Vraag 1

Bent u bekend met het bericht «Trollenlegers uit buitenland versterkten politieke en opruiende berichten rond verkiezingen»?1

Vraag 2

Kunt u reageren op het onderzoek van RTL Nieuws, waaruit blijkt dat honderden nepaccounts uit Nigeria, Ghana en andere landen op sociale media rond de Nederlandse Tweede Kamerverkiezing het debat beïnvloed hebben?

Vraag 3

Kunt u bevestigen dat het inderdaad ook gaat om Russische invloed?

Vraag 4

Hoe oordeelt u over de impact van deze trollenlegers op de verkiezingen?

Vraag 5

Zijn deze trollenlegers nog steeds actief? In hoeverre is hier inzicht in?

Vraag 6

Herinnert u zich eerdere waarschuwingen van onder andere Europol en de Europese Commissie over buitenlandse informatieoperaties gericht op EU-lidstaten?

Vraag 7

Welke aanvullende Nederlandse maatregelen zijn sindsdien genomen en hoe verhouden die zich tot de bevindingen in dit RTL-onderzoek?

Vraag 8

Zijn er bij u signalen bekend dat buitenlandse netwerken gericht hebben geprobeerd invloed uit te oefenen op de Nederlandse verkiezingen? Zo ja, in hoeverre is hiervan sprake geweest?

Vraag 9

Is het denkbaar dat er nog meer trollenlegers actief zijn geweest rond de verkiezingen dan bekend is dankzij dit onderzoek. Zo ja, hoeveel? Op welke manier is dat volgens u in de toekomst te voorkomen?

Vraag 10

Deelt u de mening dat platforms die zich niet aan de regels houden gestraft moeten worden en dat websites en platforms bij herhaalde en grove schending (tijdelijk) uit de lucht moeten worden gehaald? In hoeverre hebben de socialemediaplatformen volgens u de verantwoordelijkheid om buitenlandse nepaccounts die zich mengen in maatschappelijke discussies in Nederland te weren en offline te halen; op basis van welk beleid of wetgeving kunt u hen hier ook verantwoordelijk voor houden? Hoe zou de aanstaande wetgeving (denk aan de Digitaledienstenverordening, de Verordening artificiële intelligentie en Digital Fairness Act) en handhaving hierop een rol van betekenis in kunnen spelen?

Vraag 11

Zijn er socialemediaplatformen aangesproken vanwege de buitenlandse nepaccounts die verkiezingen proberen te beïnvloeden. Zo ja, welke maatregelen zijn vervolgens genomen?

Vraag 12

Welke concrete maatregelen kunt u nemen om buitenlandse inmenging via sociale media bij verkiezingen te voorkomen en beperken? Zijn deze maatregelen volgens u voldoende?

Vraag 13

Welke maatregelen gaat u nemen om ervoor te zorgen dat kiezers tijdens toekomstige verkiezingen beschermd worden tegen buitenlandse beïnvloeding via sociale media?

Vraag 14

Bent u bereid om deze zorgen bij Europese collega’s onder de aandacht te brengen en ervaringen uit te wisselen om buitenlandse inmenging te voorkomen?

Vraag 1

Kent u de brief van de Nederlandse Vereniging voor Rechtspraak (NVvR) van 11 november 2025 aan het College van Procureurs-Generaal (het College), kent u de reactie van het College op die brief1 en kent u de brandbrief van 20 november 2025 uit naam van 2.850 OM-medewerkers van het «Comité OM onder druk» aan het College?2 En kent u de eerdere frustraties van OM-medewerkers over de hardnekkige ICT-problemen (toespraak voorzitter van het College van 13 mei 2024)3

Vraag 2

Herinnert u zich de eerdere berichten «Misdaadregistratie loopt vast door gammele ICT bij OM»4, het bericht «Openbaar Ministerie heeft problemen op zittingen door «ernstige computerstoring»»5 en het bericht «Een op de vier werknemers van OM kan niet werken door ICT-problemen»?6

Vraag 3

Herinnert u zich de mondelinge vragen van het lid Lahlah over ICT-problemen bij het OM (mondeling vragenuur 23 april 2024) en andere antwoorden op vragen vanuit de Tweede Kamer over eerdere ICT-problemen bij het Openbaar Ministerie (OM) waaronder uw antwoorden op de schriftelijke vragen van het lid Mutluer over de blijvende ICT-problemen bij het Openbaar Ministerie?7

Vraag 4

Deelt u de mening dat uit bovenstaande berichten blijkt dat er bij het OM al veel te lang sprake is van structurele problemen met de ICT waardoor het werk door OM-medewerkers ook al te lang belemmerd wordt en tot frustratie en gevoelens van onbegrip leidt? Zo ja, waarom? Zo nee, waarom niet?

Vraag 5

Deelt u de mening dat er ondanks de al jaren durende problemen met de ICT bij het OM geen of nauwelijks verbetering is opgetreden? Zo ja, hoe komt dat? Zo nee, waarom deelt u die mening niet en waaruit blijkt dan het tegendeel? En zo nee, hoe komt het dan dat de laatste maanden er sprake is van snel groeiende ontevredenheid bij OM-medewerkers en ze uitgeput en gefrustreerd raken omdat concrete maatregelen om de ICT duurzaam op orde te krijgen uitblijven en de werkdruk onverminderd hoog blijft?

Vraag 6

Schrikt u ook als u moet lezen dat een zeer groot en representatief deel van de OM-medewerkers constateert dat zij niet langer op een verantwoorde wijze hun werk kan doen en dat de staat van de rechtsstaat in het geding is? Zo ja, waarom? Zo nee, waarom niet?

Vraag 7

Wat is er gebeurd na uw toezegging om het OM te vragen om voor het zomerreces van 2024 te komen met een plan met concrete maatregelen om de werkdruk bij het OM te verminderen, zowel door investeringen in het personeel als door het bieden van technologische oplossingen die specifiek gericht zijn op het stroomlijnen van werkprocessen?

Vraag 8

Erkent u dat de stress en druk bij het OM-personeel leidt tot achterstanden en onvolkomenheden in dossiers? Zo ja, kunt u concreet beschrijven hoe dit de problematiek het functioneren van de strafrechtketen aantast? Zo nee, hoe kunt u dit uitsluiten en hoe verhoudt zich dat tot de genoemde brieven van de NVvR en het Comité OM onder druk?

Vraag 9

Kunt u inzichtelijk maken welke primaire processen momenteel niet naar behoren functioneren binnen het OM als gevolg van de door medewerkers aangekaarte problematiek? Kunt u bij de beantwoording van deze vraag nadrukkelijk ook informatie vanuit OM-medewerkers betrekken die dagelijks geconfronteerd worden met de ICT-problemen?

Vraag 10

Bent u bereid om met de NVvR in overleg te treden om te horen welke gevolgen de ICT-problemen voor de dagelijkse praktijk van het OM, waaronder Officieren van Justitie, hebben? Zo ja, wilt u de Kamer op de hoogte stellen van de uitkomst van dit overleg? Zo nee, waarom niet?

Vraag 11

In hoeveel zaken is er sprake van vertraging of veroudering als gevolg van de aanhoudende problematiek? Kunt u dit uiteenzetten per type zaak?

Vraag 12

Kunt u nader uiteenzetten of er afdelingen binnen het OM onevenredig hard worden geraakt door de problematiek en welke dat zijn? Heeft dit als gevolg dat sommige soorten zaken meer vertraging en veroudering oplopen dan andere soort zaken?

Vraag 13

In hoeverre komt de door het College zelf opgelegde taakstelling om de benodigde ICT-investeringen te kunnen doen ten koste van andere taken van het OM en het welzijn de OM-medewerkers?

Vraag 14

Deelt u de mening dat deze taakstelling niet zal bijdragen aan het verlagen van de werkdruk bij het OM of het beter functioneren van het OM als organisatie? Zo ja, hoe en wanneer gaat u dan zorgen voor meer financiële armslag voor het OM? Zo nee, waarom niet?

Vraag 15

Zorgen de ICT problemen er voor dat slachtofferrechten bij strafzaken in geding komen? Kunt u onderbouwen, en kan het OM bevestigen, dat deze rechten momenteel niet in het geding zijn? Kunnen het OM en u waarborgen dat alle slachtoffers van strafzaken hun bestaande rechten ten volle kunnen uitoefenen? Zo nee, kunt u in overleg met het OM specifieke verbeteringen doorvoeren zodat hier zo spoedig mogelijk wél sprake van is?

Vraag 16

Ondervinden het OM-personeel of andere partners in de strafrechtketen op dit moment nog de gevolgen van de in de afgelopen zomer ontstane verstoring van het ICT-systeem van het OM? Zo ja, welke concrete gevolgen betreft dit?

Vraag 17

Deelt u de mening dat de overgang en implementatie van het nieuwe wetboek van Strafvordering ook aanpassingen van de ICT systeem van het OM vergt? Acht u het OM in staat om tijdig voor een goed functionerende overgang en implementatie te zorgen? Zo ja, welke stappen zijn en worden daarvoor gezet en hoe is de voortgang daarvan? Zo nee, waarom niet en wat is er dan nog meer nodig?

Vraag 18

Hoe gaat u de «vinger aan de pols» van het OM houden8 en wat gaat u doen op het moment dat u moet constateren dat de ICT-problemen nog altijd niet afdoende en tijdig worden opgelost?

Vraag 19

Bent u nog steeds van mening u geen rol zou hebben bij het oplossen van de problemen bij het OM?9 Zo ja, waarom en waaruit leidt u af dat dat de OM leiding nu wel zelf in staat zou zijn om de langdurige structurele ICT problemen op te lossen? Zo nee, welke rol gaat u dan wel spelen? En zo nee, bent u bereid daar desnoods uw algemene aanwijzingsbevoegdheid jegens het OM voor te gebruiken?10

Vraag 20

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Kunt u aangeven hoe dit probleem rondom de ICT zo uit de hand heeft kunnen lopen? Waar heeft men het de afgelopen jaren laten liggen?1

Vraag 2

Heeft het Openbaar Ministerie (OM) inzichtelijk hoeveel procent van de tijd medewerkers van het OM bezig zijn met ICT-gerelateerde zaken in plaats van het werk waarvoor zij eigenlijk zijn ingehuurd? Zo ja, kunt u dit met ons delen?

Vraag 3

Op welke wijze werkt het OM aan het herstellen en verbeteren van de ICT-infrastructuur?

Vraag 4

Hoe verhoudt dit zich tot de brandbrief waarin gesteld wordt dat er investeringen nodig zijn voor de ICT-infrastructuur?

Vraag 5

Deelt u de mening van de indieners van de brandbrief dat er investeringen nodig zijn in de ICT-infrastructuur? Zo ja, welke investeringen zijn er nodig om op zo kort mogelijke termijn de ICT-infrastructuur op orde te krijgen en hoe valt dit te rijmen met de eerder gealloceerde middelen?

Vraag 6

Heeft de verhoogde werkdruk binnen het OM ook effect op de verzuimcijfers? Zo ja, hoe ziet deze ontwikkeling eruit? En wat doet het OM concreet om dit te mitigeren?

Vraag 7

In hoeverre hebben de problemen rondom de ICT consequenties voor de strafbeschikkingen die bij het OM lopen?

Vraag 8

Welke maatregelen worden er getroffen om fouten te voorkomen? En in hoeverre wordt er gekeken naar extra maatregelen om het risico op fouten zoveel mogelijk in te dammen? Zo ja, welke?

Vraag 9

Hoe kijkt u aan tegen het verwijt van de indieners van de brandbrief dat er een «krachtig geluid» en «zichtbaar leiderschap» ontbreekt vanuit de top van het OM?

Vraag 10

Ziet u voor zichzelf een rol om een «krachtig geluid» en «zichtbaar leiderschap» te laten horen richting de medewerkers van het OM? Zo ja, hoe wilt u dit invullen? Zo nee, waarom niet?

Vraag 1

Bent u bekend met het bericht in het Financieele Dagblad van 12 november jongstleden over de verkoop van het Nederlandse cloudbedrijf Solvinity aan Kyndryl, een Amerikaanse partij, en de daaruit voortvloeiende onrust bij overheden die afhankelijk zijn van de diensten van Solvinity, zoals DigiD, MijnOverheid en Digipoort?1

Vraag 2

Deelt u de zorg dat door deze overname essentiële overheidsdiensten, waaronder DigiD en MijnOverheid, feitelijk in buitenlandse handen komen, met alle risico’s van dien, bijvoorbeeld op het gebied van digitale soevereiniteit en (data)veiligheid?

Vraag 3

Welke juridische en bestuurlijke instrumenten staan u ter beschikking om dergelijke overnames van strategisch vitale ICT-dienstverleners te reguleren of te keren? Zijn er mogelijkheden om een overname te verbieden of voorwaarden te stellen?

Vraag 4

Bent u vooraf betrokken geweest bij de overnamebesprekingen, en is er door de departementen gemonitord wat de gevolgen zijn van de overname specifiek voor overheidsklanten zoals DigiD, het Centraal Justitieel Incassobureau (CJIB) en andere kritieke publieke diensten?

Vraag 5

Hoe beoordeelt u de kans dat door deze overname buitenlandse entiteiten inzage of controle zouden kunnen krijgen in kritische overheidsdata, bijvoorbeeld op grond van buitenlandse wetgeving zoals de Cloud Act of andere wet- en regelgeving?

Vraag 6

Wat is op dit moment de eigendomsstructuur van de IT-diensten achter DigiD, MijnOverheid en Digipoort? Welke onderdelen zijn in handen van Solvinity, en wat betekent de overname praktisch voor de eigendom en exploitatie van deze cruciale infrastructuur?

Vraag 7

Hoe waarborgt u dat andere belangrijke overheidsdiensten, die nu in Nederlandse handen zijn, niet op termijn eveneens kunnen worden overgenomen door buitenlandse partijen? Welke preventieve strategie wordt hierbij door het kabinet gehanteerd?

Vraag 8

Erkent u de bredere zorgen over de afhankelijkheid van buitenlandse cloudaanbieders die in het artikel naar voren worden gebracht? In hoeverre heeft het kabinet concrete stappen gezet om te investeren in digitale autonomie, bijvoorbeeld op het gebied van een nationale of «soevereine» overheidscloud?

Vraag 9

Hoe verhoudt deze overname zich tot het bestaande Rijksbreed Cloudbeleid? Worden er in dat beleid mechanismen opgenomen om toekomstige overnames van (voormalig-) Nederlandse cloudleveranciers door buitenlandse partijen te beperken?

Vraag 10

Bent u bereid de Kamer halfjaarlijks te informeren over de risico-inschatting, de maatregelen die worden genomen én de mogelijke vervolgacties in het kader van digitale autonomie over Nederlandse overheidswebsites?

Vraag 1

Kunt u aangeven hoe de 200 miljoen euro die de regering voornemens is in de AI (kunstmatige intelligentie)-fabriek te investeren, besteed zal worden?1

Vraag 2

Kunt u een toelichting geven over de technische specificaties van de beoogde AI-fabriek in Groningen?

Vraag 3

Hoe bent u van plan de High Performing Computing (HPC) (supercomputers) te realiseren die noodzakelijk zijn om geavanceerde AI-modellen te ontwikkelen?

Vraag 4

Hoe beziet u de Tsjechische AI-fabriek waar gekozen is voor de installatie van een supercomputer genaamd Karolina, met circa 1.600 centrale verwerkingseenheden (CPU’s) en circa 500 grafische processor units (GPU’s), overwegende dat juist GPU’s voornamelijk gebruikt worden voor het ontwikkelen van geavanceerde AI-modellen? Ziet u deze setup als voorbeeld voor de implementatie van de hardware in Groningen? Zo ja, waarom?

Vraag 5

Heeft u invloed op de technische uitwerking van AI-fabriek Groningen? Zo nee, wie beslist hierover? Zo ja, aan welke criteria moet de AI-fabriek Groningen voldoen?

Vraag 6

Kunt u aangeven of het klopt dat een gebruiker van de AI-fabriek deel moet zijn van het EU Horizon 2020 programma? Zo ja, kunnen nieuwe bedrijven zich hier nog voor aanmelden en hoe? Zo nee, welke personen en bedrijven kunnen in aanmerking komen voor het gebruik van een EU AI-fabriek?

Vraag 7

Kunt u toelichten waarom de verleende subsidie door zes verschillende ministeries wordt verstrekt?

Vraag 8

Mag de Nederlandse overheid aanspraak maken op het gebruik van de AI-fabriek in Groningen? Zo ja, in welke hoedanigheid?

Vraag 9

Kunt u deze vragen elk afzonderlijk en zo spoedig mogelijk beantwoorden?

Vraag 1

Bent u bekend met het bericht «Techsamenwerking in gevaar: Florida plaatst Nederlandse universiteiten op zwarte lijst»?1

Ja.

Vraag 2

Klopt het dat Amerikaanse bedrijven de samenwerking met Nederlandse universiteiten stoppen als gevolg van anti-BDS-wetgeving?2

Ik heb geen aanwijzingen dat Amerikaanse bedrijven de samenwerking met Nederland stoppen als gevolg van wetgeving tegen de Boycott, Divestment, Sanctions(BDS) beweging. Het bericht verwijst naar specifieke wetgeving uit de Staat Florida. Florida kent sinds 2016 anti-boycotwetgeving die het publieke pensioenfonds van de staat – de Florida State Board of Administration (SBA) – verplicht om elk kwartaal een geactualiseerde lijst te publiceren van «onderzochte bedrijven die Israël boycotten» en de betreffende bedrijven hierover schriftelijk te informeren. Het is verboden voor het fonds om directe aandelen te verwerven in de bedrijven op die lijst. Voor zover bekend heeft deze wetgeving tot nog toe geen gevolgen gehad voor Nederlandse bedrijven.
Afgelopen juni heeft Florida de bestaande anti-boycotwetgeving uitgebreid, waardoor meerdere publieke beleggings- of pensioenfondsen niet langer mogen investeren in onderwijsinstellingen die een academische boycot van Israël voeren. De lijst die nu circuleert, is afkomstig van het publieke pensioenfonds SBA. SBA heeft de bestaande lijst geactualiseerd naar aanleiding van de voorgenoemde wetswijziging. Dit fonds investeert zelf niet in Nederlandse kennisinstellingen. De verwachte directe impact van deze lijst op Nederlandse kennisinstellingen is daardoor nihil.

Vraag 3

Heeft u inzicht in welke universiteiten door de staat Florida op een zogenaamde «zwarte lijst» zijn geplaatst? Zo ja, is het duidelijk welke criteria daarbij zijn gehanteerd?

De betreffende lijst is gepubliceerd door de SBA van Florida. De Nederlandse onderwijs- en onderzoeksinstellingen die op de lijst staan vermeld zijn de Technische Universiteit Eindhoven, de Erasmus Universiteit Rotterdam (met een aparte vermelding van de Rotterdam School of Management), de Gerrit Rietveld Academie, de Radboud Universiteit, de Koninklijke Academie van Beeldende Kunsten, de Technische Universiteit Delft, de Universiteit Utrecht, de Universiteit van Tilburg, en de Universiteit van Amsterdam (met een aparte vermelding van de Amsterdam School for Cultural Analysis).
Bij het opstellen van de lijst hanteert de SBA de criteria zoals meegegeven in de statelijke wetgeving van Florida. Zoals hierboven is aangegeven, vereist deze wetgeving sinds juni 2025 dat ook instellingen die participeren in «academische boycots» dienen te worden opgenomen in de lijst. De Staat Florida definieert een academische boycot van Israël als een situatie waarin een onderwijsinstelling restrictieve beleidsmaatregelen voert, of op andere wijze deelneemt aan activiteiten die resulteren in het beperken van bestaande of potentiële academische relaties op basis van banden met de staat Israël of met diens academische, onderwijs- of onderzoeksinstellingen. Binnen de gehanteerde definitie valt ook het collectief aansprakelijk stellen van onderzoekers, (toekomstige) studenten of gastdocenten voor vermeend aanstootgevend gedrag van de staat Israël. Een onderwijsinstelling wordt beschouwd als deelnemer aan een academische boycot van Israël wanneer één van de onderdelen van een instelling (bijvoorbeeld een vakgroep of faculteit) een boycot voert.3
De SBA claimt de selectie van opgenomen entiteiten op de lijst gemaakt te hebben op basis van publiek beschikbare informatie en gesprekken die het fonds voert met belanghebbenden en andere investeringsfondsen. Het is niet duidelijk welke informatie precies heeft geleid tot de toevoeging van de genoemde Nederlandse onderwijs- en onderzoeksinstellingen.

Vraag 4

Is u bekend of andere Amerikaanse staten vergelijkbare maatregelen hebben getroffen of in voorbereiding hebben? Zo ja, om welke staten gaat het?

Veel Amerikaanse staten kennen een vorm van anti-boycotwetgeving met betrekking tot Israël. In de meeste staten richt de wetgeving zich op bedrijven die overheidsdiensten leveren of op publieke fondsen die in bedrijven investeren. Florida is voor zover bekend de enige Amerikaanse staat die onderwijsinstellingen en academische boycots expliciet opneemt in de wet.

Vraag 5

Wat is de verwachte impact van deze ontwikkeling op Nederlandse universiteiten en wat voor gevolgen heeft dit voor hun onderzoek?

De huidige lijst is afkomstig van een individueel fonds uit één Amerikaanse staat. Dit fonds investeert zelf niet in Nederlandse kennisinstellingen. De verwachte directe impact van deze lijst op Nederlandse kennisinstellingen is daardoor nihil.

Vraag 6

Heeft u inzicht in de eventuele schade aab de Nederlandse kennisinfrastructuur, bijvoorbeeld op het gebied van chips maar ook medische innovatie, nu Amerikaanse instellingen hun samenwerking met Nederlandse universiteiten lijken op te schorten?

Ik heb geen signalen ontvangen dat Amerikaanse instellingen hun samenwerking met Nederlandse universiteiten opschorten. Ik verwacht daarom geen impact op de Nederlandse kennisinfrastructuur.

Vraag 7

Is er sprake van overleg of coördinatie tussen de Nederlandse overheid en kennisinstellingen enerzijds en de Amerikaanse staten anderzijds? Zo ja, wat is daarin uw inzet?

Mijn ministerie voert geen regulier overleg met afzonderlijke staten. Wel is er contact op federaal niveau. Samen met de Minister van Economische Zaken, de Minister van Buitenlandse Zaken en de Minister van Buitenlandse Handel en Ontwikkelingshulp zet ik me in om de samenwerking met de Verenigde Staten op het gebied van wetenschap en innovatie te behouden en versterken, onder meer via dialoog en uitwisseling.
Kennisinstellingen onderhouden over het algemeen geen regulier contact met de statelijke overheden. Zij staan direct in contact met de lokale kennisinstellingen en/of wetenschapsfinanciers.

Vraag 8

Bent u bereid om contact op te nemen met de genoemde Nederlandse universiteiten om te kijken wat er nodig is om de voortgang van onderzoek en wetenschap te waarborgen? Zo nee, waarom niet?

Ik sta doorlopend in contact met onze universiteiten en hogescholen over de impact van ontwikkelingen in de Verenigde Staten op het onderwijs en onderzoek in Nederland. De Vereniging Universiteiten van Nederland (UNL) en de Vereniging Hogescholen (VH) hebben mij laten weten dat enkele universiteiten en hogescholen een informerend bericht hebben gehad van de SBA over de toevoeging van hun instelling aan de lijst. Vanwege het ontbreken van een financieringsrelatie met de SBA verwachten UNL en de VH vooralsnog niet dat dit bericht impact zal hebben op de voortgang van onderzoek en wetenschap bij de universiteiten en hogescholen die op de lijst vermeld staan.

Vraag 9

Bent u bereid om maatregelen te treffen om de schade voor Nederlandse instellingen zo veel als mogelijk te beperken en zijn er eventuele alternatieve samenwerkingsroutes mogelijk? Zo nee, waarom niet?

Zoals hiervoor aangegeven, verwacht ik geen schade voor Nederlandse instellingen.

Vraag 1

Bent u ervan op de hoogte dat de Europese Commissie in het komende jaar een nieuw besluit zal nemen over de voorwaarden waaronder de 2GHz-radiofrequentie, ook wel bekend als het S-band spectrum, gebruikt mag worden?

Vraag 2

Bent u ervan op de hoogte dat de twee bedrijven1 die in 2007 voor 20 jaar de licenties van het spectrum in handen kregen inmiddels zijn overgekocht door Amerikaanse partijen?2 Wat vindt u ervan dat deze licenties voor satellietcommunicatie niet meer in Europese handen zijn?

Vraag 3

Hoe reageert u op het gegeven dat het Amerikaanse SpaceX voor 17 miljard dollar aan communicatiefrequentie koopt bij EchoStar Corporation om particulier te gebruiken in het netwerk van Starlink?3 Is dit in lijn met uw visie op de vraag hoe de 2GHz-frequentie gebruikt zou moeten worden?

Vraag 4

Kunt u het vervolgproces toelichten over de vraag hoe de voorwaarden worden opgesteld waaronder de 2GHz-frequentie in de toekomst gebruikt mag worden? Op welke momenten vindt hierover besluitvorming plaats en wanneer worden er onomkeerbare besluiten genomen?

Vraag 5

Heeft de 2GHz-frequentie een strategisch belang, bijvoorbeeld voor defensieve of civiele doeleinden? Kunt u schetsen op welke manieren de frequentie in de komende 18 jaar gebruikt kan worden?

Vraag 6

Is bij u bekend of door het directoraat-generaal Defensie en Ruimte (DEFIS) een behoefte is geformuleerd om de 2GHz-frequentie voor het IRIS2-netwerk te gebruiken? Zo ja, kunt u toelichten wat deze behoefte is?

Vraag 7

Wat is uw visie op de ontwikkeling van een «direct-to-device» functie, waarmee communicatie tussen satellieten en doorsnee smartphones mogelijk wordt? Verwacht u dat dit een veelgebruikte toepassing gaat zijn voor consumenten of dat dit strategische toepassing voor defensie zal ondersteunen? Voor welk van deze doeleinden zal de 2GHz-frequentie in de toekomst worden ingezet?

Vraag 8

Deelt u de zorgen dat Deutsche Telekom, een (toekomstig) afnemer van de «direct-to-device» diensten van Starlink,4 belang heeft bij het verlenen van de 2GHz-frequentie aan een bedrijf dat zaken doet met SpaceX en tegelijkertijd betrokken is bij de besluitvorming van de Europese Commissie?

Vraag 9

Heeft u kennisgenomen van het adviesrapport van Detecon, een consultancybedrijf dat onder Deutsche Telekom valt, waarin de Europese Commissie wordt geadviseerd over de voorwaarden waaronder de 2GHz-frequentie in de toekomst verleend moet worden?5 Wat is uw reactie op dat rapport?

Vraag 10

Hoe borgen de Europese Commissie en lidstaten de onafhankelijkheid van de adviezen die worden betrokken bij de besluitvorming over het (mogelijke) toekomstige gebruik van de licenties voor de 2GHz-frequentie?

Vraag 11

Welke kaders gelden er voor de wijze waarop de Europese Commissie de licenties voor dit spectrum vaststelt? Aan welke voorwaarden moeten de licentiehouders (gaan) voldoen? Hoe wordt gewaarborgd dat deze licenties ten goede komen aan de Europese economie en autonomie?

Vraag 12

Wat zijn de uitkomsten van de consultatieronde van de Commissie bij de belanghebbenden rond deze spectrumbanden?6 Welke belanghebbenden zijn er? Zijn er Nederlandse belanghebbenden en hoe worden hun belangen meegewogen in de besluitvorming?

Vraag 13

Heeft Nederland een zienswijze over de voorwaarden waaronder de Europese Commissie voor de komende achttien jaar het gebruik van het 2GHz-frequentie moet aanbieden? Zo ja, kunt u die toelichten?

Vraag 14

Bent u het ermee eens dat toegang tot de 2GHz-frequentie niet aan de hoogste bieder moet worden verkocht, maar aan partijen die het maatschappelijk en strategische belang van de Europese Unie dienen?

Vraag 15

Bent u het ermee eens dat, gezien vanuit het perspectief van strategische autonomie en gezien de gespannen geopolitieke situatie, het van het grootste belang is dat de marktpartijen die toegang krijgen tot de 2GHz-frequentie volledig Europees zijn?

Vraag 16

Bent u het ermee eens dat het niet wenselijk is dat slechts één of enkele zeer grote telecomaanbieder(s) uit de grootste Europese landen toegang hebben tot dit spectrum ten koste van aanbieders uit kleinere landen?

Vraag 17

Bent u het ermee eens dat het wenselijk is dat er rond de 2GHz-frequentie een volwaardige wholesalemarkt (groothandelsmarkt) ontstaat, waar ook telecomaanbieders uit kleinere Europese landen toegang tot hebben en hierop innovatieve diensten kunnen ontwikkelen?

Vraag 18

Bent u bereid om aan te geven bij de Europese Commissie dat Nederland als voorwaarde stelt dat de 2GHz-frequentie alleen voor Europese partijen beschikbaar komt, en dat hierbij uitgesloten wordt dat bedrijven achteraf door niet-Europese partijen worden overgekocht?

Vraag 19

Is het mogelijk om in de voorwaarden die de Europese Commissie stelt op te nemen dat de partijen die de 2GHz-frequentie mogen gebruiken, worden verplicht om andere betrouwbare partijen wholesale toegang tot de frequentie te verlenen, zodat zij hier ook gebruik van kunnen maken?

Vraag 20

Bent u eveneens bereid om ervoor te pleiten dat de gegunde partijen op nationaal en internationaal niveau toegang moeten verlenen tot de 2GHz-frequentie aan andere betrouwbare partijen, zodat er geen risico ontstaat op een mono- of duopolie in heel Europa?

Vraag 21

Kunt u deze vragen afzonderlijk van elkaar beantwoorden, nog vóórdat er onomkeerbare stappen worden gezet door de Europese Commissie?

Vraag 1

Bent u bekend met het bericht «Belastingdienst verplaatst mail naar Microsoft, ondanks zorgen over meekijken VS»?1

Vraag 2

Maakt de overstap van de Belastingdienst naar Microsoft 365 onze overheid meer of minder afhankelijk van de Verenigde Staten?

Vraag 3

Is er, conform de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315), een onafhankelijke onderbouwing opgesteld voor de noodzaak van de overstap naar Microsoft? Zo ja, kunt u deze delen?

Vraag 4

Waarom houdt u het mailverkeer niet in eigen beheer, zoals verzocht in de motie-Kathmann/Six Dijkstra (Kamerstuk 36 740, nr. 20)? Hoe bent u van plan om deze motie alsnog uit te voeren?

Vraag 5

Acht u de keuze voor de Belastingdienst om de eigen ICT te verhuizen naar Microsoft in het belang van de strategische autonomie, waarover de demissionaire premier op 30 september 2025 nog uitsprak dat bestuurders dit prioriteit moeten geven?2

Vraag 6

Acht u het onafhankelijk en onomstotelijk bewezen dat er geen Europese oplossing voor de Belastingdienst beschikbaar is? Uit welke onafhankelijke onderbouwing blijkt dit?

Vraag 7

Hoeveel en welke Europese alternatieven heeft u precies onderzocht en waarom waren deze ontoereikend? Kunt u de documentatie delen waaruit blijkt dat deze alternatieven niet voldoen aan de gestelde eisen?

Vraag 8

Welke eisen voor functionaliteit, veiligheid en continuïteit hanteert de Belastingdienst? Zijn deze zodanig geformuleerd dat ze niet voorsorteren op een overstap naar Microsoft 365?

Vraag 9

Kunt u alle documentatie over de risico-afweging die is gemaakt om de keuze voor Microsoft 365 te onderbouwen met de Kamer delen, waaronder de aanvullende afspraken die zijn gemaakt met de leverancier?

Vraag 10

Kunt u de gekozen exitstrategie met de Kamer delen? Is negen maanden om over te stappen van de Microsoft 365-omgeving snel genoeg in het geval van een acute stopzetting van de dienstverlening door de leverancier?

Vraag 11

Bent u zich ervan bewust dat Amerikaanse bedrijven die gegevens op Europees grondgebied stallen, alsnog moeten voldoen aan surveillanceverplichtingen die volgen vanuit nationale wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act?

Vraag 12

Is, met inachtneming van vraag 9, het stallen van gegevens op Microsoft-datacentra binnen de Europese Economische Ruimte een legitiem middel om risico’s voor de autonomie en nationale veiligheid weg te nemen?

Vraag 13

Kunt u alle documentatie over de afweging die is gemaakt voor de andere drie scenario’s in volledigheid met de Kamer delen?3

Vraag 14

Op basis van het onderzoek dat is verricht naar Europese alternatieven, op welke termijn wordt een migratie naar Europese alternatieven mogelijk? Zet u zich actief in om dit te bewerkstelligen?

Vraag 15

Waarom bent u slechts voornemens om te migreren naar Europese alternatieven als zij op een vergelijkbaar niveau zitten als Microsoft, als u het belang van digitale autonomie en nationale veiligheid onderschrijft?

Vraag 16

In hoeverre bent u bereid om digitale autonomie, kennisbehoud en data- en nationale veiligheid in te leveren ten behoeve van functionaliteit en productiviteit?

Vraag 17

Welke delen van het werkproces komen in de Amerikaanse cloud te staan? Komen ook «rulings» van de Belastingdienst, die gevoelige informatie over belastingheffing bevatten, en bedrijfsgevoelige informatie in de Microsoft-omgeving te staan?

Vraag 18

Is het migreren van maildiensten naar Microsoft een reden om bepaalde informatie niet binnen de werkomgeving van de Belastingdienst te bespreken, communiceren, of op te slaan?4

Vraag 19

Is het risico op weglekken van data naar derden onderzocht? Kan u bewijzen dat er géén risico’s zijn dat gevoelige informatie onbeveiligd wordt uitgewisseld in de nieuwe situatie?

Vraag 20

Kunt u toelichten welke primaire processen nog wel in het Nederlandse datacentrum blijven draaien en welke afweging daarbij is gemaakt? Welke beheer- en beveiligingsapplicaties worden verplaatst naar de publieke cloud en waarom vallen deze niet onder primaire processen?

Vraag 21

Kunt u deze vragen afzonderlijk beantwoorden en toezeggen dat de Belastingdienst geen onomkeerbare stappen zet totdat deze vragen zijn beantwoord?

Vraag 1

Bent u bekend met het bericht «Nieuwe socialemediaregels uitdaging voor partijen in campagnetijd»?1

Ja.

Vraag 2

Wanneer verwacht u dat de nationale uitvoeringswet van de Europese Transparantieverordening in werking kan treden?

Ik verwacht de uitvoeringswet voor het einde van dit jaar bij uw Kamer in te dienen voor behandeling. Op 26 september jl. heb ik uw Kamer bij brief geïnformeerd over de uitvoering van de Europese verordening over transparantie en gerichte politieke reclame (hierna: de verordening).2 De verordening is vanaf 10 oktober 2025 rechtstreeks van toepassing in de EU-lidstaten. Het kabinet werkt sinds 2024 aan een uitvoeringswet, waarin het Commissariaat voor de Media (hierna: het Commissariaat), de Autoriteit Persoonsgegevens (hierna: AP) en de Autoriteit Consument en Markt (hierna: ACM) worden belast met de uitvoering van de taken uit de verordening. De uitvoeringswet is in het voorjaar voor een uitvoeringstoets gedeeld met de betrokken instanties. Het advies van de Afdeling advisering van de Raad van State is op 8 september jl. uitgebracht. Momenteel werk ik aan het nader rapport, waarna het wetsvoorstel bij uw Kamer wordt ingediend. Uw Kamer gaat vervolgens over de snelheid waarmee deze wordt behandeld.
Vooruitlopend op de uitvoeringswet heb ik samen met het Commissariaat, de AP en de ACM gewerkt aan een aanwijzingsbesluit. Dit besluit is ook op 26 september jl. aan uw Kamer gestuurd.3 Daarin wordt het Commissariaat aangewezen als bevoegde autoriteit en krijgen de andere betrokken instanties enkele noodzakelijke taken toebedeeld. Zo wordt duidelijk welke instanties de verordening in Nederland gaan uitvoeren. Hierdoor kan het Commissariaat vooruitlopend op de inwerkingtreding van de uitvoeringswet al werken aan normuitleg, uitvoeringsbeleid en voorlichting geven aan marktpartijen die politieke reclame aanbieden en uitgeven. In het aanwijzingsbesluit worden de toezichts- en sanctietaken die volgen uit de verordening nog niet belegd bij de betrokken instanties. Ik acht hiertoe een formele wet noodzakelijk, omdat in de verordening zelf niet is opgenomen welke organisaties in Nederland belast worden met het toezicht op de naleving van de verschillende onderdelen van de verordening. Uitzondering hierop is de AP, die in de verordening rechtstreeks wordt belast met het toezicht op de naleving van de artikelen 18 en 19 en hiertoe ook sanctietaken krijgt. Zodra de uitvoeringswet in werking is getreden, zullen de handhavende bevoegdheden voor de overige onderdelen ook zijn belegd.

Vraag 3

Hoe zal er gecontroleerd worden of sociale mediaplatforms, zoals X, voldoen aan de Europese regels omtrent politieke advertenties?

Het toezicht op in hoeverre een platform zich aan de in de verordening gestelde regels voor politieke reclame houdt, ligt in beginsel bij de toezichthouder van het land waar het platform zijn Europese hoofdkantoor heeft. Aangezien veel grote socialemediaplatformen, zoals X, hun hoofdkantoor in Ierland hebben, ligt toezicht en handhaving bij de Ierse toezichthouders. Als daar aanleiding toe is, zullen de Nederlandse toezichthouders de Ierse collega's op de hoogte stellen van signalen of klachten.

Vraag 4

Aangezien de Europese Transparantieverordening politieke advertenties beperkt maar niet volledig verbiedt, hoe wordt in deze verordening omgegaan met situaties waarin sociale mediaplatforms bepaalde politieke partijen wel toestaan om te adverteren, terwijl andere partijen worden geweigerd?

Het zou onwenselijk zijn als zich de situatie voordoet dat socialemediaplatformen bepaalde politieke partijen wel toestaan om te adverteren, terwijl andere partijen worden geweigerd. Dat deze situatie zich gaat voordoen, is in dit stadium echter geen gegeven. Wanneer platformen bepaalde politieke partijen of andere adverteerders ongelijk zouden behandelen, dan is het, gezien de vestiging van de meeste platformen in Ierland, aan de Ierse toezichthouder of de Europese Commissie om te beoordelen of hier sprake is van een overtreding van Europese regelgeving en om in dat geval op gepaste wijze te handhaven.

Vraag 5

Acht u het wenselijk om additionele maatregelen te nemen om ongelijke behandeling tussen politieke partijen door sociale mediaplatforms te voorkomen?

Deze regelgeving is voor alle lidstaten en ketenpartners in de EU nieuw. De precieze toepassing van de verordening moet gaandeweg vorm krijgen in de praktijk. Door de uitwisseling van informatie en vragen wordt de uitvoering van de verordening verder verduidelijkt en beter uitvoerbaar. Zo gaat in de komende periode blijken wat er mogelijk is binnen de huidige wet- en regelgeving. Na de door de Europese Commissie geplande evaluatie van de verordening kan bezien worden of additionele maatregelen wenselijk zijn.4

Vraag 6

In hoeverre vallen berichten van influencers die gesponsord zijn door politiek partijen onder dezelfde transparantieverplichtingen en beperkingen als reguliere online politieke advertenties?

Influencers die boodschappen overbrengen waarvoor door een politieke partij een betaling in geld of natura wordt verricht, vallen onder de werkingssfeer van de verordening. Zij zijn dan zogeheten «uitgevers van politieke reclame» die de verplichtingen moeten nakomen die op hen van toepassing zijn. In de door de Europese Commissie vastgestelde richtsnoeren bij de verordening wordt dit helder weergegeven.5 Dit betekent dat influencers bij de plaatsing van zulke content de politieke reclame als zodanig moeten labelen en een transparantieverklaring beschikbaar moeten stellen.

Vraag 7

Hoe zal gecontroleerd worden of deze influencerberichten zich aan de regelgeving houden?

Het is per 10 oktober 2025 mogelijk om bij het Commissariaat voor de Media een melding te doen over mogelijke overtreding van de verordening. Voor het gevolg geven aan handhavende bevoegdheden is de uitvoeringswet echter vereist. Wanneer deze in werking is getreden, kan het Commissariaat, bij het houden van risicogestuurd toezicht, bepaalde influencers nauwlettender volgen en, indien nodig, gepaste maatregelen treffen. Tot die tijd zal het Commissariaat inzetten op preventieve maatregelen zoals voorlichting, bewustmaking en normuitleg.

Vraag 8

Welke sancties acht u passend tegen platformen die de Transparantieverordening overtreden?

Het is van belang dat sancties voldoende afschrikwekkend zijn, maar ook rekening houden met aspecten als ernst, impact en recidive. De verordening biedt daarvoor ruime mogelijkheden.6 Het is echter aan de toezichthouders om te bepalen wat gepaste sancties zijn bij overtredingen van de verordening. Bij overtredingen door de grote platformen zullen dit veelal de Ierse toezichthouders zijn.

Vraag 9

Acht u het wenselijk om additionele regelgeving in te stellen om niet alleen sociale mediaplatformen maar ook politieke partijen te kunnen sanctioneren als ze zich niet houden aan de regels in de transparantieverordening?

Zie het antwoord op vraag 5.

Vraag 1

In de brief wordt gesteld dat Europese alternatieven binnen afzienbare termijn niet voldoen aan het niveau van Microsoft 365; welke Europese alternatieven zijn onderzocht voordat de keuze gemaakt is voor Microsoft?

Vraag 2

Welke tekortkomingen zijn vastgesteld bij deze Europese aanbieders die ertoe hebben geleid dat zij niet als toereikend alternatief zijn aangemerkt?

Vraag 3

Kunt u toelichten aan welke vereisten en prestatienormen Europese aanbieders moeten voldoen om wel als een toereikend alternatief te kunnen gelden voor Microsoft 365?

Vraag 4

Is er perspectief op een Europees alternatief dat wel kan dienen als een alternatief voor Microsoft 365? Zo ja, welke aanbieder(s) worden dan als kansrijk beschouwd?

Vraag 5

Welke maatregelen worden er op dit moment genomen om de ontwikkeling en verbetering van Europese cloud- en software-alternatieven te stimuleren en te versnellen, zodat deze in de toekomst als volwaardig alternatief voor Microsoft 365 kunnen dienen?

Vraag 6

In berichtgeving van NRC wordt gesteld dat een van de redenen dat het gebruik van Microsoft 365 toch is doorgezet, is dat er al een aanbetaling was gedaan. In hoeverre heeft dit een rol gespeeld in de uiteindelijke besluitvorming?1

Vraag 7

Welke technische en contractuele maatregelen zijn getroffen om te zorgen dat de Amerikaanse overheid niet zomaar toegang heeft tot Nederlandse overheidsdata?

Vraag 1

Bent u bekend met het bericht «Nederlandse organisatie wint zaak: tijdlijn Facebook en Instagram moet anders»?1

Ja.

Vraag 2

Kunt u toezeggen dat, als het vonnis van de rechter standhoudt, u zal pleiten om de strengere nationale norm voor meer keuzevrijheid in de algoritmes op sociale media als Europese standaard te hanteren?

De Nederlandse rechter interpreteert in deze uitspraak bestaande normen uit de digitaledienstenverordening (DSA). Er is hier geen sprake van een strengere nationale norm en het is daarom niet nodig om op Europees niveau te pleiten voor een strengere norm. De uitspraak is uitvoerbaar bij voorraad verklaard, wat in dit geval betekent dat Meta een dwangsom moet betalen aan Bits of Freedom als zij de uitspraak niet voor 31 december 2025 naleeft. Meta heeft tegen de uitspraak hoger beroep ingesteld. Dat beroep dient op 26 januari 2026.
Uiteindelijk is de interpretatie van de DSA in laatste instantie aan het Hof van Justitie van de Europese Unie. De Digitale dienstenraad, die bestaat uit de nationale toezichthoudende autoriteiten, signaleert opkomende kwesties met betrekking tot de DSA en draagt samen met de Europese Commissie bij aan een consistente toepassing van de DSA in de EU, onder meer door de mogelijkheid tot het opstellen van richtsnoeren. Daarbij kunnen dit soort uitspraken van nationale rechters uiteraard een belangrijke rol spelen. Gelet hierop zien wij op dit moment geen reden om op Europees niveau te pleiten voor een Europese standaard op dit gebied.

Vraag 3

Deelt u de mening dat niet de rechter, maar de toezichthouder moet afdwingen dat bedrijven als Meta de Europese wet- en regelgeving naleven?

Wij delen die mening niet. De DSA voorziet in een systeem van publiekrechtelijk toezicht, maar laat de mogelijkheid van een gang naar de civiele rechter onverlet. Dit blijkt ook expliciet uit de artikelen 21 en 90, eerste lid, van de DSA. Het laatste artikel opent de deur voor collectieve acties. Publiekrechtelijke en civielrechtelijke handhaving zijn beide van belang voor de effectieve werking van het systeem van de DSA en sluiten elkaar dus niet uit.

Vraag 4

Wat gaat u doen om toezichthouders als de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens in staat te stellen om proactief toe te zien op de naleving van Europese wet- en regelgeving?

In de Uitvoeringswet digitaledienstenverordening zijn de Autoriteit Consument & Markt (ACM) en de Autoriteit persoonsgegevens (AP) aangewezen als toezichthouders. Deze wet geeft de toezichthouders de bevoegdheden die nodig zijn om toezicht te houden op de DSA. Het Ministerie van Economische Zaken stelt structurele financiering beschikbaar voor beide toezichthouders. Het ministerie staat regelmatig in contact met zowel de ACM als de AP. Er zijn vanuit de toezichthouders geen signalen ontvangen dat zij niet in staat zouden zijn om doeltreffend toe te zien op de DSA, waardoor op dit moment geen verdere actie is vereist. Het is hierbij van belang op te merken dat Facebook en Instagram onder toezicht staan van de Europese Commissie en de Ierse toezichthouder. Eventuele handhavingsmaatregelen worden door deze autoriteiten genomen.

Vraag 5

Waarom maakt de Rijksoverheid nog steeds gebruik van online platforms die de Europese wet- en regelgeving niet naleven? Hoe treedt u normerend op tegen de desbetreffende techbedrijven?

Vrijwel de hele samenleving maakt gebruik van online platforms: ruim 14 miljoen Nederlanders zijn hier daar dagelijks op actief. Nederlanders hebben een groot belang bij goede informatievoorziening door de overheid. Als overheid willen we communiceren met middelen waarmee Nederlanders goed kunnen worden bereikt. De Rijksoverheid ziet zich daarom geconfronteerd met een situatie dat er gebruik moet worden gemaakt van online platforms voor contact met de samenleving omdat er voor dit gebruik op dit moment geen geschikte alternatieven beschikbaar zijn. Daarbij speelt mee dat er specifieke groepen zijn in de samenleving die weinig gebruik maken van traditionele media en/of andere informatiekanalen. Gebleken is dat deze groepen wel goed bereikbaar zijn via online platforms.
Online platforms dienen zich te houden aan Europese wet- en regelgeving. Het is allereerst aan de toezichthouders om ervoor te zorgen dat die normen publiekrechtelijk worden gehandhaafd. In aanvulling daarop werken we aan verschillende instrumenten om naleving van Europese wet- en regelgeving te bevorderen. Zo zijn er in opdracht van de Staatssecretaris voor Koninkrijksrelaties en Digitalisering onder meer Kinderrechten Impact Assessments uitgevoerd en maken we met onderzoek naar contentmoderatie op zeer grote online platforms, waaronder sociale media, zichtbaar hoe platforms omgaan met illegale en schadelijke content.2

Vraag 6

Wat doet u om maatschappelijke organisaties, zoals Bits of Freedom, te ondersteunen in hun acties om grote techbedrijven ter verantwoording te roepen?

Maatschappelijke organisaties spelen een belangrijke rol in de effectieve toepassing van de DSA, onder meer als trusted flaggers en via civielrechtelijke handhaving van de DSA. Het onafhankelijk functioneren van deze organisaties is hierbij van groot belang. Het is een taak van de overheid om ruimte te creëren voor maatschappelijke organisaties om hun rol uit te oefenen.
De overheid onderhoudt contacten met verschillende maatschappelijke organisaties om kennis en signalen te delen, zo ook met Bits of Freedom.

Vraag 7

Bent u bereid om, in zoverre mogelijk, bijstand te verlenen aan maatschappelijke organisaties die juridisch de strijd aan gaan met grote techbedrijven die willens en wetens de wet niet naleven?

Wij zien het als taak voor de overheid om ruimte te creëren voor maatschappelijke organisaties om hun doelen na te streven, en om te zorgen dat in Nederland toezicht kan worden gehouden op de toepasselijke wet- en regelgeving. Het is echter geen taak voor de overheid om enige, maar in het bijzonder financiële, bijstand te verlenen in civielrechtelijke rechtszaken.

Vraag 8

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Kunt u bevestigen dat er op het Openbaar Ministerie (OM) een nijpend tekort aan werkplekken bestaat doordat er niet thuis kan worden gewerkt, en de mogelijkheden tot thuiswerken nog enkele weken duurt? Kunt u bevestigen dat er sprake is geweest van werken in shifts en daar nog steeds sprake van is?

Sinds 16 oktober is het telewerken weer mogelijk gemaakt voor de meeste medewerkers van het OM en is dit probleem niet meer aan de orde. In de periode daarvoor kon elk OM-onderdeel ervoor kiezen om in shifts te werken.

Vraag 2

Erkent u dat, los van de belasting op de werk-privé balans van medewerkers, hierdoor het (herstel)werk van het OM niet of zeer beperkt van de grond komt, waardoor achterstanden in de werkvoorraad verder zullen oplopen? Zo ja, welke maatregelen neemt u hierop?

De offlinegang en stapsgewijze onlinegang van het OM heeft geleid tot vertragingen. Het als gevolg hiervan niet thuis kunnen werken heeft hierbij niet geholpen en heeft ongetwijfeld veel impact op de medewerkers gehad. Het OM en partners in en rondom de strafrechtketen werken hard om deze in te (gaan) lopen. Inmiddels werken alle digitale koppelingen weer en zijn de werkprocessen zo goed als hersteld. Mijn departement staat in nauw contact met de strafrechtketenpartners om te ondersteunen waar mogelijk.

Vraag 3

Zijn er bij u signalen binnengekomen over de toenemende werkdruk als gevolg van de hack? Zo nee, hoe wordt hier toezicht opgehouden? Zo ja, welke stappen onderneemt u om dit te verbeteren?

De ontstane situatie heeft helaas onvermijdelijk een toenemende werkdruk tot gevolg gehad. Dit betreur ik uiteraard zeer. Binnen het OM is hier veel aandacht voor; bestuurders en leidinggevenden ondersteunen medewerkers hier zo goed mogelijk in.

Vraag 4

Bent u het eens dat met oplopende werkdruk en mogelijke uitval het (herstel)werk van het OM nog meer in de knel komt en het mogelijk nog ruim een jaar zal duren voordat het OM weer alle achterstanden heeft weggewerkt?

Zoals hierboven aangegeven, wordt er hard gewerkt aan het inlopen van de achterstanden. Op dit moment kan ik nog geen uitspraken doen over de termijn waarbinnen de achterstanden zijn weggewerkt.

Vraag 5

Erkent u dat het Wetenschappelijk Onderzoek- en Datacentrum (WODC) en het OM al in 2021 hebben gewaarschuwd voor de gevolgen van het wisselende financiële beleid en bezuinigingen op de IT en informatievoorziening?1 Maar dat ondanks deze waarschuwingen geen extra financiële middelen voor het OM beschikbaar zijn gesteld? Waarom niet?

Uit het onderzoek van het WODC waar de vraag naar verwijst, volgt dat de bezuinigingen op het OM in de periode van 2010 tot en met 2019 opliepen tot 88 miljoen euro exclusief het Prognosemodel Justitiële Ketens.2 Tegelijkertijd werd er voor 177 miljoen euro geïntensiveerd om bepaalde doelstellingen – waaronder voor circa 31 miljoen euro een toegenomen inzet op digitalisering «ICT en kwaliteitsverbetering» – te verwezenlijken of om nieuwe taken op te vangen.3
De afgelopen jaren is dus fors geïnvesteerd in de ICT bij het OM. Voorgaande kabinetten hebben hiervoor extra middelen vrijgemaakt. Vanuit de zogenaamde Ondermijningsmiddelen is een incidentele investering gedaan van 172 miljoen euro, verdeeld over de jaren 2022–2027: 37 miljoen in 2022 en 27 miljoen euro in de jaren 2023 t/m 2027. Daarnaast zijn er door het vorige kabinet middelen beschikbaar gesteld ten behoeve van de ICT van 7 miljoen euro in 2024 en 35 miljoen euro structureel vanaf 2025. Indien de afgelopen jaren behoefte bleek aan extra middelen voor ICT heeft het ministerie nog aanvullende middelen verstrekt om tekorten op de ICT op te vangen. Zo heeft het OM in het jaar 2021 nog een bedrag van 10 miljoen euro extra ontvangen voor ICT-werkzaamheden.

Vraag 6

Erkent u dat de bezuinigingen op het OM, die sinds 2010 zijn opgelopen tot meer dan 150 miljoen euro, een direct effect hebben gehad op de huidige tekortkomingen in de IT-infrastructuur? Welke stappen onderneemt u om deze tekortkomingen terug te dringen?

Zoals geschetst onder het antwoord op vraag 5 is er de afgelopen jaren fors geïnvesteerd in de ICT bij het OM. Daarmee zijn belangrijke inhaalslagen gemaakt ten aanzien van achterstallig onderhoud op zowel hardware als software. De opgave voor het OM is echter groot. De huidige ICT-problematiek binnen het OM is het gevolg van een langdurige achterstand in de ontwikkeling en professionalisering van de informatievoorziening. Gezien deze achterstand werkt het OM al enkele jaren aan verbeteringen op het gebied van ICT.4 Dit is een omvangrijk traject, dat nog een aantal jaren tijd en investeringen vergt. Daarnaast heeft het OM ook een grote opgave om de systemen gereed te maken voor het nieuwe Wetboek van Strafvordering.
Eerder liet ik u reeds weten dat er naar aanleiding van de ICT-inbreuk van het OM een onafhankelijk onderzoek komt, waarin wordt gekeken naar het incident en het versterken van de weerbaarheid van de IT en informatievoorziening van het OM.5

Vraag 7

Erkent u dat er op dit moment nog een bezuiniging van 40 miljoen euro ingevuld moet worden door het OM, met als gevolg dat noodzakelijke verbetering van de huidige IT-infrastructuur zal uitblijven en het personeel van het OM dus genoodzaakt is de huidige problemen op te lossen zonder extra financiële ondersteuning? Zo nee, waarom niet?

Er is geen sprake van een aan het OM opgelegde bezuiniging. Het OM heeft wel richting mij het signaal afgeven dat het vanaf 2026 financieel knelpunt voorziet op de ontwikkeling en het beheer van de ICT. Het OM is bezig om nader inzicht in en onderbouwing van dit signaal te verschaffen en te bezien hoe de tekorten binnen het OM zoveel mogelijk kunnen worden teruggebracht om het OM financieel gezond te houden. Op basis van de uitkomst zal ik samen met het OM bekijken hoe deze problematiek kan worden aangepakt.

Vraag 8

Kunt u toelichten waarom, gezien de huidige situatie en problematiek in de IT-infrastructuur, niet is besloten de bezuiniging van 40 miljoen euro uit te stellen of te schrappen? Waarom wordt verder bezuinigd op het OM, terwijl de gevolgen van de IT-infrastructuur niet eens kunnen worden overzien?

Zie antwoord vraag 7.

Vraag 9

Deelt u de mening dat het OM door de voorliggende bezuinigingen wordt gedwongen om nog meer strafzaken af te doen door middel van een strafbeschikking, wat juist in het voorjaar tot veel kritische geluiden uit de strafrechtketen en de maatschappij heeft geleid?

Nee, de financiële situatie bij het OM is niet van invloed op het minder of meer opleggen van strafbeschikkingen.

Vraag 1

Bent u bekend met het bericht «Geen mobiel bereik in grensstreek: 77-jarige man ligt na val machteloos half uur op de grond»?1

Ja.

Vraag 2

Bent u van mening dat slecht mobiel bereik een acuut veiligheidsrisico vormt, zeker voor ouderen en kwetsbare groepen die afhankelijk zijn van alarmhorloges en noodoproepen?

Mobiele netwerken spelen een belangrijke rol voor de bereikbaarheid van 112 maar gelukkig zijn ze niet de enige manier waarop mensen 112 kunnen bereiken. Er zijn ook alarmhorloges en andere apparaten die bijvoorbeeld via WiFi kunnen bellen.
Indien mensen op een plek wonen waar de mobiele netwerkdekking om welke redenen dan ook niet (altijd) optimaal is dan is dat uiteraard heel vervelend en hoop ik dat ze daar melding van maken zodat er met hen, de mobiele netwerkaanbieders, de RDI, provincies en gemeenten kan worden bekeken of er mogelijkheden zijn om dat (in de toekomt) op te lossen. Als mensen in de tussentijd geen maatregelen nemen dan kan het er helaas toe leiden dat ze 112 niet altijd kunnen bereiken wanneer het nodig is. Het is daarom belangrijk dat zij zich (laten) informeren over de beste manier om de bereikbaarheid van 112 zo veel als mogelijk te garanderen want er zijn gelukkig alternatieven beschikbaar. Zoals een vaste huisaansluiting of de 112NL-app, die uitkomst kan bieden in gebieden met een mindere netwerkdekking maar waar wel WiFi is, zoals binnenshuis.
Juist omdat de bereikbaarheid van het alarmnummer 112 van levensbelang is, geeft de Rijksoverheid diverse tips op zijn website voor mensen die ondanks de zeer goede mobiele dekking in Nederland toch nog problemen ervaren met de bereikbaarheid van 112 via een mobiel netwerk.2 Indien gemeenten de mobiele bereikbaarheid willen verbeteren, kunnen ze gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten» van de Rijksinspectie Digitale Infrastructuur.

Vraag 3

Bent u van mening dat anno 2025 iedereen in Nederland over snel internet en mobiele netwerkdekking moet kunnen beschikken, ongeacht waar men woont, omdat dit van belang is voor een ieders veiligheid?

Ja, maar helaas zijn de mogelijkheden om dat te bereiken gebonden aan natuurkundige beperkingen die eigen zijn aan radiocommunicatie. In de Nota Mobiele Communicatie is aangegeven dat mobiele communicatie een basisbehoefte is geworden.3 4 In grensstreken kan de bereikbaarheid van 112 minder goed zijn dan op andere plekken. Goede dekking in de grensstreek vereist coördinatie tussen netwerkaanbieders over de frequenties die er worden gebruikt om onderlinge verstoringen te voorkomen.
Mobiele netwerkdekking zal niet altijd door de markt tot stand worden gebracht op locaties die niet rendabel zijn. Dat kan ertoe leiden dat sommige plekken in Nederland niet vanzelf van dekking worden voorzien. Mede hierom is er in 2020 een dekkings- en snelheidsverplichting opgelegd aan de drie mobiele netwerkaanbieders. Die verplicht ertoe om 98% van het geografische grondgebied van elke Nederlandse gemeente buitenshuis te voorzien van een minimaal dienstverleningsniveau voor elke gebruiker.
Om de mobiele bereikbaarheid van het alarmnummer 112 in aanvulling daarop nog verder te vergroten zijn er diverse andere maatregelen genomen:

Vraag 4

Kunt u aangeven in welke mate dit probleem speelt in andere grensregio’s in Nederland, hoeveel meldingen daarover zijn ontvangen bij het Centraal Informatiepunt Mobiele Bereikbaarheid 112 en hoe opvolging is gegeven aan deze meldingen?

Sinds januari 2024, de start van het Centraal Informatiepunt Mobiele Bereikbaarheid 112, zijn er 46 meldingen geregistreerd, waarvan 5 uit grensgemeenten. Dit aantal is gelukkig beperkt en geeft geen aanwijzing voor een structureel probleem in de grensstreken. Meldingen laten wel zien dat er incidenteel knelpunten zijn, die voor betrokkenen ingrijpend kunnen zijn, zeker in het geval van een noodsituatie.
Uit metingen van de Rijksinspectie Digitale Infrastructuur blijkt verder dat mobiele netwerkaanbieders voldoen aan de dekkings- en snelheidsverplichting. Toch kunnen er altijd plekken zijn waar de bereikbaarheid van 112 minder goed is (bijvoorbeeld binnenshuis of in afgelegen gebieden). Het meldpunt registreert de meldingen en deelt ze waar nodig met providers, de meldkamer en de toezichthouder; het neemt zelf geen maatregelen.

Vraag 5

Bent u bereid met providers in gesprek te gaan om te waarborgen dat 112-oproepen in grensgebieden altijd doorkomen?

Ik ben en blijf in gesprek met de providers maar ook met andere relevante organisaties zoals gemeenten, de VNG, en de RDI over het verbeteren van de mobiele netwerkdekking in Nederland. Het verbeteren van de mobiele netwerkdekking draagt ook bij aan de bereikbaarheid van 112, omdat daarvoor de gecombineerde dekking van de drie mobiele netwerken van belang is en niet alleen de dekking van de provider bij wie iemand een abonnement heeft.
Zoals beschreven in de beantwoording van vraag 3 zijn er diverse maatregelen genomen om de mobiele bereikbaarheid van 112 te vergroten. Ik zie op dit moment geen aanleiding om in aanvulling hierop maatregelen te nemen. Indien gemeenten de mobiele bereikbaarheid willen verbeteren, kunnen ze gebruik maken van de «Handreiking mobiele bereikbaarheid gemeenten» van de Rijksinspectie Digitale Infrastructuur.

Vraag 6

Welke mogelijkheden ziet u om versneld maatregelen te nemen om de veiligheid van inwoners in grensregio’s te garanderen?

Zie antwoord vraag 5.

Vraag 7

Welke rol ziet u voor het Rijk om, samen met provincies, gemeenten én veiligheidsregio’s, structurele oplossingen te realiseren voor grensbewoners die nu vaak in onzekerheid leven of zij in geval van nood hulp kunnen inroepen?

Zie antwoord vraag 5.

Vraag 8

Bent u bereid te onderzoeken of, aanvullend op verbetering van mobiel bereik, het plaatsen van alarmpalen of andere vaste noodvoorzieningen kan bijdragen aan de veiligheid en bereikbaarheid van hulpdiensten in de meest kwetsbare gebieden?

Gezien de zeer goede mobiele dekking in Nederland, de diverse aanvullende maatregelen en alternatieve manieren om 112 te kunnen bereiken zie ik geen reden tot het nemen van extra maatregelen. Uw suggestie is sympathiek maar er zijn gelukkig al een reeks alternatieve manieren om in contact te kunnen komen met 112 wanneer er geen mobiele netwerkdekking is.5

Vraag 1

Heeft u kennisgenomen van het bericht «Nederlandse providers houden zich niet aan sancties tegen Rusland»?1

Ja.

Vraag 2

Was dit gebrek aan naleving van sancties door Nederlandse internetproviders al eerder bij u en/of het openbaar ministerie (OM) bekend? Zo ja, is daar actie op ondernomen? Zo nee, waarom niet?

Ja, het was bekend dat niet alle internetproviders zich aan deze sanctiemaatregelen houden. Uit het onderzoek van Nieuwsuur blijkt dat dit beeld overeenkomt met de mate van naleving in diverse andere EU-lidstaten. In Nederland wordt bij signalen van mogelijke overtreding van sancties altijd onderzoek gedaan. Hier wordt waar nodig verdere opvolging aan gegeven. Het is uiteindelijk aan het Openbaar Ministerie om eventuele niet-naleving van de sancties te onderzoeken en te vervolgen.
Om internetproviders te ondersteunen bij de implementatie van de media-gerelateerde sancties is het kabinet al langere tijd met de Europese Commissie in overleg over de precieze interpretatie van het verbod en de nadere verduidelijking die nodig is om het verbod in de praktijk uit te kunnen voeren. Om te voorkomen dat er ten onrechte websites worden geblokkeerd is het van belang om nauwkeurig te weten welke website bij welke gesanctioneerde propagandazender hoort. Daarnaast gebruiken de Russische media vele verschillende IP-adressen en URL’s, zijn er veel dienstverleners betrokken bij de toegang tot die media en bevindt een deel van de dienstverleners zich buiten de EU-grenzen. Verduidelijking van het verbod is ook nodig voor een uniforme implementatie in de hele EU. Dit overleg met de Europese Commissie heeft onder meer geresulteerd in guidanceover de interpretatie van het artikel en doorverwijzingen naar overzichten van URL’s en IP-adressen die volgens nationale bevoegde autoriteiten van lidstaten geblokkeerd dienen te worden.2 Uit gesprekken met de sector is gebleken dat de guidance die tot dusver is verstrekt volgens de sector niet toereikend is. Nederland blijft daarom in overleg met de Commissie over verdere informatie. Dit is echter geen vrijbrief voor bedrijven om zich niet aan de sanctiemaatregelen te houden. Zij hebben hier een eigen verantwoordelijkheid om zich aan de geldende maatregelen te houden.

Vraag 3

Deelt u de opvatting dat het doel van deze sancties, naast het economisch tegenwerken van Rusland en belangrijke individuen in Rusland, ook het tegengaan van Russische propaganda in Nederland en Europa is en daarmee een kwestie van nationale veiligheid? Zo ja, hoe valt dan slechts 25 procent naleving uit te leggen?

Ja, het kabinet deelt deze opvatting en heeft daarom steeds ingestemd met beperkende maatregelen tegen Russische mediakanalen die bij propaganda-acties zijn betrokken. Hoewel enkele bedrijven deze sancties hebben aangevochten bij het Hof omdat de maatregelen volgens hen zouden schuren met de vrijheid van meningsuiting, heeft het Hof in twee verschillende zaken de sancties beoordeeld en geconcludeerd dat ze rechtmatig zijn en een toelaatbare beperking van de vrijheid van meningsuiting.
Nederlandse (rechts)personen moeten zich houden aan alle sanctiemaatregelen. Zoals aangegeven in het antwoord op vraag 2 is het kabinet daarnaast doorlopend in gesprek met de Europese Commissie over het verduidelijken van het verbod voor de uitvoerders.

Vraag 4

Hoe gaat u zich inspannen om betere naleving van de sanctiemaatregelen te bereiken, in zijn algemeenheid en in deze specifieke casus?

Het kabinet vindt het niet acceptabel dat sommige websites van gesanctioneerde bedrijven nog toegankelijk zijn. Iedere rechtspersoon in Nederland moet zich aan de wet en de sanctiemaatregelen houden. Wel is het kabinet zich zoals gezegd bewust van de complicaties in de uitvoering van deze sanctiemaatregelen. Om de implementatie van de maatregelen voor de relevante bedrijven uitvoerbaar te maken blijft het kabinet met de Europese Commissie in gesprek om hiervoor de benodigde duidelijkheid te verkrijgen.
Het is uiteindelijk de keuze van het Openbaar Ministerie om te handhaven als er sprake is van een mogelijke overtreding van de ingestelde maatregelen.

Vraag 5

Deelt u de opvatting dat de Kamer meer inzicht en invloed moet krijgen in de manier waarop sanctiemaatregelen worden gehandhaafd? Zo ja, hoe gaat u hierop samenwerken met de Kamer? Zo nee, waarom niet?

Het handhaven van Europese sanctiemaatregelen is een nationale bevoegdheid. Het kabinet informeert uw Kamer regelmatig over de naleving van de Europese sanctiemaatregelen, bijvoorbeeld middels passages in de verslagen van de Raad Buitenlandse Zaken of de Kamerbrief sanctienaleving.3 In januari dit jaar organiseerde het Ministerie van Buitenlandse Zaken een sanctienalevingsconferentie in Den Haag, waar zowel is ingezet op een Europees spoor om meer aandacht voor naleving te vragen als een nationaal spoor om met het Nederlandse bedrijfsleven de dialoog over sancties aan te gaan. De rapporteurs Modernisering van het Nederlandse sanctiestelsel waren voor deze conferentie uitgenodigd en daarnaast is uw Kamer over het verloop van de conferentie geïnformeerd.4
Nederland heeft daarnaast uitgebreide voorstellen in de EU gedaan om de naleving in de hele Unie te verbeteren en handhaving gelijk te trekken. Uw Kamer is hier over geïnformeerd op 22 november 2024, middels het non-paper Strengthening European cooperation to reinforce national efforts on the implementation and enforcement of EU restrictive measures.5 Deze voorstellen worden thans uitgewerkt en het kabinet zal uw Kamer hierover terugkoppelen.

Vraag 6

Deelt u de opvatting dat het voor Kamerleden onmogelijk is om het sanctiebeleid goed te controleren als de regering steevast volhoudt niet op individuele gevallen in te gaan? Zo ja, kunt u voortaan wat meer informatie geven over het falen van het sanctiebeleid? Zo nee, waarom niet?

Het kabinet herkent het beeld dat het sanctiebeleid faalt niet. Sanctiemaatregelen zijn het meest effectief als deze goed worden nageleefd. Het overgrote deel van de Nederlandse bedrijven houdt zich goed aan sancties. Het kabinet informeert de Kamer over relevante algemene ontwikkelingen ten aanzien van naleving, zoals handhaving, toezicht, wetgeving en uitvoering daarvan. Het kabinet gaat niet in op individuele gevallen om redenen van privacy, in het belang van (strafrechtelijk) onderzoek en omdat het vaststellen van mogelijke overtredingen uiteindelijk aan de rechter is.
Eerder is door de nationaal coördinator sanctienaleving en handhaving vastgesteld dat er veel goed gaat bij de naleving van sancties in Nederland. De aanbevelingen van de coördinator zijn inmiddels geïmplementeerd. Een deel daarvan is meegenomen in de Wet internationale sanctiemaatregelen (Wis) die momenteel bij de Raad van State ligt. Relevante toezichthouders zoals het AFM, DNB, FIU en de Douane geven jaarlijks in hun jaarverslag een weergave van de sanctienaleving in Nederland. Ook hieruit rijst niet het beeld dat de naleving niet op orde zou zijn. Het kabinet heeft in het kader van de voorjaarsnota structureel 36,5 miljoen euro vrijgemaakt voor de instandhouding en verdere versterking van de sanctienaleving in Nederland6. Tegelijkertijd blijft het een kat- en muisspel, waarbij landen als Rusland blijven proberen om sancties te omzeilen teneinde essentiële goederen uit de EU te verkrijgen.

Vraag 7

Hoeveel keer is het OM overgegaan tot vervolging vanwege het niet naleven van de sanctiemaatregelen tegen Rusland?

Sinds de ingestelde sancties naar aanleiding van de Russische invasie in Oekraïne in 2022 zijn onder leiding van het Openbaar Ministerie meer dan 50 strafrechtelijke onderzoeken gestart vanwege de verdenking van het niet-naleven van de sanctiemaatregelen tegen Rusland. Door het OM zijn zowel dagvaardingen uitgebracht als OM-strafbeschikkingen opgelegd. Bovendien bevindt een aantal zaken zich nog in de opsporingsfase.7

Vraag 1

Kunt u aangeven wat de actuele status is van de problemen die zijn opgetreden n.a.v. de storing bij het Openbaar Ministerie (OM)? Zijn alle problemen die als gevolg van deze storing zijn opgetreden inmiddels verholpen?

Het OM heeft op 25 september jl. aangegeven dat alle applicaties die het strafrechtproces ondersteunen en de koppelingen met applicaties van ketenpartners weer werken.1 De aansluitingen met het Justitiële Documentatie Systeem (JDS) zijn inmiddels succesvol voltooid en het berichtenverkeer van en naar het JDS is weer op gang gebracht. Het OM en de Rechtspraak hebben aangegeven dat de ontstane achterstand, als gevolg van de OM-verstoring, is ingelopen. Hiermee zijn de knelpunten, zoals toegelicht in de Kamerbrief van 12 augustus jl.,2 opgelost. Het betreft de continue screening in de kinderopvang en de taxibranche, de reguliere beoordeling van aanvragen van een Verklaring Omtrent het Gedrag (VOG), de screening van adoptieouders, pleeggezinnen en voogdijverzoeken door de Raad voor de Kinderbescherming (RvdK) en het gebruik van JDS door de Immigratie- en Naturalisatiedienst (IND). Beslissingen worden, zodra deze zijn verwerkt in het JDS, direct meegenomen in de beoordeling door Justis, de RvdK en de IND. Omdat de achterstanden als gevolg van de OM-verstoring zijn ingelopen en het reguliere proces van continue screening is hervat, is het noodwerkproces voor de meest gevoelige zaken in de continue screening beëindigd.

Vraag 2

Kunt u bevestigen dat de verstoring bij het OM ertoe heeft geleid dat het Justitiële Documentatie Systeem (JDS) sinds 17 juli 2025 geen actuele gegevens meer ontvangt? Zo ja, wanneer is dit bij u bekend geworden en wanneer heeft u de Kamer hierover geïnformeerd?

Het klopt dat de verstoring bij het OM ertoe heeft geleid dat informatie van het OM van na 17 juli jl. ontbrak in het JDS. De verstoring werd op 17 juli jl. bekend bij mijn ministerie. In de periode daarna werd steeds meer duidelijk welke gevolgen de verstoring had, waaronder een verstoring in het JDS. Er is vervolgens hard gewerkt aan het inrichten van noodprocessen. Op 12 augustus jl. is de Kamer geïnformeerd over de gevolgen van de verstoring voor de gehele strafrechtketen, waaronder het JDS.

Vraag 3

Hoeveel VOG-aanvragen zijn er sinds 17 juli 2025 ingediend waarvoor de beoordeling vertraging heeft opgelopen door het ontbreken van actuele gegevens in JDS?

Vanaf 18 juli tot 14 oktober jl. zijn er 429.984 aanvragen voor een VOG (VOG voor natuurlijke personen, VOG politiegegevens en VOG voor rechtspersonen) ingediend. In deze periode zijn in totaal 425.431 Verklaringen Omtrent het Gedrag afgegeven.3Justis heeft ervoor gekozen de beoordeling van de VOG-aanvragen ook na 17 juli jl. te continueren. Justis kon met deze screening nog steeds een zeer waardevolle bijdrage leveren aan de risicoschatting, omdat in de beoordeling informatie vanuit het OM van voor 18 juli jl. wel kon worden meegewogen.4 Er is in de meeste gevallen geen vertraging opgelopen door het ontbreken van actuele gegevens in het JDS, tenzij het OM bevraagd moest worden over openstaande zaken.

Vraag 4

Bent u bereid om op korte termijn een overzicht te geven van de aantallen vertraagde, onvolledig beoordeelde of opnieuw ingediende VOG-aanvragen sinds 17 juli 2025?

Zie het antwoord op vraag 3 voor het aantal VOG-aanvragen dat is ingediend in de periode van 18 juli tot 30 september jl. Justis heeft organisaties geïnformeerd over de gevolgen van de verstoring bij het OM voor de aanvraag van een VOG en gewezen op de mogelijkheid om een nieuwe VOG te verlangen, zodra het JDS geactualiseerd is. Het is aan de organisaties om af te wegen of dit opportuun is gezien de risico’s van een functie. Het herkennen van VOG-aanvragen die opnieuw worden ingediend nadat het JDS geactualiseerd is, kan Justis niet op korte termijn realiseren. Dit zou aanpassing van de systemen vergen. Hier wordt nu niet op ingezet.

Vraag 5

Hoe zijn werkgevers, werknemers en vrijwilligersorganisaties actief geïnformeerd over het feit dat VOG-aanvragen momenteel mogelijk op onvolledige informatie zijn gebaseerd?

Justis heeft organisaties die veel gebruik maken van de VOG telefonisch geïnformeerd over de gevolgen van de verstoring bij het OM voor de aanvraag van een VOG. Daarnaast heeft Justis een bericht geplaatst op de website en is vanaf 15 augustus op de VOG informatie geplaatst, waarin wordt aangegeven dat bij de beoordeling van de VOG-aanvraag geen informatie vanuit het OM van na 17 juli 2025 is betrokken.
Tevens hebben de Ministeries van Sociale Zaken en Werkgelegenheid en Infrastructuur en Waterstaat, als opdrachtgevers van de continue screening in respectievelijk de kinderopvang en in de taxibranche, de toezichtspartijen en sectoren geïnformeerd over de gevolgen voor de continue screening en het noodwerkproces dat is ingevoerd voor de meest gevoelige zaken.

Vraag 6

In hoeveel gevallen is de screening van adoptieouders, pleeggezinnen en voogdijverzoeken door de Raad voor de Kinderbescherming mogelijk gebaseerd op onjuiste/verouderde informatie uit het JDS? In hoeveel gevallen is de screening vertraagd?

De RvdK heeft zowel voor de screening van adoptieouders als voor de voogdijverzoeken waar een JDS-check voor wordt uitgevoerd, JDS online kunnen raadplegen. Dit heeft de RvdK kunnen doen vóór dan wel na de periode dat het OM offline was. Voor de screening van pleegouders heeft de RvdK in de periode dat het OM offline was de screening doorgezet zonder de informatie van het OM van na 17 juli jl. Het gaat om 400 gevallen. Hier is voor gekozen vanwege de gewenste continuïteit enerzijds en een gering risico op missende relevante data anderzijds. Deze gevallen worden opnieuw bekeken nu het JDS geactualiseerd is, zoals toegelicht in de Kamerbrief van 12 augustus 2025. Als nieuwe, relevante informatie wordt aangetroffen op basis waarvan de RvdK besluit geen Verklaring van Geen Bezwaar (VGB) af te geven, wordt uiteraard direct contact opgenomen met de pleegzorgaanbieder die mede op basis daarvan beoordeelt of een gezin geschikt is om een kind te (blijven) verzorgen en op te voeden.

Vraag 7

Wanneer verwacht de Minister dat het JDS weer volledig is bijgewerkt en VOG-aanvragen weer zonder vertraging én met de volledige informatie in behandeling worden genomen?

Zoals ik heb aangegeven bij het antwoord op vraag 1, is het berichtenverkeer tussen Justid en het OM inmiddels weer volledig hervat en zijn de ontstane achterstanden ingelopen. Zodra de beslissingen van het OM en de Rechtspraak verwerkt zijn in het JDS, kunnen deze gegevens ook weer worden betrokken bij de beoordeling van VOG-aanvragen. Justis ontvangt in het kader van de continue screening met terugwerkende kracht meldingen van mutaties in het JDS vanaf 18 jl. en geeft waar van toepassing een signaal af aan de toezichthouder, voor zover dit niet reeds is gebeurd via het noodwerkproces voor de continue screening.

Vraag 8

Klopt het dat Justis in sommige gevallen aan werkgevers en werknemers adviseert om een VOG-aanvraag opnieuw in te dienen zodra het JDS weer geactualiseerd is? En wat zijn de gevolgen als een werkgever geen nieuwe VOG laat aanvragen?

Zoals aangegeven in het antwoord op vraag 3, heeft Justis ervoor gekozen het beoordelen van een VOG zo veel mogelijk te continueren. Deze VOG’s blijven rechtsgeldig. Zoals toegelicht in het antwoord op vraag 4 heeft Justis organisaties gewezen op de mogelijkheid om een nieuwe VOG te verlangen, zodra het JDS geactualiseerd is. Het is aan de organisaties om af te wegen of dit opportuun is gezien de risico’s van een functie.
Justis heeft verkend of het mogelijk en praktisch uitvoerbaar is een proces in te regelen voor een kosteloze herhaalaanvraag van een VOG of via een restitutieproces. Een kosteloze herhaalaanvraag en restitutie zijn enkel effectief als een aanvraag op korte termijn kan worden ingediend en vergoed.
Het inregelen van een kosteloze herhaalaanvraag of restitutieproces blijkt helaas niet uitvoerbaar binnen een korte termijn. Justis heeft onvoldoende capaciteit om een proces in te regelen zonder dat dit ernstig druk legt op het reguliere aanvraag- en beoordelingsproces. Het inregelen van een kosteloze herhaalaanvraag of restitutieproces zou daarmee tot onwenselijke vertragingen leiden voor toekomstige VOG-aanvragers. Ook kunnen benodigde systeemaanpassingen niet op korte termijn gerealiseerd worden.

Vraag 9

Wat betekent dit voor de rechtspositie van de aanvrager? Wordt de oorspronkelijke aanvraag in behandeling genomen zodra actuele informatie beschikbaar is, of moet de hele procedure opnieuw worden doorlopen? Wie draagt de kosten van de tweede aanvraag?

Zie antwoord vraag 8.

Vraag 10

Bent u bereid te verkennen of het redelijk is om de kosten voor deze herhaalde aanvragen (die voortkomen uit een verstoring binnen de overheid) worden vergoed, dan wel via coulance worden kwijtgescholden?

Zie antwoord vraag 8.

Vraag 1

Kunt u, naar aanleiding van uw beantwoording van eerdere schriftelijke vragen1, wellicht nog nader toelichten wat bedoeld wordt met «actief gebruik» in de zin «Er is in het heden of verleden geen actief gebruik van Palantir (licenties) bij het organisatieonderdeel NCTV2.»? Wordt er wellicht wel op een andere wijze («passief gebruik?») door de NCTV gebruikgemaakt van Palantir? Of kan uit dit antwoord geconcludeerd worden dat er op geen enkele wijze gebruik is gemaakt van Palantir door de NCTV? En los van het («actief» of «passief») gebruik, heeft de NCTV wel of geen (al dan niet via «samenwerkingsverbanden») toegang tot Palantir?

Met de eerdere beantwoording is bedoeld aan te geven dat er op geen enkele wijze gebruik is gemaakt van Palantir door de NCTV en tevens dat de NCTV ook geen toegang heeft tot Palantir.

Vraag 2

U schrijft dat de politie, in speciale gevallen, de «informatieproducten» afkomstig uit de Raffinaderij deelt met «ketenpartners»: wie zijn die «ketenpartners»?

In mijn eerdere beantwoording heb ik aangegeven dat informatieproducten afkomstig uit de analyseomgeving «de Raffinaderij» niet worden gedeeld met partijen buiten de politie.
Wel kan de politie op basis van een signaal afkomstig uit een informatieproduct op casusniveau contact leggen met ketenpartners. Dit kan als er sprake blijkt van een concrete verdenking van zware en georganiseerde criminaliteit of een hoge kans op aanslagen. Het informatieproduct zelf wordt niet gedeeld.
Ketenpartners waarmee de politie een signaal kan delen zijn bijvoorbeeld gemeenten of het Openbaar Ministerie. Hierbij worden vanzelfsprekend de verstrekkingsbepalingen uit de Wet politiegegevens (Wpg) in acht genomen.

Vraag 3

Welke datasets worden met die ketenpartners gedeeld?

Er worden geen datasets gedeeld met die ketenpartners.
Zoals hiervoor toegelicht kunnen alleen in zeer ernstige situaties de signalen afkomstig uit een informatieproduct vanuit «de Raffinaderij» op casusniveau worden gedeeld.

Vraag 4

Welke algoritmen worden door die ketenpartners of binnen de «samenwerkingsverbanden» hiervoor gebruikt en/of ontwikkeld?

Bij het delen van signalen op casusniveau worden geen algoritmen gebruikt en/of ontwikkeld.

Vraag 5

Worden deze algoritmen wellicht ook gepubliceerd op https://algoritmes.overheid.nl/nl/algoritme?

In het Algoritmeregister worden impactvolle algoritmes, waaronder hoog risico AI-systemen geregistreerd. De basale algoritmes binnen de software van Palantir die de politie gebruikt kwalificeren niet als AI-systeem. Omdat bij het gebruik van deze Palantir software door de politie ook geen sprake is van impactvolle algoritmes is dit niet in het Algoritmeregister opgenomen.

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?

Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?

Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?

De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?

Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?

Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?

BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

De vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Kunt u toelichten welke herstelstappen sinds de hack zijn gezet om herhaling te voorkomen en hoe u de effectiviteit van deze maatregelen verifieert, specifiek met het oog op bescherming van gevoelige categorieën informatie, zoals adressen van Blijf-van-mijn-lijf-huizen en andere beschermde opvanglocaties, gegevens over kroongetuigen en hun naasten, dossiers over zware georganiseerde misdaad en terrorisme, interne HR-dossiers die officieren van justitie en andere functionarissen mogelijk chantabel of afpersbaar maken?

Er zijn sinds de ontdekking van de ICT-inbreuk meerdere herstelstappen gezet. Hierover is uw Kamer per brief op 23 juli, 4 augustus, 12 augustus en 3 september geïnformeerd.1 Het OM voldoet aan de kaders en richtlijnen voor informatiebeveiliging die door het Rijk en het Ministerie van Justitie en Veiligheid worden voorgeschreven. Het OM is dit verplicht als zelfstandige organisatie binnen het justitiedomein. Dit zal voor de toekomst ongewijzigd blijven en langs deze kaders en richtlijnen zijn de herstelwerkzaamheden ook verder uitgevoerd.
De livegang van de systemen van het OM vond stapsgewijs plaats zodat per stap extra monitoring en detectie kon plaatsvinden. Elk systeem dient zeker te worden gesteld voordat het weer live kan gaan. Die fasering heeft te maken met de volgorde waarin systemen moeten worden opgestart; die volgorde voorkomt dat werkprocessen met en tussen ketenpartners worden verstoord als informatie uit de verschillende systemen niet in de goede volgorde wordt ingeladen. Over de impact op de strafrechtketen naar aanleiding van de offlinegang van het Openbaar Ministerie (OM) is uw Kamer reeds geïnformeerd.2 Ook is uw Kamer geïnformeerd over het besluit dat samen met het OM is genomen om onderzoek te doen over de ICT-inbreuk.3 Dat onderzoek zal zich onder andere moeten richten op de wijze waarop incidenten in de informatiebeveiliging in de toekomst voorkomen kunnen worden.

Vraag 2

In hoeverre kan technisch of forensisch worden vastgesteld of adressen van Blijf-van-mijn-lijf-huizen en andere beschermde opvanglocaties, gegevens over kroongetuigen en hun naasten of dossiers over zware georganiseerde misdaad en terrorisme, daadwerkelijk zijn ingezien of buitgemaakt?

Vraag 3

Welke specifieke maatregelen zijn genomen om te achterhalen of HR-dossiers van medewerkers, inclusief aanklagers en officieren van justitie, mogelijk in handen van kwaadwillenden zijn gekomen en hen kwetsbaar maken voor chantage en/of afpersing?

Vraag 4

Zijn er signalen of indicaties dat met mogelijk buitgemaakte informatie al pogingen zijn gedaan om procespartijen, getuigen of medewerkers van het Openbaar Ministerie (OM) te beïnvloeden of te intimideren?

Vraag 5

Betekent, dat u stelt dat er geen aanwijzingen zijn voor datamanipulatie, ook kunt uitsluiten dat gevoelige gegevens zijn gekopieerd of op termijn kunnen worden misbruikt? Zo nee, welke voorzorgsmaatregelen zijn getroffen tegen langdurig sluimerend misbruik?1

Vraag 6

Kunt u uiteenzetten hoe het OM en het ministerie ervoor zorgen dat ook ketenpartners zoals politie, rechtspraak en opvanginstellingen volledig op de hoogte zijn van de mogelijke risico’s, zodat zij preventief maatregelen kunnen nemen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en op alle samenwerkingspartners. De samenwerkingspartners werden goed geïnformeerd door het OM. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen bent u op 12 augustus jl. geïnformeerd.5

Vraag 7

Acht u het zinvol en noodzakelijk om, naar analogie van de kritische financiële sector, zo snel mogelijk de eis neer te leggen dat bij organisaties met een essentiële rol in de rechtsstaat, zoals het OM, een onafhankelijke risicofunctie wordt belegd, met specifieke focus op cyberveiligheid en integriteitsbescherming?

Ik acht het zinvol dat het OM hier op in blijft zetten, vanwege de (digitale) weerbaarheid van deze kritische organisatie binnen de rechtsstaat. Dit vraagt continu aandacht gezien de toenemende dreiging van verschillende actoren. Grotendeels wordt dit vormgegeven door het CIO-stelsel Rijk6 en de compliance structuren die daaruit volgen. Voorbeelden hiervan waar het OM gebruik van maakt zijn de Baseline Informatiebeveiliging Overheid (BIO) en het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIRBI).
Zoals ik onder mijn antwoord op vraag 1 ook heb vermeld, zal ik samen met het OM een onderzoek laten uitvoeren naar de ICT-inbreuk. Hiervoor zal een onafhankelijke commissie van nog aan te stellen deskundigen op het gebied van onder meer cybersecurity, IT en informatievoorziening worden ingesteld. Een deel van het onderzoek zal zich richten op het versterken van de weerbaarheid van de IT en informatievoorziening van het OM, mede in relatie tot de ketenorganisaties. Over de planning en resultaten van het onderzoek zal ik u op een later moment verder informeren.

Vraag 8

Bent u bereid de Kamer periodiek en vertrouwelijk te informeren over de stand van zaken, ook als er geen nieuwe incidenten worden ontdekt, om het vertrouwen in de veiligheid van het OM te herstellen en te behouden?

Ik informeer de Kamer al regelmatig over de stand van zaken.

Vraag 1

Wat is uw reactie op het bericht dat artsen die leunen op AI minder scherp worden en ziektes minder goed herkennen?1

Ik heb kennis genomen van het artikel en volg de ontwikkelingen rondom AI in de zorg met aandacht. Het is goed dat er vanuit de wetenschap aandacht is voor zowel de kansen als de risico’s die de introductie van nieuwe technologieën, zoals AI, meebrengen. AI biedt kansen als ondersteunende technologie en zal het werk van zorgprofessionals gaan veranderen. De risico’s zullen samen met het veld zorgvuldig moeten worden onderzocht en in een lerende cultuur gezamenlijk moeten worden opgepakt.

Vraag 2

Hoe verhoudt dit vermoedelijke «deskilling»-effect van het gebruik van AI in de gezondheidszorg zich tot de inzet van uw ministerie op het stimuleren van AI in de zorg?

Ik zie de kansen die AI de zorgsector als hulpmiddel biedt. Voorwaarde is dat de veiligheid van het zorgproces gewaarborgd blijft. Toepassing van AI vraagt uiteraard nieuwe vaardigheden van onze zorgprofessionals. Zij moeten voldoende worden toegerust om technologisch vaardig en kritisch geletterd te werk te kunnen gaan. Daarom heb ik onlangs in het Aanvullend Zorg- en Welzijnsakkoord (AZWA)2 afspraken gemaakt over de inzet van generatieve en diagnostische AI.
Daar hoort ook bij dat zorgprofessionals trainingen kunnen volgen op het moment dat zij met deze AI tools aan de slag zullen gaan. Zorginstellingen zijn zelf verantwoordelijk voor de keuze voor en veilige inzet van AI toepassingen binnen hun organisatie. VWS ondersteunt de zorgsector met behulp van de inzet van opleidingsmiddelen en steun voor de Coalitie Digivaardig in de Zorg.

Vraag 3

Welke stappen gaat u zetten om te voorkomen dat het toenemende gebruik van AI in de Nederlandse zorg zal leiden tot afnemende vaardigheden van zorgprofessionals?

Zie het antwoord op vraag 2.

Vraag 4

In hoeverre wordt in de zorg in Nederland in de gaten gehouden of inzet van bepaalde AI-toepassingen ook zorgt voor ongewenste bijeffecten zoals het verlies van vaardigheden?

De Inspectie Gezondheidszorg en Jeugd (IGJ) houdt toezicht op de digitale zorg, waaronder AI-toepassingen in de zorg. De IGJ maakt bij dat toezicht gebruik van het gepubliceerde Toetsingskader Digitale Zorg. Zorgaanbieders moeten beschikken over voldoende kennis over de risico’s en beperkingen van AI. De IGJ adviseert zorgaanbieders hierop alert te zijn, zowel bij de aanschaf, implementatie als het gebruik van generatieve AI-toepassingen. Bijvoorbeeld door het vaststellen van het doel van de toepassing, bepalen welke data nodig zijn, controleren van resultaten en beoordelen van risico’s. Het risico van verlies van vaardigheden is daarbij één van de mogelijke risico’s die bij de risicobeoordeling door de zorgaanbieder kan worden betrokken.
Organisaties die AI-systemen ontwikkelen of gebruiken, moeten sinds 2 februari 2025 zorgen dat hun werknemers «AI-geletterd» zijn op basis van de Europese AI-verordening3. In het AZWA staan daarnaast afspraken opgenomen over de AI-gereedheid bij zorgorganisaties en het gebruik van zelfevaluatietools voor het verbeteren van de AI-gereedheid. (Ongewenste) bijeffecten kunnen niet volledig op voorhand voorzien worden.

Vraag 5

Wat is uw reactie op het bericht «AI kan radioloog vervangen bij borstkankerscreening, blijkt uit Nederlands onderzoek»?2

Ik ben bekend met het betreffende onderzoek naar de inzet van AI ter vervanging van één van de twee radiologen die een mammogram beoordeelt in het kader van het bevolkingsonderzoek borstkanker, evenals met andere onderzoeken naar de inzet van AI in het bevolkingsonderzoek borstkanker. Deze onderzoeken tonen aan dat AI potentie heeft om het bevolkingsonderzoek borstkanker verder te verbeteren. Dit is ook geconstateerd door de Gezondheidsraad, in het advies van maart 2024 over de verbetermogelijkheden voor het bevolkingsonderzoek borstkanker.5 De Gezondheidsraad adviseert wat betreft AI voorbereidingen te treffen voor de inzet in het bevolkingsonderzoek borstkanker. Bij veranderingen in de bevolkingsonderzoeken, laat ik me doorgaans leiden door adviezen van de Gezondheidsraad die zijn gebaseerd op de stand van de wetenschap. Dat is van belang omdat het altijd gaat om het balanceren tussen het opsporen van kanker versus nadelen van screening zoals onnodige doorverwijzingen. Daarom treffen het RIVM en Bevolkingsonderzoek Nederland (BVO NL) op dit moment voorbereidingen voor de inzet van AI in het bevolkingsonderzoek borstkanker. Hierover is uw Kamer op 20 maart 2025 geïnformeerd.6 De verwachting is dat AI op z’n vroegst in 2028 ingezet kan worden in het bevolkingsonderzoek, maar ter voorbereiding wordt er al wel mee proefgedraaid. Voor de implementatie van AI bij het bevolkingsonderzoek borstkanker is dekking voorzien in het AZWA.7
Hiermee wordt tevens invulling gegeven aan de motie van de leden Slagt-Tichelman en Westerveld8 en de motie van het lid Claassen die is ingediend bij het Tweeminutendebat digitale ontwikkelingen in de zorg van 4 september 20259.

Vraag 6

Wat zou het effect zijn op het uitnodigingsinterval bij het bevolkingsonderzoek borstkanker als voortaan één radioloog in plaats van twee nodig zou zijn om de scans te analyseren?

Met de inzet van AI bij het beoordelen van de mammogrammen in het bevolkingsonderzoek kan radiologiecapaciteit bespaard worden. Nu worden mammogrammen standaard door twee radiologen beoordeeld, met de inzet van AI zou dat inderdaad kunnen veranderen. Het vervangen van één radioloog door AI bij de beoordeling van een mammogram zal echter geen effect hebben op het verlengde uitnodigingsinterval bij het bevolkingsonderzoek borstkanker. De capaciteitsproblemen die het verlengde uitnodigingsinterval hebben veroorzaakt, liggen niet bij de radiologie. Het gaat vooral om een tekort aan laboranten waardoor het niet mogelijk is om de doelgroep iedere twee jaar uit te nodigen. De laboranten zijn verantwoordelijk voor het maken van de mammogrammen.

Vraag 7

Wat zijn de mogelijkheden en plannen om deze techniek breder in te zetten in de Nederlandse borstkankerzorg en wordt dit vergoed?

Zoals ik ook heb aangegeven in het antwoord op vraag 5, geldt voor het bevolkingsonderzoek borstkanker dat de inzet van AI wordt voorbereid. Hiervoor zijn middelen gereserveerd in het AZWA.

Vraag 8

In hoeverre speelt hierbij ook het risico op «deskilling» van radiologen?

Voor het bevolkingsonderzoek geldt dat een mogelijk verlies van vaardigheden een belangrijk onderwerp is van afgeronde en lopende onderzoeken naar de inzet van AI ter vervanging van de radioloog. Dit is ook een belangrijk aandachtspunt voor het RIVM en BVO NL bij de voorbereidingen die zij treffen voor de inzet van AI in het bevolkingsonderzoek. Zij bekijken hoe AI zo kan worden ingezet dat het niet leidt tot het ongewenst verlies van vaardigheden van de radiologen. Onderwijs, training en kwaliteitsborging spelen hierin een belangrijke rol. Alleen zo kan worden gewaarborgd dat de inzet van AI het bevolkingsonderzoek verbetert. Overigens zien we in de landen waar AI al verder uitgerold is, zoals Zweden en Denemarken dat de uitkomsten van het bevolkingsonderzoek nog steeds accuraat zijn.

Vraag 9

Herinnert u zich de uitspraak «Mijn doel is om in 2030 de administratietijd te halveren. Kunstmatige Intelligentie (AI) biedt veel mogelijkheden om hieraan bij te dragen en tegelijkertijd de uitdagingen op de arbeidsmarkt in de zorgsector aan te pakken» van toenmalig Minister Agema?3In hoeverre onderschrijft u deze uitspraak? Wat zijn de meest recente schattingen van de mogelijkheden om de administratietijd in de zorg terug te dringen via AI?

Ik herinner mij deze uitspraak. Ik onderschrijf net als mijn ambtsvoorganger dat passende inzet van AI een van de mogelijkheden is om de administratietijd te verminderen. AI is daarvoor niet de enige oplossing, er is meer nodig om het personeelstekort op te lossen. De aanpak is daarom veel breder. Naast de inzet van AI zet ik ook in op andere maatregelen voor het halveren van de administratietijd, de juiste medewerker op de juiste plek en het vergroten van vakmanschap en werkplezier. Uit een analyse gericht op de verwachte impact en potentie van de AZWA (concept)afspraken heeft KPMG geconcludeerd dat de inzet van AI en beperking van de administratieve lasten tot de afspraken behoren die de grootste potentiële arbeidsbesparing kunnen opleveren. Gezamenlijk leveren de geanalyseerde conceptafspraken een geschatte arbeidsbesparing op van circa 37.000 werknemers in het lage scenario tot circa 125.000 werknemers in het hoge scenario. De grootste potentiële bijdrage komt daarbij consistent van afspraken over AI en technologische innovatie.11

Vraag 1

Kunt u bevestigen dat het datalek bij laboratorium Clinical Diagnostics veel groter blijkt dan eerder gemeld, en dat naast gegevens van 485 duizend vrouwen ook data van onderzoeken naar huid, urine, penis, anus en wondvocht zijn buitgemaakt?1

Het laboratorium Clinical Diagnostics heeft in zijn eerste berichtgeving over de hack aan Bevolkingsonderzoek Nederland (BVO NL) gemeld dat daarbij de gegevens van ruim 485.000 deelnemers van het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd. Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Uit contact met het laboratorium en Stichting Z-Cert (het expertisecentrum voor cybersecurity in de zorg) is naar voren gekomen dat de omvang van het datalek, naast de deelnemers van het bevolkingsonderzoek baarmoederhalskanker, inderdaad groter blijkt te zijn. Zo heeft de Staatssecretaris Rechtsbescherming uw Kamer geïnformeerd dat ook gegevens van 266 (ex-)gedetineerden betrokken zijn bij de hack.2 Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 2

Hoe beoordeelt u het feit dat gegevens, inclusief burgerservicenummer, medische uitslagen en adviezen, deels op het dark web zijn verschenen en dat criminelen claimen 300 gigabyte aan data te hebben gestolen?

Ik betreur het ten zeerste dat persoonsgegevens van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd als gevolg van een hack bij het laboratorium Clinical Diagnostics. Bovenal voor de deelnemers die direct geraakt zijn door de hack, aangezien het grote impact kan hebben als je gegevens in verkeerde handen komen. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens zijn bemachtigd bij een hack en mogelijk op het dark web zijn verschenen, is dat een ontzettende schok. Ook voor alle andere (potentiële) deelnemers aan de bevolkingsonderzoeken vind ik de situatie betreurenswaardig. Deelnemers aan de bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Ik begrijp heel goed dat zij zich zorgen kunnen maken en vragen hebben.
Ik vind het belangrijk dat deelnemers zo goed mogelijk worden geïnformeerd over de hack. Betrokken zijn of worden door BVO per brief geïnformeerd. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum3 van BVO NL.

Vraag 3

Wat vindt u van het feit dat het datalek al op 6 juli 2025 bekend was bij het laboratorium, maar pas op 6 augustus 2025 is gemeld aan Bevolkingsonderzoek Nederland?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de Autoriteit Persoonsgegevens (AP) en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Kunt u bevestigen dat ook gegevens van patiënten van huisartsen en ziekenhuizen zoals het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis zijn gelekt? Wat betekent dit voor de verantwoordelijkheid van deze instellingen?

Uit contact met het laboratorium en Stichting Z-Cert is naar voren gekomen dat de omvang van het datalek inderdaad groter blijkt te zijn dan het bevolkingsonderzoek baarmoederhalskanker. Zoals ik afgelopen vrijdag en vandaag in aparte brieven uw Kamer heb laten weten, blijkt dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack, ook deze deelnemers worden hierover door BVO NL geïnformeerd.
Desgevraagd Iheeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 5

Welke concrete maatregelen zijn inmiddels genomen om de schade voor betrokken burgers te beperken en herhaling te voorkomen?

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van de hack zoveel mogelijk te beperken, zijn de volgende maatregelen genomen:
De komende periode beziet BVO NL op welke wijze de consequenties van de hack zoveel mogelijk kunnen worden beperkt. Ik sta hierover in nauw contact met het RIVM en BVO NL.
Van het laboratorium heb ik vernomen dat de betrokken zorgverleners en patiënten worden geïnformeerd en gewezen op de mogelijke risico’s. Om herhaling te voorkomen heeft het laboratorium aanvullende maatregelen getroffen, waaronder het verder beperken van de toegang tot de getroffen IT-omgeving en verscherpte monitoring door het Security Operations Center (SOC)-team op de IT-omgeving.

Vraag 6

Hoe kan het dat Bevolkingsonderzoek Nederland en andere zorginstellingen geen gebruik maken van bijvoorbeeld Privacy by Design technieken, waardoor herleidbare persoonsgegevens niet uitgewisseld hoeven te worden tussen een extern laboratorium en de zorginstelling?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.

Vraag 7

Welke verbeteringen gaat u doorvoeren in het toezicht op digitale veiligheid bij laboratoria en andere zorginstellingen? Welke verbeteringen ziet u voor de lange termijn?

Digitale veiligheid vormt een essentieel aandachtspunt voor de gehele maatschappij. Op het gebied van de informatiebeveiliging in de zorg is er al sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-Cert, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Deze meldplicht aan de IGJ bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 8

Hoe beoordeelt u de keuze om gezondheidsdata te laten beheren door private laboratoria? Kunt u toezeggen om te onderzoeken of centrale overheidsregie op digitale gezondheidsdata uitvoerbaar en wenselijk is?

Privacyregelgeving geldt voor iedereen, dus zowel voor publieke als private partijen. Vanuit dat oogpunt is er geen bezwaar om gezondheidsdata te laten beheren door private laboratoria.
Met betrekking tot het tweede aspect van uw vraag, het regievoeren op het organiseren van het gezondheidsinformatiestelsel, waar de organisatie van digitale gezondheidsdata een belangrijk onderdeel van is, gebeurt door het uitvoeren van de in april door de Tweede Kamer goedgekeurde Nationale Visie en Strategie (NVS) op het Gezondheidsinformatiestelsel4. In deze visie staat hoe de opslag en het beheer van digitale gezondheidsdata worden vormgegeven. Privacy en informatiebeveiligingseisen zijn een integraal onderdeel van de NVS, voor primaire zorginformatie en voor informatie zoals die gebruikt wordt voor het bevolkingsonderzoek.

Vraag 9

Bent u bekend met systemen waarbij data bij de bron wordt onthouden en pas bij verwijzing kunnen worden ingezien, met volledige logging van inzage? Hoe beoordeelt u de veiligheid van dit decentrale model ten opzichte van een centraal systeem zoals in Estland?

Ik ben bekend met de systemen waar u op doelt, het zogenoemde communicatiepatroon «gericht beschikbaar stellen», waarbij volledige logging van inzage plaats moet vinden. Ook in de situatie van laboratoriumonderzoek zou gebruik gemaakt kunnen worden van dit communicatiepatroon. Dit communicatiepatroon kan echter niet het hacken van data uit het laboratorium zelf voorkomen.
Met betrekking tot het tweede aspect van uw vraag, de inrichting van zorgstelsels in verschillende landen is niet altijd goed met elkaar te vergelijken. Veiligheidsvraagstukken en de afweging tussen centraal en decentraal worden meegenomen bij de inrichting van het gezondheidsinformatiestelsel op basis van de NVS.

Vraag 10

Is er inmiddels aangifte gedaan van deze hack? Zo ja, door wie en op welk moment? Is dit voor of na de melding op 6 augustus jl. aan Bevolkingsonderzoek Nederland? En mocht dit voor de melding op 6 augustus zijn geweest, hoe beoordeelt u de communicatie van organisaties bij datalekken, welke verbeteringen ziet u?

Over de vraag of er door direct betrokkenen aangifte is gedaan, kan ik mij niet uitlaten.

Vraag 11

Welke rol speelt de Inspectie Gezondheidszorg en Jeugd in het toezicht op digitale veiligheid bij laboratoria? Wordt deze rol versterkt?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wabvpz en Wkkgz). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.

Vraag 12

Wat kan de overheid nog doen als gegevens eenmaal op het dark web zijn verschenen, en hoe wordt de schade voor de betrokken burgers beperkt?

Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn.
Hoewel de mogelijkheden om schade volledig te voorkomen beperkt zijn, kunnen er door zorginstellingen wel maatregelen worden genomen om de (toekomstige) impact voor betrokkenen zoveel mogelijk te beperken. Een belangrijke stap is het tijdig informeren van betrokkenen zodra wordt vastgesteld dat hun gegevens op het dark web zijn aangetroffen. Hacks waarbij zoveel data worden bemachtigd, vergroten namelijk het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
Door snel te informeren, kunnen betrokkenen proactief maatregelen nemen, zoals het wijzigen van wachtwoorden of het melden van mogelijke identiteitsfraude bij de daarvoor bestemde instanties (bijvoorbeeld bij de Rijksdienst voor Identiteitsgegevens5).

Vraag 13

Kunt u uitsluiten dat andere laboratoria of zorginstellingen eveneens slachtoffer zijn van deze of vergelijkbare hacks?

Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Z-Cert monitort continu de informatiebeveiliging van de bij hen aangesloten zorgaanbieders en informeert deze aanbieders over mogelijke risico’s in hun informatiebeveiliging.

Vraag 14

Bent u bereid om een landelijke audit op databeveiliging bij zorginstellingen te laten uitvoeren, en daarbij ook de rol van de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Nationaal Cyber Security Centrum te betrekken?

Nee, het is niet aan mij om landelijke audits uit te voeren. Zorginstellingen in Nederland zijn zelf verantwoordelijk en wettelijk verplicht voor het nemen van technische en organisatorische maatregelen ter bescherming van persoonsgegevens en medische informatie binnen hun organisatie. Zij dienen die maatregelen periodiek te evalueren en zo nodig aan te passen. De AP en de IGJ houden toezicht op de naleving van de betreffende regelgeving.
Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 15

Deelt u de mening dat het vertrouwen in bevolkingsonderzoeken ernstig wordt geschaad door dit datalek?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over deze hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ik wil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 16

Welke maatregelen neemt u om het vertrouwen in bevolkingsonderzoeken te herstellen en deelname te stimuleren?

BVO NL onderneemt verschillende acties om de gevolgen van de hack zoveel mogelijk te beperken:
Ik verwacht dat deze acties bijdragen aan het behouden van vertrouwen in de bevolkingsonderzoeken.
Daarnaast lopen er momenteel verschillende pilots van het RIVM samen met BVO NL om de deelname aan de bevolkingsonderzoeken te stimuleren, waaronder een wijkgerichte aanpak, waarbij door een gezondheidsvoorlichter van het RIVM voorlichting wordt gegeven in wijkcentra in wijken waar de opkomst bij de bevolkingsonderzoeken laag is. Daarnaast wordt voorlichting gegeven op lokale evenementen en festivals en bij voedselbanken. Hierin wordt onder meer samengewerkt met gemeenten en GGD’en. Eventuele signalen die bij deze voorlichting naar voren komen wat betreft de informatievoorziening rond de hack, worden in overleg met BVO NL benut om de informatievoorziening vanuit BVO NL toegankelijker en begrijpelijker te maken.

Vraag 17

Hoe wordt de communicatie richting burgers afgestemd op de ernst van het datalek, en hoe worden deelnemers aan het bevolkingsonderzoek proactief geïnformeerd?

Op 11 augustus heeft BVO NL een nieuwsbericht naar buiten gebracht over de hack bij het laboratorium, om mensen te informeren en te waarschuwen. In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
In deze brief worden deelnemers onder andere geïnformeerd over het belang van alert zijn op fraude. Nu duidelijk is geworden dat meer deelnemers aan het bevolkingsonderzoek zijn getroffen, zullen ook deze deelnemers hierover door BVO NL worden geïnformeerd. Hierover heeft BVO NL op 29 augustus een nieuwsbericht gepubliceerd.
Op de website van BVO NL wordt de informatie voortdurend geüpdatet en worden veelgestelde vragen en antwoorden aangevuld. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van Bevolkingsonderzoek Nederland. 6

Vraag 18

Bent u bereid om met Gemeentelijke Gezondheidsdiensten, huisartsen en Bevolkingsonderzoek Nederland een herstelplan op te stellen voor het vertrouwen in preventieve zorg na dit incident?

Ik wacht op de uitkomsten van de lopende onderzoeken. Hieruit zullen lessen worden getrokken voor verbeteringen in de toekomst. Hierbij kijk ik ook zeker naar het vertrouwen in de preventieve zorg.

Vraag 19

Kunt u als Minister en Staatssecretaris, gezien de ernst van de situatie, toezeggen om voor 1 september 2025 uitgebreid antwoord te geven op bovenstaande vragen, inclusief een visie op de toekomst van digitale gezondheidsdata en cyberveiligheid in de preventieve zorg?

Met de Nationale Visie en Strategie voor het gezondheidsinformatiestelsel, zoals 14 april 2025 door Tweede Kamer akkoord bevonden, is een totaalvisie op het gezondheidsinformatiestelsel voor zorg, preventie en gezondheid gegeven. Mijn ministerie is nu druk bezig om deze visie te realiseren. Om die met vertrouwen van burger en zorgverlener te kunnen realiseren, zijn cyberveiligheid, privacy en informatiebeveiliging van wezenlijk belang en dus ook een integraal onderdeel van de strategie. Dit geldt voor zowel de primaire zorg en preventiezorg als voor gezondheidsdoeleinden.
De vragen zijn per 1 september beantwoord. Ik blijf uw Kamer op de hoogte stellen.