer intrekken van papieren bewijzen op afstand kan niet, ze kunnen immers niet worden weggenomen of vernietigd. Wel kan worden gedacht aan het controleren aan de deur of een eerder afgegeven papieren bewijs op dat moment geldig is. Dat vergt een publiek beschikbare zwarte lijst van positief geteste mensen die kan worden gekoppeld aan papieren bewijzen. De huidige papieren bewijzen zijn daarvoor niet geschikt. De al meer dan 600.000 per post uitgegeven papieren bewijzen en alle daarnaast door mensen zelf afgedrukte bewijzen zouden allemaal moeten worden ingetrokken (en opnieuw aangevraagd). Ze zouden daarbij zo moeten worden gemaakt dat ze direct te koppelen worden aan individuele personen, om de relatie te leggen tussen een positief getest persoon en een specifiek bewijs teneinde dit bewijs op een lijst van besmette personen te kunnen plaatsen. Het opstellen van een dergelijke lijst heeft als risico dat door iedereen met een scanner-app kan worden vastgesteld dat mensen positief getest zijn of zijn geweest. Daarbij bestaat het risico dat een dergelijke lijst wordt gelekt. De Belgische Gegevensbeschermingsautoriteit doet nu bijvoorbeeld onderzoek naar een mogelijk datalek bij een bepaalde versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Bewijzen in de app zouden wellicht wel technisch kunnen worden ingetrokken. Een mogelijke werkwijze daarbij kan zijn dat mensen verplicht worden om (bijvoorbeeld elke dag) met DigiD in te loggen bij de GGD om te checken dat ze niet recent positief zijn getest en dat alleen als mensen dat doen hun QR-code geldig blijft. Ook dit brengt allerlei risico’s met zich mee. Het leidt tot hoge kosten (voor onder meer dagelijks gebruik van DigiD), overbelasting van systemen omdat dit aantal inlogpogingen niet ondersteund kan worden en sluit heel veel mensen uit (zoals de groep mensen die niet beschikt over DigiD of een Burgerservicenummer).
Zoals gezegd zal ik uw Kamer nader informeren naar aanleiding van genoemde motie. Ter voorbereiding daarvan wordt de Begeleidingscommissie Digitale Ondersteuning Bestrijding Covid-19 om advies gevraagd. Aan de Begeleidingscommissie is de vraag gesteld of en hoe de CoronaCheck-app kan worden aangepast zonder afbreuk te doen aan de hoge eisen van gegevensbescherming en privacy die aan de app zijn gesteld bij de ontwikkeling. Hierbij maak ik graag gebruik van alle expertise van de Begeleidingscommissie, waaronder op het gebied van ethiek, gedragswetenschappen, privacy en informatieveiligheid en morele aspecten.

Vraag 2

Bent u het eens dat het volstrekt onverantwoord is om als positief geteste persoon een eerder verkregen QR-code te gebruiken om toegang te krijgen tot activiteiten met een coronatoegangsbewijs? Zo nee, waarom niet? Zo ja, waarom bent u dan niet bereid om dit probleem op te lossen?

Zie antwoord vraag 1.

Vraag 3

Herinnert u zich uw antwoorden op eerdere schriftelijke vragen van mij, over het bericht «Fraudeurs houden toch groen vinkje»?2

Ja.

Vraag 4

Waarom is het, zoals wordt vermeld in uw antwoorden, blijkbaar wel mogelijk QR-codes te blokkeren als gevolg van fraude met het online verspreiden van QR-codes van coronatoegangsbewijzen waarmee andere personen deze QR-codes kunnen gebruiken om toegang te krijgen, maar is het niet mogelijk om QR-codes te blokkeren van mensen die positief zijn getest?

Onlangs is gebleken dat CTB’s en buitenlandse DCC’s worden gekopieerd en via het internet beschikbaar worden gesteld om door anderen te worden gebruikt voor binnenlandse toegang. Dit gebeurt vooral met bewijzen die op papier zijn uitgegeven. Deze QR-code is statisch, anders dan een QR-code die in de CoronaCheck-app wordt gemaakt en elke minuut wordt ververst. Zodra wordt geconstateerd dat een CTB of DCC met anderen wordt gedeeld, kan deze worden geblokkeerd. Gedupeerden van fraude of misbruik kunnen op de gebruikelijke wijze een nieuw CTB aanmaken en daarmee opnieuw toegang verkrijgen tot activiteiten en voorzieningen.
Omdat voor zover het gaat om papieren QR-codes, de codes van mensen die positief getest zijn niet door hen of anderen gepubliceerd zijn, kunnen deze niet op dezelfde wijze worden geblokkeerd.

Vraag 5

Wat zijn de verschillen in de apps voor coronatoegangsbewijzen in Nederland en België, aangezien het in België wel mogelijk is om de QR-code van een positief geteste persoon tijdelijk te blokkeren? Welke andere landen kunnen QR-codes van positief geteste personen tijdelijk blokkeren?

In een Nederlands CTB zijn – zoals toegelicht in het antwoord op vraag 1 en 2 – nauwelijks gegevens opgenomen, waardoor het intrekken of ongeldig maken van de QR-code in de CoronaCheck app op dit moment onmogelijk is. Dit in tegenstelling tot de internationale QR-code die meer gegevens bevat. Het is aan een land zelf om te bepalen of en hoe invulling wordt gegeven aan coronabewijzen voor binnenlands gebruik. In sommige Europese landen zoals België wordt alleen gebruik gemaakt van het DCC, in andere landen is een eigen CTB-equivalent ontwikkeld. Hierdoor kan het zijn dat de QR-code in een ander land – zoals België – door andere ontwerpkeuzes wel herleidbaar is naar een specifiek persoon en dus kan worden ingetrokken door deze op een lijst te plaatsen. De Belgische Gegevensbeschermingsautoriteit doet nu onderzoek naar een mogelijk datalek bij een versleutelde lijst met ruim 39.000 codes die gebruikt wordt om QR-codes te blokkeren bij scannen.
Uit navraag begin oktober is bekend dat het op dit moment in Letland, Frankrijk, België en Liechtenstein mogelijk is om vaccinatiebewijzen tijdelijk in te trekken in het geval van een positief testresultaat.

Vraag 6

Wat is er nodig om QR-codes van positief geteste personen alsnog tijdelijk te kunnen blokkeren?

Zie het antwoord op vraag 2.

Vraag 7

Bent u bereid om alsnog de QR-code te blokkeren van mensen die positief getest zijn op het coronavirus? Zo nee, waarom niet?

Zie antwoord vraag 6.

Vraag 8

In hoeverre is het strafbaar om met een onterecht coronatoegangsbewijs en dus met een positieve coronatest naar activiteiten toe te gaan waar een coronatoegangsbewijs nodig is?

Wanneer iemand, ondanks een positieve coronatest, een legaal CTB gebruikt om toegang te krijgen tot een CTB-plichtige activiteit, dan is dat in de eerste plaats zeer onverantwoordelijk handelen van deze persoon. Dergelijk onverantwoordelijk handelen kan een gevaar vormen voor anderen en kan afhankelijk van de specifieke omstandigheden in sommige gevallen mogelijk als strafbaar worden beschouwd.

Vraag 9

Welk gezondheidsadvies krijgen mensen die positief getest zijn op het coronavirus, maar ook gevaccineerd zijn? Wordt bij een positief getest persoon gemeld dat het tijdelijk niet bedoeling is dat een verkregen QR-code gebruikt wordt?

Vanaf het begin van de coronapandemie is het dringende advies om bij klachten thuis te blijven, je te laten testen en als je weet dat je corona hebt in quarantaine te gaan. Dit wordt op alle mogelijke manieren uitgedragen. Als je gevaccineerd bent en klachten hebt of positief bent getest, geldt dit ook. Wanneer iemand positief test, dan neemt de GGD contact met diegene op voor het bron- en contactonderzoek. De medewerker van de GGD zal tijdens dit gesprek de informatie verschaffen die is opgesteld door het landelijk centrum infectieziektebestrijding (LCI) van het RIVM.6

Vraag 1

Bent u bekend met bovenstaand bericht?1

Ja.

Vraag 2

Bent u bekend met het onderzoek van Binnenlands Bestuur en AG Connect naar de kwetsbaarheden in industriële controlesystemen waarmee onder meer rioleringen, sluizen en verkeerslichtsystemen worden aangestuurd? Zo ja, hoe beoordeelt u de bevinding dat deze controlesystemen kwetsbaar zijn voor hackers?

Ja. De beveiliging van dergelijke systemen vereist een andere aanpak dan reguliere IT-systemen. Dit komt door de specifieke risico’s die samenhangen met het toepassingsgebied. Deze systemen hebben een langere levensduur en zijn complexer. Juist daarom is er de laatste jaren extra aandacht voor de beveiliging van operationele technologie, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector». Zie ook het antwoord bij vraag 6.

Vraag 3

Hoe vaak is het in de afgelopen twee jaar binnen Rijkswaterstaat of ProRail voorgekomen dat een succesvolle aanval is gepleegd op de systemen van bediening, besturing en bewaking? Welke maatregelen zijn binnen het Chief Information Security Officer (CISO) domein genomen om inbreuk op vitale systemen in de toekomst te voorkomen?

De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum (NCSC). Er zijn de afgelopen twee jaar geen Wbni-meldingen gedaan door Rijkswaterstaat (RWS). RWS investeert actief in de verbetering van de digitale beveiliging. Zowel via het RWS versterkingsprogramma als ook via het jaarlijkse informatiebeveiligingsbeeld vanuit het CISO-domein worden diverse acties opgesteld en uitgevoerd ten behoeve van de (digitale) veiligheid, zoals uitvoeren van cybertesten als onderdeel van functionele inspectietesten en het oefenen van planvorming tijdens een cybercrisis ProRail heeft systemen voor de besturing van bruggen, tunnels en beveiliging op het spoor. Deze worden (deels) op afstand bestuurd vanuit de Verkeersleiding-posten. Er zijn geen succesvolle (cyber)aanvallen uitgevoerd. Op de essentiële systemen is een zwaar cybersecurity regime van toepassing. Dit regime wordt met regelmaat door externe onderzoeksbureaus getoetst op betrouwbaarheid en werking.

Vraag 4

Klopt het dat de kwetsbaarheden in de controlesystemen onder meer worden veroorzaakt door de afwezigheid van beveiligingsupdates en het gebruik van verouderde besturingssystemen? Zo ja, hoe beoordeelt u dit beleid, zijn hierover afspraken gemaakt met de aanbieders van de besturingssystemen en wat zijn de kosten hiervan op jaarlijkse basis? Deelt u de mening dat een gebrek aan adequate beveiliging van dergelijke systemen kan leiden tot aanzienlijke (nationale) veiligheidsrisico’s met mogelijk ontwrichtende gevolgen?

De door u genoemde kwetsbaarheden die bij Industriële Controle Systemen (ICS) kunnen ontstaan, kunnen vooral benut worden door hackers indien er koppelingen zijn met het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Risico’s van controle-systemen zijn in het algemeen systeem-, organisatie-, locatie- en tijd specifiek en hangen samen met beveiligingsmaatregelen die door de organisatie zijn getroffen.
Ons beleid is erop gericht organisaties bewust te maken van deze kwetsbaarheden, kennis te delen en te waarborgen dat er maatregelen worden genomen om deze nationale risico’s zoveel mogelijk te verkleinen. Het programma «Versterken Cyberweerbaarheid in de Watersector» levert hier een belangrijke bijdrage aan. De uitvoering van het programma wordt bekostigd uit het IenW-budget van de Nationale Cyber Security Agenda (NCSA). Zie voor de inzet van regelgeving ook vraag 6.

Vraag 5

Klopt het dat een goedwillende hacker op afstand het rioleringssysteem van een grote gemeente kon overnemen, dit vervolgens meldde bij de betreffende gemeente, maar het vervolgens maanden duurde voor de benodigde update werd uitgevoerd? Zo ja, hoe beoordeelt u deze gang van zaken? Bent u het eens dat, gezien de aanzienlijke veiligheidsrisico’s van kwetsbaarheden in het systeem, snelheid hier geboden is?

Uit navraag blijkt geen nadere informatie beschikbaar over een casus van een goedwillende hacker die het rioleringssysteem van een grote gemeente kon overnemen.
Voor de aanpak van de veiligheidsrisico’s die volgen uit kwetsbaarheden in een systeem, zie de beantwoording van vraag 4, 6, 7 en 9.

Vraag 6

Kunt u toelichten welk beleid wordt gevoerd ten aanzien van beveiligingsproblemen en in het bijzonder van het updaten van software van industriële besturingssystemen? Zo ja, welke problemen worden hier ondervonden en wordt in samenwerking met experts gezocht naar oplossingen voor deze problemen? Zo nee, waarom niet?

Op 1 juli j.l. is voor alle Aanbieders van Essentiele Diensten (AED’s) binnen het IenW-domein de Regeling beveiliging netwerk- en informatiesystemen IenW (MR)2 in werking getreden om de AED’s meer handvatten te bieden bij de uitvoering van hun zorgplicht, waaronder maatregelen op het gebied van detectie en respons en patchmanagement. Met deze MR wordt ook de ILT in staat gesteld hier goed toezicht op te houden. Het Nationaal Cybersecurity Centrum (NCSC) heeft voor het adequaat patchen van industriële besturingssystemen diverse handreikingen opgesteld 3. Daarnaast wordt er regelmatig door het NCSC en de diverse ministeries, samen met leveranciers gesproken over (de noodzaak van) goed patchmanagement. Hierbij wordt samen gewerkt in diverse initiatieven4, bijvoorbeeld in de Cybersecurity Alliantie.
Al deze maatregelen tezamen borgen dat de betreffende organisaties weerbaarder zijn bij cyberrisico’s: ze hebben inzicht in de mate waarop de maatregelen doeltreffend zijn, de risico’s kunnen beter beheerst worden en ze zijn in staat voortdurend bij te sturen.

Vraag 7

Welke veiligheidseisen worden gesteld bij de inkoop van software en hardware voor industriële besturingssystemen? Wordt een risicoanalyse uitgevoerd bij de aankoop van de betreffende software en wordt regelmatig getest of beiden voldoen aan de dan geldende veiligheidseisen? Zo ja, wat wordt gedaan met de uitkomsten van de risicoanalyses? Zo nee, waarom niet?

Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoop-contracten en afspraken maken over de naleving van die contracteisen. Het uitvoeren van risicoanalyses en testen is hier onderdeel van. De aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding is eind 2018 geïmplementeerd door de rijksoverheid. Hiermee is het staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.

Vraag 8

Wat is de huidige stand van zaken van het uitvoeren van de aanbevelingen die de Algemene Rekenkamer in 2019 heeft gedaan ten aanzien van de cyberbeveiliging van waterwerken? Welke aanbevelingen zijn reeds overgenomen en uitgevoerd en welke nog niet?

Sinds het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring» uit 2019 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Ik heb uw kamer hierover geïnformeerd in 20205 en onlangs over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector» op 2 juni 20216. Sindsdien zijn de maatregelen voor procesautomatisering in de «Cybersecurity Implementatie Richtlijn Objecten» waarmee deze op bredere schaal kunnen worden toegepast. Een andere prioritaire maatregel betreft de aansluiting van extra objecten op het Security Operations Centre (SOC)7 van RWS. Het betreft daarbij objecten, zoals bijvoorbeeld bruggen en sluizen,van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). Hiermee kunnen kwetsbaarheden eerder gesignaleerd worden en kan er adequaat actie worden genomen om deze te verhelpen.

Vraag 9

In hoeverre worden dreigingsbeelden ingezet en praktisch doorvertaald naar de bescherming van industriële besturingssystemen en in het bijzonder individuele vitale objecten zoals waterkeringen en sluizen?

Dreigingsbeelden worden gedeeld door de veiligheidsdiensten met de betreffende bedrijven en instellingen. Deze maken zelf een doorvertaling naar de systemen in eigen beheer en de organisatie specifieke impact. Vanuit onze beleidsverantwoordelijkheid bieden wij hierbij ondersteuning. Organisaties zijn zelf verantwoordelijk om de juiste maatregelen te implementeren. Waar het aanbieders van essentiële diensten (AED’s) betreft, zien de toezichthouders hierop toe.

Vraag 10

Bent u het eens dat bij het keren en beheren van water de fysieke veiligheid van miljoenen Nederlanders op het spel staat? Zo ja, bent u het dan ook eens dat het niveau van cybersecurity van systemen die rioleringen, bruggen en sluizen aansturen aanzienlijk hoger moet liggen dan nu het geval is? Zo ja, bent u bereid maatregelen te treffen om dit niveau te verhogen? Zo ja, welke? Zo nee, waarom niet?

Ja, ik deel uw mening dat het keren en beheren van water cruciaal is voor de bescherming van Nederland. Daarom is «keren en beheren van de waterkwantiteit» een vitaal proces in categorie A (infrastructuur die bij verstoring, aantasting of uitval ernstige gevolgen heeft op economisch, fysiek of sociaal-maatschappelijk vlak met mogelijke cascade gevolgen). Er wordt hard gewerkt aan het verhogen van het niveau van cyberweerbaarheid van vitale objecten binnen dit proces en deze vallen ook onder de Wbni, zie ook mijn antwoord onder vraag 8.
Verder heb ik vanuit mijn systeemverantwoordelijkheid aandacht voor de cybersecurity van systemen die riolering, bruggen en sluizen aansturen. Daarom werken we samen met decentrale overheden om ook hier de cyberweerbaarheid te verhogen en de Nederlandse infrastructuur blijvend te beschermen.

Vraag 1

Hoe beoordeelt u het feit dat verschillende gemeenten zoals Hof van Twente afgelopen jaren slachtoffer zijn geworden van cyberaanvallen waarbij veel gevoelige persoonsgegevens zijn buitgemaakt?1

Iedere digitale aanval op een overheidsorganisatie is er één te veel. De realiteit is dat digitale dreigingen toenemen. Vanuit mijn stelselverantwoordelijkheid voor de digitale overheid stel ik kaders en ondersteun ik waar nodig om het openbaar bestuur digitaal veilig te laten functioneren.

Vraag 2

Hoe beoordeelt u het feit dat uit onderzoek blijkt dat een groot deel van de gemeenten nog geen draaiboek (protocol) heeft in het geval van een digitale aanval? Hoe beoordeelt u het feit dat gemeenten als gevolg hiervan geen kennis en kunde in huis hebben om de benodigde stappen te zetten na een digitale aanval en om de opgelopen schade te mitigeren?2

Ik deel het beeld dat op het terrein van informatieveiligheid binnen en buiten de overheid veel werk te doen is. De digitale dreiging is groeiende en alle organisaties wereldwijd kampen met dit vraagstuk. Het is een breed maatschappelijk vraagstuk waar naast gemeenten, ook andere publieke organisaties mee kampen.
Verder deel ik de mening dat overheidsorganisaties voorbereid moeten zijn op digitale aanvallen. Inderdaad zijn aanvallen nooit 100% te voorkomen. Vandaar dat ik uw Kamer graag wijs op de Baseline Informatiebeveiliging Overheid (BIO)3. Dit is het algemene basisnormenkader voor informatieveiligheid voor de gehele overheid, waarin ook eisen en maatregelen zijn opgenomen over het beheer van informatiebeveiligingsincidenten. Concreet stelt de BIO in hoofdstuk 16 «Beheer van informatiebeveiligingsincidenten» onder meer verplicht dat er verantwoordelijkheden en procedures tot op directieniveau zijn vastgesteld voor een snelle, doeltreffende en ordelijke respons op informatiebeveiligingsincidenten. Er worden eisen gesteld aan het rapporteren van incidenten. Gezien het belang ervan zijn deze eisen in de BIO, conform de systematiek van de BIO4, nader vertaald in maatregelen zoals de verplichting een intern meldloket te hebben met vastgestelde afhandelingsprocedures. En de meldingsprocedure moet voor iedereen in de organisatie kenbaar zijn. Ook beschrijft de BIO hoe afhankelijk van de ernst van een incident verder moet worden gereageerd. Draaiboeken en protocollen zijn daarmee impliciet onderdeel van een totaalpakket van de verplichtingen en aan maatregelen, die voortvloeien uit hoofdstuk 16 van de BIO.
Ik deel dan ook het standpunt dat het hebben van draaiboeken en protocollen van belang is om snel in te kunnen spelen op digitale ontwrichting. Gemeenten zijn verantwoordelijk voor hun informatieveiligheid binnen de geldende kaders, ook voor het opstellen van draaiboeken en protocollen voor incidenten. Het college van burgemeester & Wethouders draagt de eindverantwoordelijkheid voor hun gemeente en de gemeenteraad controleert.
Digitale aanvallen zijn niet allemaal hetzelfde. De kennis en kunde die nodig is om de nodige stappen te zetten, verschilt per aanval. Gemeenten kunnen indien nodig ondersteuning krijgen van de Informatiebeveiligingsdienst (IBD) van de Vereniging Nederlandse Gemeenten (VNG). Vanuit de kaderstellende en ondersteunende rol van BZK voert het Centrum Informatiebeveiliging een Privacybescherming (CIP) sinds 2019 een overheidsbreed ondersteuningsprogramma uit. Het voornaamste doel hiervan is adviezen en ondersteuningsmiddelen aanreiken aan overheden, gericht op het geïmplementeerd krijgen van de BIO.
Ten slotte maak ik u graag attent op de jaarlijkse overheidsbrede cyberoefening en de bijbehorende webinars5 die erop zijn gericht op de digitale weerbaarheid van de overheid te vergroten. Aan deze oefening nemen veel verschillende overheidspartijen deel. De laatste cyberoefening met meer dan 1000 deelnemers vond op 1 november plaats.

Vraag 3

Hoe beoordeelt u het feit dat er wetenschappelijk en maatschappelijk consensus bestaat over de meerwaarde van een cyber protocol/draaiboek in het geval van een digitale aanval waarbij handelingsperspectief kan worden geboden aan organisaties en digitale aanvallen sneller kunnen worden verholpen?

Zie antwoord vraag 2.

Vraag 4

Bent u het met ons eens dat digitale aanvallen nooit honderd procent voorkomen kunnen worden, maar dat het hebben van een cyber protocol/draaiboek indien een aanval zich voordoet wel van essentieel belang is om gemeentes de juiste stappen te laten zetten om zo goed mogelijk om te gaan met digitale aanvallen en om de schade zoveel mogelijk te beperken? Zo ja, bent u het dan ook eens dat het hebben van een cyber protocol/draaiboek een belangrijk hulpmiddel is in het zo goed mogelijk omgaan met digitale aanvallen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Bent u het met ons eens dat het hebben van een cyber protocol/draaiboek als een belangrijk aanvullend instrument kan worden in gezet in een breder pakket van bestaande maatregelen tegen digitale aanvallen? Zo ja, bent u alsnog bereid om de aangenomen motie Yesilgöz-Zegerius (Kamerstuk 26 643, nr. 753) uit te voeren en dus in samenwerking met de Vereniging Nederlandse Gemeenten (VNG) en de Informatiebeveiligingsdienst (IBD) cyber protocollen/draaiboeken op te stellen om gemeentes beter voor te bereiden op digitale aanvallen? Zo nee, waarom niet?

In mijn reactiebrief6 op de motie Yesilgöz-Zegerius7 heb ik aangegeven hoe ik uitvoering geef aan de motie. Ik herhaal hier kort wat ik in mijn reactiebrief heb gesteld, namelijk dat ik in mijn beleid niet inzet op één cyberverdedigingsprotocol voor alle gemeenten, omdat de ene situatie niet de andere is. Hoe er daadwerkelijk moet worden gehandeld is weliswaar context-afhankelijk, maar wel onderworpen aan eisen. Zoals ik hierboven heb aangegeven stelt de BIO eisen aan het afhandelen van informatiebeveiligingsincidenten met inbegrip met vastgestelde procedures.
Naar aanleiding van het artikel van AG Connect wil ik hieraan nog een paar opmerkingen toevoegen. Ten eerste: informatieveiligheid is een gezamenlijke verantwoordelijkheid. Ik noemde eerder dat informatieveiligheid bij gemeenten onder de eindverantwoordelijkheid van het College van B&W valt. Het is van belang dat waar dat niet of onvoldoende gebeurt, zij hun verantwoordelijkheid nemen en gaan uitoefenen; de gemeenteraad dient hier ook op toe te zien. Gemeenten worden hierbij ondersteund door de VNG en de IBD voor gemeenten.
Ik ondersteun dit door de controlerende taak (het horizontale toezicht) van de gemeenteraad te versterken met onder andere de aanpak Eenduidige Normatiek Single Information Audit (ENSIA), waarover uw Kamer is geïnformeerd op 18 maart jl. in de Voortgangsbrief Informatieveiligheid.8 ENSIA heeft tot doel te komen tot een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid bij gemeenten. De focus van ENSIA ligt op verantwoording richting de gemeenteraad, het hoogste politieke orgaan van de gemeente. Echter, omdat gemeenten ook verantwoording afleggen aan de rijksoverheid waar het gaat om het gebruik van landelijke voorzieningen, helpt ENSIA de gemeenten in één keer verantwoording af te leggen over informatieveiligheid gebaseerd op de normen die gelden voor de Nederlandse overheid, de BIO. Met ENSIA sluit de verantwoording over informatieveiligheid aan op de planning- en controlcyclus van de gemeente. Hierdoor heeft het gemeentebestuur meer overzicht over de informatieveiligheid van zijn gemeente en kan het beter sturen en verantwoording afleggen aan de gemeenteraad.
Ook de VNG ziet het belang en de urgentie van adequate digitale weerbaarheid toenemen. Ze biedt op het terrein van informatieveiligheid de gemeenten daarbij op allerlei wijzen ondersteuning, zoals ook op het terrein van incidentmanagement. VNG en IBD trekken lessen uit incidenten en stellen deze lessen openbaar beschikbaar. Dit geldt onder andere voor de geleerde lessen van de door u aangehaalde incidenten, de hacks bij de gemeenten Lochem en Hof van Twente en de Citrix-problematiek.
De IBD heeft voor gemeenten een aantal producten beschikbaar gesteld die ingaan op het voorkomen van digitale incidenten, maar ook op de wijze waarop een incident kan worden afgewikkeld. Het incident bij de gemeente Hof van Twente heeft onder andere geleid tot de ontwikkeling van het «kaartje in de meterkast» voor gemeentesecretarissen9. Dit document helpt de gemeente om vooraf de juiste stappen te bepalen in geval van een incident. Via de vakvereniging worden gemeentesecretarissen gewezen op dit initiatief.
Om gemeenten te helpen met het verhogen van de digitale weerbaarheid heeft de IBD een ondersteuningspakket ontwikkeld voor de processen en maatregelen uit de BIO met de hoogste prioriteit. In dit ondersteuningspakket wordt naast preventieve maatregelen en bewustwording ook ingezet op bedrijfscontinuïteitbeheer (BCM) en zijn concrete handreikingen voor incident en responsmanagement beschikbaar voor alle gemeenten. Zoals gesteld in mijn reactie op de motie Yesilgöz-Zegerius worden de Veiligheidsregio’s betrokken bij crisis en incidenten volgens de Gecoördineerde Regionale Incidentbestrijdingsprocedure (GRIP) en kan opgeschaald worden naar de nationale crisisstructuur.
Met dit ondersteuningspakket zie ik dat de gemeenten voortvarend bezig zijn. Tegelijkertijd ben ik met de VNG, de rijksoverheid, de Unie van Waterschappen en het Interprovinciaal overleg doorlopend in gesprek om gezamenlijk de digitale weerbaarheid van de overheid te versterken tegen de telkens wijzigende dreigingen.

Vraag 1

Bent u op de hoogte van het gepubliceerde artikel in Het Financieele Dagblad en het onderzoek dat op 14 oktober 2021 is gepubliceerd door de vakbladen Binnenlands Bestuur en AG Connect?1, 2

Ja.

Vraag 2

Zijn er bruggen en rioleringssystemen die op dit moment kwetsbaar zijn en geen update kunnen krijgen met de laatste beveiligingsmaatregelen? Zo ja, welke zijn dit?

Bruggen en rioleringssystemen zijn veelal in beheer bij decentrale overheden. Decentrale overheden zijn zelf verantwoordelijk om op basis van risicoanalyse en risicoafweging beveiligingsmaatregelen te nemen. Ik heb geen signalen van de sector of koepelorganisaties VNG, UvW of IPO ontvangen dat Industriële Controle Systemen (ICS) van bruggen en rioleringen bij decentrale overheden op grote schaal kwetsbaar zouden zijn en dat het ontbreken van updates benodigde beveiligingsmaatregelen zou belemmeren, zie ook de beantwoording van vraag 3.

Vraag 3

Welke risico’s lopen de controlesystemen bij onder andere rioleringen, sluizen en verkeerslichten op dit moment op?

Risico’s van controlesystemen zijn in het algemeen systeem-, organisatie-, locatie- en tijdsspecifiek en hangen samen met beveiligingsmaatregelen die door een organisatie zijn getroffen. Iedere organisatie opereert binnen haar eigen organisatie-specifieke context en maakt op basis van een risicoanalyse een risicoafweging. Risico’s die bij ICS systemen kunnen ontstaan, worden vooral veroorzaakt door koppelingen aan het internet waardoor systemen op afstand kunnen worden gemanipuleerd, overgenomen of onklaar worden gemaakt. Om uitval te voorkomen zijn er veelal terugval opties aanwezig, zoals bijvoorbeeld de handbediening van bruggen en sluizen.

Vraag 4

Welke acties heeft u getroffen naar aanleiding van het kritische rapport van de Algemene Rekenkamer vanaf 2019?3

Sinds publicatie van het rapport van de Algemene Rekenkamer «Digitale Dijkverzwaring: cybersecurity en vitale waterwerken» uit 20194 heeft er bij Rijkswaterstaat (RWS) een flinke verbeterslag plaatsgevonden. Ik heb uw Kamer in 20205 geïnformeerd over mijn inzet in deze. Op 2 juni 20216 heb ik uw Kamer geïnformeerd over de laatste stand van zaken via mijn brief «Update Versterken Cyberweerbaarheid in de Watersector».
RWS investeert in verbetering van de digitale beveiliging, via het RWS-versterkingsprogramma. Één van de prioritaire maatregelen betreft de aansluiting van extra objecten op het Security Operations Centre (SOC7). In 2019 zijn alle vitale objectenl aangesloten. Van de overige niet-vitale objecten zijn momenteel 12 van de 60 aangesloten. Het betreft daarbij objecten zoals bijvoorbeeld bruggen en sluizen, van het Hoofdwatersysteem (HWS), het Hoofdwegennet (HWN) en het Hoofdvaarwegennet (HVWN). De verwachting is dat in 2023 alle 60 objecten zijn aangesloten.

Vraag 5

Kunt u de kamer informeren over de huidige stand van zaken en wat het plan van aanpak is om onze infrastructuur te beschermen tegen hackers?

Binnen de overheid lopen er meerdere initiatieven om de vitale infrastructuur te beschermen en de digitale weerbaarheid te verhogen. Voor de stand van zaken van de Nationale Cybersecurity Agenda verwijs ik naar de beleidsreactie Cyber Security Beeld Nederland 2021 en voortgangsrapportage NCSA die op 28 juni 2021 door de Minister van Justitie en Veiligheid met uw Kamer is gedeeld8.
Samen met de drinkwaterbedrijven, waterschappen, gemeenten, provincies en Rijkswaterstaat heeft het Ministerie van Infrastructuur en Waterstaat het Programma Versterken Cyberweerbaarheid in de Watersector 2019–2022 (PVCW9) opgezet. Binnen het programma zijn vijftien projecten geformuleerd die moeten bijdragen aan de versterking van de cyberweerbaarheid in de watersector. De projecten richten zich met name op de cybersecurity van de operationele technologie. Meer informatie kunt u vinden in de eerder genoemde brief10.

Vraag 6

Bent u al in gesprek getreden met gemeenten, provincies en de waterschappen inzake de beveiligingsrisico’s?

Ja, bijvoorbeeld in het programma «Versterken Cyberweerbaarheid in de Watersector» vindt regelmatig overleg plaats met en tussen de decentrale overheden en betrokken organisaties, zie ook antwoord op vraag 5.

Vraag 7

Zijn er al casussen aangetroffen waarbij er daadwerkelijk problemen zijn ontstaan in het verkeer of de waterkwaliteit doordat er een controlesysteem gehackt is geweest? Zo ja, welke casussen zijn dit?

Nee, dergelijk casussen in Nederland zijn nog mij niet bekend. De Wet beveiliging netwerk- en informatiesystemen (Wbni) verplicht vitale aanbieders en aanbieders van essentiële diensten incidenten of inbreuken met aanzienlijke gevolgen voor de continuïteit van de verleende dienst te melden bij het Nationaal Cyber Security Centrum.

Vraag 8

Bent u bereid om bijvoorbeeld bij aanbestedingen en inkooptrajecten strengere eisen te stellen inzake beveiligingsupdates en de controle daarop?

Het is sinds de aanscherping van de nationale veiligheidsrisico’s voor inkoop en aanbesteding in 2018 staand beleid vanuit de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen. Een overheidsorganisatie die ICT-producten en -diensten inkoopt moet de eisen uit de Baseline Informatiebeveiliging Overheid (BIO) vertalen naar inkoopcontracten en afspraken maken over de naleving van die contracteisen. Bij de aanschaf en implementatie van gevoelige apparatuur wordt rekening gehouden met eventuele risico’s in relatie tot de leverancier en met het concrete gebruik van de systemen.

Vraag 9

Waarom is er in het Deltaprogramma 2022 geen aandacht geschonken aan deze bevolkingsproblematiek?

Samenwerkingsafspraken over cybersecurity, met thema’s zoals de door u genoemde beveiligingsproblematiek, verlopen via het Bestuursakkoord Water en een apart ingericht programma voor de implementatie daarvan (zie ook antwoord op vraag 6). Op pagina 22 van het Deltafonds 202211 wordt de aanpak van cyberweerbaarheid beschreven.

Vraag 1

Bent u bekend met het bericht «Psychische problemen HAN-studenten ook op straat na grote hack»?1

Ja.

Vraag 2

Is het waar dat de hogeschool van Arnhem en Nijmegen (HAN) vorige maand is aangevallen met gijzelsoftware? Zo ja, kunt u een chronologisch feitenrelaas schetsen van deze gebeurtenis en kunt u hierbij specifiek ingaan op de oorzaak van de cyberaanval? Zo nee, waarom niet? Deelt u de mening dat het wenselijk is om de kennis over het ontstaan van hack te delen met andere onderwijsinstellingen zodat zij hier lering uit kunnen trekken?

De HAN University of Applied Sciences (HAN) is geconfronteerd met een hack. De HAN heeft mij laten weten dat een hacker via een webformulier toegang heeft gekregen tot een server van de HAN waarop veel gegevens stonden. Van gijzelsoftware is in dit geval géén sprake. Voor een chronologisch feitenrelaas verwijs ik naar de website van de HAN, www.han.nl/datalek waar via een liveblog de ontwikkelingen in de tijd te volgen zijn. Het is van groot belang om de kennis over het ontstaan van hacks te delen met andere onderwijsinstellingen, aangezien voor een effectieve bestrijding van cyberrisico’s samenwerking en continue kennis-en informatiedeling cruciaal is. Dat is ook in dit geval gebeurd. Zie ook het antwoord op vraag 5.

Vraag 3

Is het waar dat bij deze hack zeer gevoelige gegevens zoals medische en persoonsgegevens van studenten van de HAN buit zijn gemaakt als gevolg van de cyberaanval? Zo ja, kunt u een overzicht geven van de omvang van deze gegevens en welke gegevens precies buit zijn gemaakt? Zo nee, waarom niet?

De HAN heeft mij laten weten dat de hacker toegang heeft gehad tot een omgeving waar veel persoonsgegevens beschikbaar waren en heeft op 5 oktober een overzicht van de gelekte data gepubliceerd op haar website han.nl/datalek. Dit overzicht is als bijlage toegevoegd aan een persbericht dat op dezelfde dag is verschenen. Uit het overzicht blijkt dat het in 95% van de gevallen gaat om algemene persoonsgegevens zoals adresgegevens of telefoonnummers. Van een klein percentage van de mogelijk getroffen gegevens (3%) gaat het om meer persoonlijke gegevens waaronder informatie over de reden van studievertraging of bijzondere omstandigheden waar de hogeschool rekening mee wil houden.

Vraag 4

Is de datadiefstal reeds gemeld bij de Autoriteit Persoonsgegevens (AP)? Zo ja, is er verder contact geweest tussen de HAN en de AP? Zo nee, waarom niet?

Ja. De HAN heeft zodra zij weet had van het datalek direct de AP geïnformeerd. Deze (voorlopige) melding is op 1 september door de Functionaris Gegevensbescherming van de HAN gedaan. Zodra er nieuwe ontwikkelingen waren en de voorlopige melding kon worden aangevuld is de AP daarvan steeds op de hoogte gebracht.

Vraag 5

Heeft de HAN ten tijde van de aanval met gijzelsoftware in contact gestaan met het sectorale computer emergency response team SURFcert ter (technische) ondersteuning? Zo ja, heeft de HAN dit contact geïnitieerd? Zo ja, wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

De HAN heeft mij laten weten dat er van gijzelsoftware géén sprake is geweest (zie vraag 2). Zodra de HAN weet had van het datalek heeft de HAN op 1 september contact gezocht met SURFcert. SURFcert heeft de HAN ondersteund met het analyseren van het incident. De Indicators of Compromise (IOCs) zijn daarbij gedeeld met het SURFcert en de daarbij aangesloten instellingen.

Vraag 6

Is er een dialoog geweest tussen de HAN en de hacker in kwestie over het wel of niet betalen van het geëiste losgeld bedrag? Zo ja, heeft de HAN de politie ingeschakeld bij het voeren van deze dialoog? Zo nee, waarom niet?

De HAN heeft mij laten weten dat er contact is geweest met de hacker. De HAN is niet ingegaan op de eisen van het losgeld. Zodra de HAN kennis had van het datalek heeft zij direct contact gezocht met de politie en ook aangifte gedaan.

Vraag 7

Is het waar dat de gestolen data zijn gepubliceerd? Zo ja, waar en zijn de studenten en medewerkers hiervan op de hoogte gesteld? Zo nee, waarom niet?

Voor zover bekend zijn er geen data gepubliceerd. Omdat niet bekend is welke data er exact zijn buitgemaakt heeft de HAN vanuit het oogpunt van zorgvuldigheid en voorzorg besloten om iedereen van wie mogelijk persoonsgegevens zijn buitgemaakt te informeren.

Vraag 8

Kunt u een inschatting maken van de (immateriële) schade en kosten die deze cyberaanval tot nu heeft veroorzaakt?

Deze inschatting is vooralsnog niet te geven. De werkzaamheden bij de HAN lopen nog door. Hier zijn naast eigen medewerkers ook externe deskundigen bij betrokken.

Vraag 9

Is het waar dat de HAN een «makkelijk doelwit» is genoemd door de hacker in kwestie? Zo ja, hoe beoordeelt u deze uitspraak? Deelt u de mening dat het zeer zorgelijk is dat een Nederlandse hoger onderwijsinstelling op deze wijze wordt bestempeld door cybercriminelen?

De uitspraak van de hacker is opgetekend door een journalist. Ik kan daarover niet oordelen. De HAN heeft in haar bedrijfsvoering veel aandacht voor IT veiligheid. Dat blijkt onder andere uit de aanwezigheid van diverse preventieve, detectieve, responsieve en correctieve maatregelen. Voorbeelden daarvan zijn de regelmatige uitvoering van penetratietesten o.a. door ethical hackers, de aansluiting op de Security Operations Center oplossing geboden door het SURFsoc en de aanwezigheid van offline back-up faciliteiten. Daarnaast wordt met enige regelmaat het bewustzijn van medewerkers en studenten rond informatiebeveiliging verhoogd middels campagnes. Ook is deelgenomen aan de landelijke OZON-oefening van SURF op 18 maart jl. Middels de planning & control cyclus wordt invulling gegeven aan de verdere groei in volwassenheid op het gebied van informatiebeveiliging, om zo in te kunnen spelen op het continu veranderde cyberdreigingslandschap waar de onderwijssector mee te maken heeft.

Vraag 10

Deelt u de mening dat deze cyberaanval en in het bijzonder het buit maken van gevoelige medische gegevens van ruim 2000 studenten een zeer grote inbreuk maakt op de privacy van de studenten in kwestie? Deelt u de mening dat het voor studenten die slachtoffer zijn geworden, wenselijk is om ondersteuning te krijgen over eventuele gevaren met betrekking tot identiteitsfraude en hoe om te gaan met een eventuele psychische impact die bij het prijsgegeven van dit type gevoelige gegevens komt kijken, bijvoorbeeld van de Fraudehelpdesk? Zo ja, kunt u dit meegeven aan het bestuur van de HAN? Zo nee, waarom niet?

Persoonsgegevens en bijzondere persoonsgegevens worden beschermd via de daarvoor geldende wetgeving (AVG). Dat er gegevens van medische aard betrokken zijn bij het datalek is uiteraard bijzonder te betreuren. De HAN heeft alle mogelijk getroffen personen van het datalek geïnformeerd, waarbij de personen van wie mogelijk gevoelige gegevens zijn betrokken als eerste zijn geïnformeerd. Een team van professionals heeft vanaf het moment van informeren klaargestaan om eventuele vragen te beantwoorden. Wanneer op basis van reacties het vermoeden bestaat dat er extra nazorg nodig is, worden mensen gewezen op de diverse voorzieningen die de HAN heeft op dit gebied zoals studentpsychologen. Ook monitort de HAN of de verdere opvolging wellicht bijsturing behoeft.

Vraag 11

Deelt u de mening dat onderwijsinstellingen meer moeten doen om dergelijke cyberaanvallen te voorkomen? Zo ja, deelt u dan ook de mening dat bijvoorbeeld moet worden gekeken naar minimale beveiligeisen om de digitale hygiëne op orde te krijgen? Zo ja, hoe komt dit overeen met uw eerdere uitspraken dat de verantwoordelijkheid van goede bedrijfsvoering bij de instelling zelf ligt en ze in beginsel dus zelf verantwoordelijkheid zijn om de eigen kwetsbaarheden in de cyberveiligheid te mitigeren? Zo nee, waarom niet?

Hogescholen hebben afgelopen jaren op grond van toenemende dreiging hun aanpak geïntensiveerd. De hack bij de Universiteit Maastricht, maar ook andere incidenten, heeft de sector doen beseffen hoe belangrijk digitale veiligheid en een goede voorbereiding is. In mijn brief van 28 september jl. heb ik uiteengezet welke maatregelen de sector en ik reeds getroffen hebben en welke op stapel staan. 2

Vraag 12

Kunt u bovenstaande vragen voor het nog in te plannen commissiedebat «Digitalisering in het onderwijs» beantwoorden?

Ja.

Vraag 1

Heeft de grootschalige storing impact gehad op de bedrijfsvoering van de Nederlandse overheid (op de verschillende lagen)? Zo ja, op welke manier? Heeft de Nederlandse overheid daarbij schade geleden?

Facebook, Whatsapp en Instagram zijn voornamelijk berichtenplatforms. Voor de rijksoverheid is de Gedragsregeling Digitale Werkomgeving van toepassing, waarin staat dat dergelijke berichtenapps alleen gebruikt mogen worden voor informele zaken, zoals een interessant artikel delen, een hulpvraag stellen of sparren met collega’s. Er is geen standaard voor berichtenapps vastgesteld, waardoor een dergelijke storing niet direct leidt tot een belemmering in de bedrijfsvoering.
Voor zover mij bekend heeft de storing niet geleid tot belemmering van de bedrijfsvoering bij gemeenten, waterschappen en provincies. Overheidsorganisaties zijn zelf verantwoordelijk voor hun bedrijfsvoering en de beveiliging van informatie en informatiesystemen, zij hanteren daarbij vergelijkbare gedragsregelingen als bij de rijksoverheid.

Vraag 2

Heeft het demissionaire kabinet berichten van Nederlandse burgers, bedrijven en organisaties gehad, die last hebben ervaren van de storing? Zo ja, hoeveel? Wat was de inhoud van deze berichten? Welk algemeen beeld kan hieruit worden afgeleid?

Er zijn op dit moment geen signalen bekend over dergelijke aan het kabinet gerichte berichten. In algemene zin kan worden gesteld dat Nederlandse burgers, bedrijven en organisaties hinder en/of ongemak zullen hebben ervaren als gevolg van deze storing, die optrad als gevolg van een menselijke fout. Het betrof immers uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger.
Hoewel het een grote communicatiestoring betrof in termen van gebruikersuren (duur uitval * getroffen gebruikers), lijkt in dit geval de maatschappelijke en economische schade in Nederland mee te vallen.
Het betrof uitval van diensten die door Nederlandse burgers en bedrijven veel gebruikt worden, waaronder sociale-media platforms Facebook en Instagram en berichtendiensten WhatsApp en Facebook Messenger. Vanzelfsprekend zullen burgers en organisaties die meer gebruik maken van Facebook-diensten meer hinder hebben ondervonden.
Zo lijkt een deel van de gebruikers zonder grote problemen te zijn uitgeweken naar alternatieve diensten. Diverse andere sociale-media platforms en berichtendiensten gaven aan dat het gebruik van hun diensten tijdens en na de storing is toegenomen. Voor zover organisaties en bedrijven tijdelijk verminderd bereikbaar waren, is de verwachting dat dienstverlening over het algemeen op een later moment alsnog heeft kunnen plaatsvinden.

Vraag 3

Hoe is het demissionaire kabinet voornemens in de (recente) toekomst om te gaan met zulke grootschalige digitale storingen?

Het is in eerste instantie primair aan Facebook zelf om de benodigde technische en organisatorische maatregelen te treffen om een storing als deze te voorkomen, of wanneer deze zich toch voordoet, zo snel mogelijk te verhelpen.
Parallel daaraan hebben gebruikers een eigen verantwoordelijkheid om voor zichzelf na te gaan in hoeverre het voor hen verantwoord is om van één dienst of één bedrijf afhankelijk te zijn en zo nodig alternatieven te verkennen en te gebruiken.
Voor zover het de storing van de berichtendiensten WhatsApp en Facebook Messenger betreft: deze diensten zijn zogeheten nummeronafhankelijke interpersoonlijke communicatiediensten. Zij vallen daarmee onder de verbrede definitie van een elektronische communicatiedienst zoals gedefinieerd in het wetsvoorstel tot wijziging van de telecommunicatiewet ter implementatie van Richtlijn 2018/1972 (de Telecomcode) (Kamerstuk 35 865, nr. 2) zoals deze op dit moment bij uw Kamer voorligt. Dat betekent dat na inwerkingtreding van bovenvermelde wijziging van de telecommunicatiewet (TW) de aanbieders van deze diensten straks ook een meldplicht van incidenten (TW art. 11.a2) en een zorgplicht (treffen van passende beveiligingsmaatregelen onder meer om, als het gaat om dergelijke storingen, in bepaalde mate bestand te zijn tegen acties die de beschikbaarheid van de dienst in gevaar brengen, (TW art. 11.a1) opgelegd krijgen, zoals dat nu al geldt voor aanbieders van traditionele elektronische communicatiediensten als spraaktelefonie en berichtenverkeer (SMS). Agentschap Telecom is hiervoor de aangewezen toezichthouder.
Op Europees niveau wordt gewerkt aan een herziening van de richtlijn (2016/1148) ter bevordering van de beveiliging van netwerk- en informatiesystemen, NIB2. De huidige richtlijn is in Nederland geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni). Op grond van de huidige NIB-richtlijn is de Ierse toezichthouder exclusief bevoegd om toe te zien op Facebook-clouddiensten daar de Europese vestiging van het bedrijf in Ierland is gevestigd. Met betrekking tot het herzieningsvoorstel1 heeft de Europese Commissie voorgesteld om in deze herziening ook sociale media op te nemen. Over deze richtlijn wordt momenteel onderhandeld.
In het ECASEC2-overleg van ENISA3 en de Europese toezichthouders die toezien op de telecomveiligheid worden ook incidenten en te nemen maatregelen besproken. Dit gebeurt nu voor de meer traditionele elektronische communicatiediensten en zal naar verwachting straks ook gaan gelden voor de interpersoonlijke communicatiediensten. Hierdoor kunnen vroegtijdig trends en ontwikkelingen in incidenten worden gesignaleerd. Dat kan er bijvoorbeeld toe leiden dat de toezichthouders bij het uitoefenen van het toezicht op de zorgplicht extra aandacht gaan besteden aan de bepaalde oorzaken van incidenten. ENISA publiceert jaarlijks4 de grote incidenten die nationale toezichthouders doormelden aan ENISA.
Ter voorbereiding op een digitale crisis is er het Nationaal Crisisplan Digitaal.5 Het plan is een leidraad om op hoofdlijnen snel inzicht en overzicht te krijgen in de bestaande afspraken op nationaal niveau over de beheersing van incidenten in het digitale domein met aanzienlijke maatschappelijke gevolgen. Het plan sluit daarmee aan op het Nationaal Handboek Crisisbesluitvorming. In dit geval is er geen aanleiding geweest om op te schalen binnen de nationale crisisstructuur.

Vraag 4

Is het demissionaire kabinet voornemens tijdens de Europese wetgevingsonderhandelingen inzake de Digital Services Act, de Digital Markets Act en de Artificial-Intelligence-verordeningen, en direct al bij de komende Europese top, het belang van het vernieuwen en updaten van de Border Gateway Protocol aan te kaarten? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom niet?

Deze casus heeft geen invloed op de Nederlandse positie in de onderhandelingen aangaande de Europese wetsvoorstellen voor een Digital Services Act, een Digital Markets Act en een AI Act, omdat de casus buiten de reikwijdtes van deze voorstellen valt. Wel ziet het kabinet het belang van het doorontwikkelen van internetstandaarden zoals het Border Gateway Protocol (BGP).
Facebook heeft na afloop van de storing verklaard dat deze veroorzaakt is door een menselijke fout in de BGP-configuratie van het Facebook-netwerk die niet tijdig is opgemerkt.6 Het BGP is het belangrijkste routeringsprotocol van het internet. Het zorgt ervoor dat zogenaamde Autonome Systemen (AS) elkaar kunnen vinden op het internet. Het BGP zorgt voor de koppeling tussen verschillende AS-netwerken. In dit geval heeft Facebook, door een interne (menselijke) fout, abusievelijk alle routes tussen haar netwerk en de rest van het wereldwijde Internet opgeheven, waardoor de Facebook-servers voor de rest van het Internet niet meer bereikbaar waren. Het BGP-protocol heeft in deze correct gefunctioneerd.
Het BGP wordt ontwikkeld onder de vlag van de Internet Engineering Task Force (IETF). De doorontwikkeling van een dergelijke essentiële standaard is complex en vereist een wereldwijde consensus tussen betrokken en deskundige partijen. De IETF is een grote, open, internationale gemeenschap van netwerkontwerpers, -operators, -leveranciers en -onderzoekers die zich bezighoudt met de evolutie van de internetarchitectuur en de soepele werking van het internet. Om bij deze casus te blijven, ook Facebook neemt deel aan de IETF. Nederland staat voor het multi-stakeholder model van internet governance, waarvan de IETF een goed voorbeeld is. Het kabinet ziet naar aanleiding van deze casus geen noodzaak de werkwijze van de IETF ter discussie stellen.
Wel laat ik de ontwikkelingen rond dergelijke standaardisatievraagstukken volgen en duiden. Agentschap Telecom voert daartoe op dit moment een onderzoek uit naar de belangrijkste vraagstukken rond technische internetstandaardisatie.

Vraag 5

Deelt het demissionaire kabinet de mening dat dit incident wederom aantoont hoe groot de afhankelijkheid van slechts enkele tech-grootmachten op dit moment is en dat deze buitenproportionele afhankelijkheid, middels Europese wetgeving, noodzakelijkerwijs en spoedig ingeperkt dient te worden ter bescherming van Europese burgers en bedrijfsleven? Zo ja, hoe gaat het demissionaire kabinet dit aanpakken? Zo niet, waarom deelt het demissionaire kabinet deze mening niet?

Het kabinet heeft al een tijd zorgen over de afhankelijkheid van een aantal grote platforms waar ondernemers en consumenten nauwelijks meer omheen kunnen. Vandaar dat het kabinet sinds 2019 pleit voor aanvullende regelgeving om met de macht van deze poortwachters om te gaan (Kamerstuk 27 879, nr. 71 en Kamerstuk 35 134, nr. 13). Dit heeft zijn vruchten afgeworpen. De Europese Commissie heeft in december 2020 een voorstel gedaan voor de Digital Markets Act (DMA) waarmee zij dit soort problematiek wil aanpakken. Dit voorstel is voor een groot deel in lijn met de Nederlandse inzet voor de DMA, die in februari per BNC-fiche naar uw Kamer is verzonden (Kamerstuk 22 112, nr. 3049). Ook is deze inzet tijdens de Technische Briefing over de DMA met de Commissie Digitale Zaken van eind september toegelicht. De onderhandelingen in de Raad over het voorstel lopen in een ambitieus tempo door. Er wordt gestreefd naar het aannemen van een algemene oriëntatie in de Raad voor Concurrentievermogen eind november.

Vraag 6

Welke maatregelen gaat het demissionaire kabinet treffen naar aanleiding van de grootschalige storing?

In de beantwoording van vragen 3, 4 en 5 is de inzet van het kabinet uiteengezet.