Vraag 1

Bent u bekend met het bericht «Geen mobiel bereik in grensstreek: 77-jarige man ligt na val machteloos half uur op de grond»?1

Vraag 2

Bent u van mening dat slecht mobiel bereik een acuut veiligheidsrisico vormt, zeker voor ouderen en kwetsbare groepen die afhankelijk zijn van alarmhorloges en noodoproepen?

Vraag 3

Bent u van mening dat anno 2025 iedereen in Nederland over snel internet en mobiele netwerkdekking moet kunnen beschikken, ongeacht waar men woont, omdat dit van belang is voor een ieders veiligheid?

Vraag 4

Kunt u aangeven in welke mate dit probleem speelt in andere grensregio’s in Nederland, hoeveel meldingen daarover zijn ontvangen bij het Centraal Informatiepunt Mobiele Bereikbaarheid 112 en hoe opvolging is gegeven aan deze meldingen?

Vraag 5

Bent u bereid met providers in gesprek te gaan om te waarborgen dat 112-oproepen in grensgebieden altijd doorkomen?

Vraag 6

Welke mogelijkheden ziet u om versneld maatregelen te nemen om de veiligheid van inwoners in grensregio’s te garanderen?

Vraag 7

Welke rol ziet u voor het Rijk om, samen met provincies, gemeenten én veiligheidsregio’s, structurele oplossingen te realiseren voor grensbewoners die nu vaak in onzekerheid leven of zij in geval van nood hulp kunnen inroepen?

Vraag 8

Bent u bereid te onderzoeken of, aanvullend op verbetering van mobiel bereik, het plaatsen van alarmpalen of andere vaste noodvoorzieningen kan bijdragen aan de veiligheid en bereikbaarheid van hulpdiensten in de meest kwetsbare gebieden?

Vraag 1

Heeft u kennisgenomen van het bericht «Nederlandse providers houden zich niet aan sancties tegen Rusland»?1

Vraag 2

Was dit gebrek aan naleving van sancties door Nederlandse internetproviders al eerder bij u en/of het openbaar ministerie (OM) bekend? Zo ja, is daar actie op ondernomen? Zo nee, waarom niet?

Vraag 3

Deelt u de opvatting dat het doel van deze sancties, naast het economisch tegenwerken van Rusland en belangrijke individuen in Rusland, ook het tegengaan van Russische propaganda in Nederland en Europa is en daarmee een kwestie van nationale veiligheid? Zo ja, hoe valt dan slechts 25 procent naleving uit te leggen?

Vraag 4

Hoe gaat u zich inspannen om betere naleving van de sanctiemaatregelen te bereiken, in zijn algemeenheid en in deze specifieke casus?

Vraag 5

Deelt u de opvatting dat de Kamer meer inzicht en invloed moet krijgen in de manier waarop sanctiemaatregelen worden gehandhaafd? Zo ja, hoe gaat u hierop samenwerken met de Kamer? Zo nee, waarom niet?

Vraag 6

Deelt u de opvatting dat het voor Kamerleden onmogelijk is om het sanctiebeleid goed te controleren als de regering steevast volhoudt niet op individuele gevallen in te gaan? Zo ja, kunt u voortaan wat meer informatie geven over het falen van het sanctiebeleid? Zo nee, waarom niet?

Vraag 7

Hoeveel keer is het OM overgegaan tot vervolging vanwege het niet naleven van de sanctiemaatregelen tegen Rusland?

Vraag 1

Kunt u aangeven wat de actuele status is van de problemen die zijn opgetreden n.a.v. de storing bij het Openbaar Ministerie (OM)? Zijn alle problemen die als gevolg van deze storing zijn opgetreden inmiddels verholpen?

Vraag 2

Kunt u bevestigen dat de verstoring bij het OM ertoe heeft geleid dat het Justitiële Documentatie Systeem (JDS) sinds 17 juli 2025 geen actuele gegevens meer ontvangt? Zo ja, wanneer is dit bij u bekend geworden en wanneer heeft u de Kamer hierover geïnformeerd?

Vraag 3

Hoeveel VOG-aanvragen zijn er sinds 17 juli 2025 ingediend waarvoor de beoordeling vertraging heeft opgelopen door het ontbreken van actuele gegevens in JDS?

Vraag 4

Bent u bereid om op korte termijn een overzicht te geven van de aantallen vertraagde, onvolledig beoordeelde of opnieuw ingediende VOG-aanvragen sinds 17 juli 2025?

Vraag 5

Hoe zijn werkgevers, werknemers en vrijwilligersorganisaties actief geïnformeerd over het feit dat VOG-aanvragen momenteel mogelijk op onvolledige informatie zijn gebaseerd?

Vraag 6

In hoeveel gevallen is de screening van adoptieouders, pleeggezinnen en voogdijverzoeken door de Raad voor de Kinderbescherming mogelijk gebaseerd op onjuiste/verouderde informatie uit het JDS? In hoeveel gevallen is de screening vertraagd?

Vraag 7

Wanneer verwacht de Minister dat het JDS weer volledig is bijgewerkt en VOG-aanvragen weer zonder vertraging én met de volledige informatie in behandeling worden genomen?

Vraag 8

Klopt het dat Justis in sommige gevallen aan werkgevers en werknemers adviseert om een VOG-aanvraag opnieuw in te dienen zodra het JDS weer geactualiseerd is? En wat zijn de gevolgen als een werkgever geen nieuwe VOG laat aanvragen?

Vraag 9

Wat betekent dit voor de rechtspositie van de aanvrager? Wordt de oorspronkelijke aanvraag in behandeling genomen zodra actuele informatie beschikbaar is, of moet de hele procedure opnieuw worden doorlopen? Wie draagt de kosten van de tweede aanvraag?

Vraag 10

Bent u bereid te verkennen of het redelijk is om de kosten voor deze herhaalde aanvragen (die voortkomen uit een verstoring binnen de overheid) worden vergoed, dan wel via coulance worden kwijtgescholden?

Vraag 1

Kunt u, naar aanleiding van uw beantwoording van eerdere schriftelijke vragen1, wellicht nog nader toelichten wat bedoeld wordt met «actief gebruik» in de zin «Er is in het heden of verleden geen actief gebruik van Palantir (licenties) bij het organisatieonderdeel NCTV2.»? Wordt er wellicht wel op een andere wijze («passief gebruik?») door de NCTV gebruikgemaakt van Palantir? Of kan uit dit antwoord geconcludeerd worden dat er op geen enkele wijze gebruik is gemaakt van Palantir door de NCTV? En los van het («actief» of «passief») gebruik, heeft de NCTV wel of geen (al dan niet via «samenwerkingsverbanden») toegang tot Palantir?

Vraag 2

U schrijft dat de politie, in speciale gevallen, de «informatieproducten» afkomstig uit de Raffinaderij deelt met «ketenpartners»: wie zijn die «ketenpartners»?

Vraag 3

Welke datasets worden met die ketenpartners gedeeld?

Vraag 4

Welke algoritmen worden door die ketenpartners of binnen de «samenwerkingsverbanden» hiervoor gebruikt en/of ontwikkeld?

Vraag 5

Worden deze algoritmen wellicht ook gepubliceerd op https://algoritmes.overheid.nl/nl/algoritme?

Vraag 1

Wat is de stand van zaken omtrent de maatregelen die u aankondigt in uw recente Kamerbrief over het datalek bij het bevolkingsonderzoek naar baarmoederhalskanker?1 Zijn alle gedupeerden van de hack inmiddels op de hoogte dat hun gegevens zijn gelekt?

Ik betreur het dat zoveel mensen in Nederland getroffen zijn door deze hack. Extra erg is het dat niet bekend is of alles nu bekend is. Zo hebben we, zoals ik in mijn brief van 1 september 2025 aan uw Kamer heb laten weten, wij tot onze spijt moeten constateren dat er nog meer deelnemers dan in eerste instantie gedacht, door de hack getroffen zijn.2 Dit gaat om circa 230.000 mensen extra en het is niet uit te sluiten dat het hierbij blijft. In reactie op dit nieuws heeft Bevolkingsonderzoek Nederland (BVO NL) besloten om alle deelnemers van wie gegevens met het betreffende laboratorium zijn gedeeld, te informeren. Dat gaat om 941.000 deelnemers die naar verwachting half september worden geïnformeerd. Onder hen zitten ook de 485.000 mensen van wie al eerder bekend was dat zij waren getroffen door deze hack, en waarvan de meesten in de week van 18 augustus hierover een brief van BVO NL hebben ontvangen. Deze groep ontvangt dus opnieuw een brief. De tweede brief bevat informatie over welke gegevens door BVO NL zijn gedeeld met het laboratorium, hoe misbruik herkend en voorkomen kan worden en waarom BVO NL bepaalde gegevens gebruikt.
In de brief aan uw Kamer van 11 augustus 2025 zijn verschillende maatregelen aangekondigd met als doel de impact van de hack te beperken.3 In de brief van 1 september 2025 zijn de aanvullend getroffen maatregelen beschreven. Het belangrijkste is dat er zo snel mogelijk duidelijkheid komt uit de verschillende onderzoeken naar hoe deze hack heeft kunnen plaatsvinden en op welke wijze verdere maatregelen ter bescherming van dataveiligheid nodig zijn. Zodra relevante uitkomsten van de onderzoeken bekend zijn, zal ik uw Kamer daarover informeren.

Vraag 2

Is het duidelijk welke gegevens er van de 485.000 gedupeerden precies buitgemaakt zijn? Gaat u hen direct informeren over welke gegevens per persoon zijn buitgemaakt of al zijn gelekt?

Welke gegevens van de getroffenen van de hack precies bemachtigd zijn, is op individueel niveau nu nog niet te zeggen. Indien hier meer duidelijkheid over komt, wordt bekeken hoe deelnemers hier zo goed mogelijk over geïnformeerd kunnen worden. BVO NL weet inmiddels wel op persoonsniveau welke gegevens er per deelnemer met het laboratorium zijn gedeeld en zal alle getroffenen daarover nader informeren, ook de getroffenen die in de week van 18 augustus al een brief
ontvangen hebben. Deze brieven worden naar verwachting halverwege september verstuurd. Ik heb uw Kamer in mijn brief van 1 september 2025 ook geïnformeerd over welke gegevens door BVO NL met het laboratorium zijn gedeeld.

Vraag 3

Hoe borgt u dat de communicatie richting burgers begrijpelijk, meertalig en toegankelijk is? Kunt u bovendien garanderen dat trans- en non-binaire personen die zijn gedupeerd met de juiste of een neutrale aanhef worden aangeschreven?

Er wordt door BVO NL extra aandacht besteed aan de begrijpelijkheid van de brieven die medio september worden verzonden. De signalen en feedback hierover op de brieven die in de week van 18 augustus zijn verzonden, worden meegenomen in deze nieuwe ronde brieven. BVO NL betrekt hierin ook het RIVM. Het RIVM werkt al langer aan het vergroten van de toegankelijkheid van de bevolkingsonderzoeken naar kanker en kan die expertise dus goed inbrengen. Ik heb ook een brief ontvangen van de Nationale ombudsman over informatievoorziening rond de hack. Ik heb deze brief gedeeld met BVO NL, zodat zij met de suggesties en opmerkingen van de ombudsman aan de slag kunnen voor deze nieuwe ronde brieven. Ook ga ik op basis van de brief van de ombudsman in gesprek met de betrokken partijen om samen te bepalen welke aanvullende acties mogelijk zijn.
De brieven van BVO NL worden alleen in het Nederlands opgesteld, omdat BVO NL niet weet wie welke taal spreekt. BVO NL zal de brieven wel in het Nederlands en Engels op hun website plaatsen. Wat betreft de aanhef in de reeds verzonden brieven, geldt dat BVO NL zich realiseert dat de woordkeuze («mevrouw») niet de ervaring en identiteit vertegenwoordigt van iedereen in de doelgroep van het bevolkingsonderzoek. Om die reden wordt voor de nieuwe ronde brieven verkend welke technische mogelijkheden er zijn om de aanhef meer op maat te kiezen. Mocht dit niet mogelijk zijn, zal BVO NL hier op een alternatieve manier aandacht aan besteden in de brief.

Vraag 4

Kunt u nader ingaan op de directe gevolgen van het lek voor de gedupeerden? Hoe wordt hun gestolen data vermoedelijk gebruikt?

De grootste risico’s van de hack bij het laboratorium voor burgers zijn phishing en identiteitsfraude.
Door phishing in e-mails, per sms of telefoon kunnen criminelen proberen burgers te verleiden tot het delen van wachtwoorden of geven van informatie. Een andere mogelijkheid is dat door op een link te klikken malware wordt geïnstalleerd op de computer, telefoon of het netwerk. Dit kan leiden tot schade aan IT-systemen, tot spionage of tot nieuwe datadiefstal.
Wanneer criminelen beschikken over persoonsgegevens kunnen ze zich voordoen als iemand anders en identiteitsfraude plegen.

Vraag 5

Hoeveel burgers hebben contact opgenomen met het klantcontactcentrum van Bevolkingsonderzoek Nederland? Is er voldoende capaciteit om vragen en zorgen goed af te handelen? Zo niet, bent u bereid hier middelen voor vrij te maken?

Er komen begrijpelijkerwijs veel vragen binnen bij het klantcontactcentrum van BVO NL. Het betreft circa 80 tot 400 telefoontjes per dag, en circa 2.000 ontvangen e-mails in de periode tot en met 1 september 2025. De hoeveelheid vragen op een dag is afhankelijk van de actualiteiten, zoals berichtgeving in de media. De capaciteit bij het klantcontactcentrum is opgeschaald. Er is op dit moment voldoende capaciteit om de vragen aan te kunnen. Het klantcontactcentrum is uitgebreid met een speciale informatielijn (0800-1617) met specialisten op het gebied van crisistelefonie.
Mijn prioriteit is om BVO NL in staat te stellen om de gevolgen van de hack zo goed als mogelijk te beperken voor alle betrokkenen. Op dit moment is er geen zicht op of dit financiële gevolgen heeft voor VWS en/of de uitvoeringsorganisaties.

Vraag 6

Welke maatregelen kunnen gedupeerden treffen om zich te beschermen tegen misbruik van hun gegevens? Hoe gaat u direct met hen communiceren om daarin te helpen?

Het advies voor de mensen die een brief van BVO NL hebben gekregen dat hun gegevens onderdeel zijn geweest van de hack bij het laboratorium, is om extra alert te zijn op vreemd gebruik van persoonlijke gegevens. Het gaat dan met name om nepmail, neptelefoontjes, vreemde sms-berichten of misbruik van persoonsgegevens (identiteitsfraude). Op de website van de Rijksoverheid wordt meer informatie gegeven hoe deze situaties herkend kunnen worden en hoe hiervan melding gedaan kan worden. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van BVO NL.

Vraag 7

Met hoeveel zekerheid kunt u zeggen dat de gestolen gegevens daadwerkelijk niet verder worden verspreid of verkocht? Hoe monitort u de verdere verspreiding van deze gegevens om in kaart te brengen wie de gelekte gegevens mogelijk in handen hebben?

Ik heb geen zekerheid over wat criminelen met de gegevens doen die zij hebben buitgemaakt. Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn. Z-CERT heeft aangegeven dat er tijdelijk een deelverzameling is gepubliceerd op het dark web. Deze deelverzameling kan in de periode dat deze online stond, door anderen ingezien of gekopieerd zijn. De gehele dataset die in handen zou zijn gekomen van de hackergroep kan op een later moment ook alsnog door hen misbruikt worden.
Politie en OM doen onderzoek naar de hack bij het laboratorium. Ik hoop dat de daders gevonden worden en de gestolen dataset gewist wordt.
Z-CERT monitort of de data (opnieuw) op het darkweb verschijnt en onderneemt in dat geval actie.

Vraag 8

Kunt u aangeven of de verwerkersovereenkomsten2 tussen Bevolkingsonderzoek Nederland en Clinical Diagnostics volledig op orde waren? Bent u bereid deze overeenkomsten (geanonimiseerd) met de Kamer te delen?

Op grond van de AVG is het sluiten van een verwerkersovereenkomst verplicht als een verwerking namens en in opdracht van een verwerkingsverantwoordelijke wordt verricht door een verwerker. Een verwerkersovereenkomst moet in ieder geval afspraken bevatten over de onderwerpen die de AVG voorschrijft. Die onderwerpen betreffen onder meer de aard, het doel en de duur van de verwerking. De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van deze verplichtingen uit de AVG. Indien in dit concrete geval een verplichting bestond om een verwerkingsovereenkomst te sluiten, is het aan de AP om te beoordelen of de inhoud daarvan aan de eisen van de AVG voldoet. De AP is reeds een onderzoek gestart.

Vraag 9

Kunt u aangeven of er toezicht is geweest op het technisch voldoen aan minimale beveiligingseisen3 om de basisbeveiliging te borgen? Zo ja, hoe is het bij de hack alsnog verkeerd gegaan? Zo niet, gaat u naleving alsnog verplichten en de organisaties hierbij helpen?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.
In het algemeen geldt dat op het gebied van de informatiebeveiliging in de zorg er sectorspecifieke wet- en regelgeving is (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. Zorgorganisaties zijn verantwoordelijk voor de implementatie van technische maatregelen en de controle daarop.
De IGJ heeft mij laten weten dat dit laboratorium nog niet eerder bezocht is in het kader van informatieveiligheid. De IGJ heeft inmiddels aangekondigd onderzoek te doen bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-CERT, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Voornoemde meldplicht aan de IGJ en Z-CERT bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 10

Bent u bereid om de NEN 7510, ISAE 3000 en vergelijkbare standaarden standaard op te nemen in de inkoopeisen van het Ministerie van Volksgezondheid, Welzijn en Sport? Ziet u dit als een noodzakelijke stap om beter inzicht te krijgen in de cyberveiligheid van betrokken organisaties?

Ja. Het Ministerie van VWS hanteert bij de inkoop en uitbesteding van ICT-diensten het rijksbrede normenkader voor informatiebeveiliging, de Baseline Informatiebeveiliging Overheid (BIO). De BIO is gebaseerd op internationale standaarden, zoals ISO/IEC 27001 en ISO/IEC 27002 en bevat specifieke aanvullende overheidsmaatregelen.
Voor leveranciers die persoonsgegevens verwerken geldt aanvullend de norm NEN 7510. Deze norm is wettelijk verankerd in de zorgsector en kan door VWS contractueel worden verlangd van leveranciers die dergelijke gegevens verwerken.
Daarnaast wordt bij contracteren, waar passend, gevraagd om assurance-rapportages, bijvoorbeeld de ISAE 3000 of SOC-rapporten, waarmee leveranciers aantoonbaar maken dat zij de gestelde beveiligingsmaatregelen in de praktijk hebben ingericht en effectief laten functioneren.
In lijn met de aankomende Cyberbeveiligingswet (implementatie van NIS2) en de BIO 2.0 wordt leveranciersmanagement verder versterkt, onder meer door het stellen van expliciete eisen aan ketenbeveiliging, incidentmeldingen en onafhankelijke toetsing. Hiermee wordt geborgd dat VWS zijn verantwoordelijkheid neemt voor de beveiliging van uitbestede processen en de bescherming van gegevens in de zorg- en Rijkscontext.

Vraag 11

Welke concrete eisen gaat u stellen aan dataminimalisatie en -retentie bij bevolkingsonderzoeken en laboratoria, zoals tokenisatie, pseudonomisering en kortere bewaartermijnen?

Het is van groot belang dat bij de verwerking van bijzondere persoonsgegevens zoals medische persoonsgegevens, aan de wettelijke vereisten wordt voldaan. Het gaat in ieder geval om de beginselen inzake de verwerking van persoonsgegevens die zijn neergelegd in artikel 5 AVG (o.a. rechtmatigheid, transparantie, doelbinding en het principe van dataminimalisatie). Aanvullende (informatiebeveiligings)normen gelden ingeval van verwerking van persoonsgegevens met een hoog risico voor rechten en vrijheden van burgers. Het is aan de organisatie die verantwoordelijk is voor verwerking van persoonsgegevens (de verwerkingsverantwoordelijke) om aan te tonen dat zij voldoet aan de toepasselijke normen en uiteindelijk aan de AP om te beoordelen of dat het geval is (geweest). Dat geldt dus ook voor bevolkingsonderzoeken en laboratoria.

Vraag 12

Wanneer verwacht u de uitkomsten van de aangekondigde onderzoeken door Bevolkingsonderzoek Nederland, de RIVM en de Autoriteit Persoonsgegevens? Welke duidelijkheid moeten deze onderzoeken verschaffen?

BVO NL laat verschillende onderzoeken uitvoeren met als doel om:
Zoals ook aangegeven in het antwoord op vraag 1 is het belangrijk dat er zo snel mogelijk duidelijkheid komt op basis van de verschillende onderzoeken. Op dit moment is er nog geen precieze planning te geven. Op het moment dat dat wel het geval is, zal uw Kamer daarover geïnformeerd worden. Ook de AP en de IGJ kunnen nog niet aangeven wanneer hun onderzoeken gereed zijn, omdat niet te voorzien is wat ze tegenkomen en waar nader onderzoek naar nodig is.

Vraag 13

Hoe zorgt u ervoor dat organisaties leren van de hack en de uitkomsten van alle onderzoeken worden gebruikt om de bescherming van persoonsgegevens bij essentiële organisaties feitelijk te verbeteren? Via welke structuren gaat u deze kennisuitwisseling faciliteren?

Digitale veiligheid vormt een essentieel aandachtspunt vormt voor de gehele maatschappij. In (bestuurlijke) gesprekken met partners uit het veld wordt dataveiligheid door het Ministerie van VWS actief onder de aandacht gebracht. In het zorgveld zijn een aantal manieren om te leren van incidenten:

Vraag 14

Heeft u meer organisaties geïdentificeerd die op eenzelfde manier kwetsbaar zijn voor een hack van zo’n ordegrootte? Welke concrete maatregelen neemt u om hun cyberveiligheid in orde te brengen zodat een soortgelijk datalek niet meer kan gebeuren?

Ik heb op dit moment geen signalen dat andere organisaties ook kwetsbaar zijn voor een hack zoals bij dit laboratorium heeft plaatsgevonden. Zorgaanbieders zijn in de eerste plaats zelf wettelijk verantwoordelijk voor hun informatieveiligheid en het voorkomen van datalekken. Dat neemt niet weg dat ik me ook inzet voor het verkleinen van de risico's en de impact hiervan. Dit doe ik door te zorgen voor meer bewustwording met het programma informatieveilig gedrag in de zorg, duidelijke normen en kaders te stellen en door hulpmiddelen aan te bieden om deze te implementeren. Daarnaast biedt Z-CERT gespecialiseerde ondersteuning aan zorgaanbieders. Z-CERT monitort continu de systemen die benaderbaar zijn via het internet van de bij hen aangesloten zorgaanbieders en informeert deze zorgaanbieders over mogelijke risico’s in hun cyberbeveiliging. Daarnaast adviseert Z-CERT zorg- en zorgketenorganisaties over maatregelen die de cyberweerbaarheid verhogen en stelt adviezen hiervoor op hun website beschikbaar. Zo zijn onder meer de tien belangrijkste maatregelen tegen ransomwaredreiging op hun website geplaatst.

Vraag 15

Kunt u deze vragen los van elkaar en zo snel mogelijk beantwoorden?

De vragen zijn zo snel als mogelijk beantwoord.

Vraag 1

Kunt u toelichten welke herstelstappen sinds de hack zijn gezet om herhaling te voorkomen en hoe u de effectiviteit van deze maatregelen verifieert, specifiek met het oog op bescherming van gevoelige categorieën informatie, zoals adressen van Blijf-van-mijn-lijf-huizen en andere beschermde opvanglocaties, gegevens over kroongetuigen en hun naasten, dossiers over zware georganiseerde misdaad en terrorisme, interne HR-dossiers die officieren van justitie en andere functionarissen mogelijk chantabel of afpersbaar maken?

Vraag 2

In hoeverre kan technisch of forensisch worden vastgesteld of adressen van Blijf-van-mijn-lijf-huizen en andere beschermde opvanglocaties, gegevens over kroongetuigen en hun naasten of dossiers over zware georganiseerde misdaad en terrorisme, daadwerkelijk zijn ingezien of buitgemaakt?

Vraag 3

Welke specifieke maatregelen zijn genomen om te achterhalen of HR-dossiers van medewerkers, inclusief aanklagers en officieren van justitie, mogelijk in handen van kwaadwillenden zijn gekomen en hen kwetsbaar maken voor chantage en/of afpersing?

Vraag 4

Zijn er signalen of indicaties dat met mogelijk buitgemaakte informatie al pogingen zijn gedaan om procespartijen, getuigen of medewerkers van het Openbaar Ministerie (OM) te beïnvloeden of te intimideren?

Vraag 5

Betekent, dat u stelt dat er geen aanwijzingen zijn voor datamanipulatie, ook kunt uitsluiten dat gevoelige gegevens zijn gekopieerd of op termijn kunnen worden misbruikt? Zo nee, welke voorzorgsmaatregelen zijn getroffen tegen langdurig sluimerend misbruik?1

Vraag 6

Kunt u uiteenzetten hoe het OM en het ministerie ervoor zorgen dat ook ketenpartners zoals politie, rechtspraak en opvanginstellingen volledig op de hoogte zijn van de mogelijke risico’s, zodat zij preventief maatregelen kunnen nemen?

Vraag 7

Acht u het zinvol en noodzakelijk om, naar analogie van de kritische financiële sector, zo snel mogelijk de eis neer te leggen dat bij organisaties met een essentiële rol in de rechtsstaat, zoals het OM, een onafhankelijke risicofunctie wordt belegd, met specifieke focus op cyberveiligheid en integriteitsbescherming?

Vraag 8

Bent u bereid de Kamer periodiek en vertrouwelijk te informeren over de stand van zaken, ook als er geen nieuwe incidenten worden ontdekt, om het vertrouwen in de veiligheid van het OM te herstellen en te behouden?

Vraag 1

Wat is uw reactie op het bericht dat artsen die leunen op AI minder scherp worden en ziektes minder goed herkennen?1

Vraag 2

Hoe verhoudt dit vermoedelijke «deskilling»-effect van het gebruik van AI in de gezondheidszorg zich tot de inzet van uw ministerie op het stimuleren van AI in de zorg?

Vraag 3

Welke stappen gaat u zetten om te voorkomen dat het toenemende gebruik van AI in de Nederlandse zorg zal leiden tot afnemende vaardigheden van zorgprofessionals?

Vraag 4

In hoeverre wordt in de zorg in Nederland in de gaten gehouden of inzet van bepaalde AI-toepassingen ook zorgt voor ongewenste bijeffecten zoals het verlies van vaardigheden?

Vraag 5

Wat is uw reactie op het bericht «AI kan radioloog vervangen bij borstkankerscreening, blijkt uit Nederlands onderzoek»?2

Vraag 6

Wat zou het effect zijn op het uitnodigingsinterval bij het bevolkingsonderzoek borstkanker als voortaan één radioloog in plaats van twee nodig zou zijn om de scans te analyseren?

Vraag 7

Wat zijn de mogelijkheden en plannen om deze techniek breder in te zetten in de Nederlandse borstkankerzorg en wordt dit vergoed?

Vraag 8

In hoeverre speelt hierbij ook het risico op «deskilling» van radiologen?

Vraag 9

Herinnert u zich de uitspraak «Mijn doel is om in 2030 de administratietijd te halveren. Kunstmatige Intelligentie (AI) biedt veel mogelijkheden om hieraan bij te dragen en tegelijkertijd de uitdagingen op de arbeidsmarkt in de zorgsector aan te pakken» van toenmalig Minister Agema?3In hoeverre onderschrijft u deze uitspraak? Wat zijn de meest recente schattingen van de mogelijkheden om de administratietijd in de zorg terug te dringen via AI?

Vraag 1

Kunt u bevestigen dat het datalek bij laboratorium Clinical Diagnostics veel groter blijkt dan eerder gemeld, en dat naast gegevens van 485 duizend vrouwen ook data van onderzoeken naar huid, urine, penis, anus en wondvocht zijn buitgemaakt?1

Het laboratorium Clinical Diagnostics heeft in zijn eerste berichtgeving over de hack aan Bevolkingsonderzoek Nederland (BVO NL) gemeld dat daarbij de gegevens van ruim 485.000 deelnemers van het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd. Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Uit contact met het laboratorium en Stichting Z-Cert (het expertisecentrum voor cybersecurity in de zorg) is naar voren gekomen dat de omvang van het datalek, naast de deelnemers van het bevolkingsonderzoek baarmoederhalskanker, inderdaad groter blijkt te zijn. Zo heeft de Staatssecretaris Rechtsbescherming uw Kamer geïnformeerd dat ook gegevens van 266 (ex-)gedetineerden betrokken zijn bij de hack.2 Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 2

Hoe beoordeelt u het feit dat gegevens, inclusief burgerservicenummer, medische uitslagen en adviezen, deels op het dark web zijn verschenen en dat criminelen claimen 300 gigabyte aan data te hebben gestolen?

Ik betreur het ten zeerste dat persoonsgegevens van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd als gevolg van een hack bij het laboratorium Clinical Diagnostics. Bovenal voor de deelnemers die direct geraakt zijn door de hack, aangezien het grote impact kan hebben als je gegevens in verkeerde handen komen. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens zijn bemachtigd bij een hack en mogelijk op het dark web zijn verschenen, is dat een ontzettende schok. Ook voor alle andere (potentiële) deelnemers aan de bevolkingsonderzoeken vind ik de situatie betreurenswaardig. Deelnemers aan de bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Ik begrijp heel goed dat zij zich zorgen kunnen maken en vragen hebben.
Ik vind het belangrijk dat deelnemers zo goed mogelijk worden geïnformeerd over de hack. Betrokken zijn of worden door BVO per brief geïnformeerd. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum3 van BVO NL.

Vraag 3

Wat vindt u van het feit dat het datalek al op 6 juli 2025 bekend was bij het laboratorium, maar pas op 6 augustus 2025 is gemeld aan Bevolkingsonderzoek Nederland?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de Autoriteit Persoonsgegevens (AP) en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Kunt u bevestigen dat ook gegevens van patiënten van huisartsen en ziekenhuizen zoals het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis zijn gelekt? Wat betekent dit voor de verantwoordelijkheid van deze instellingen?

Uit contact met het laboratorium en Stichting Z-Cert is naar voren gekomen dat de omvang van het datalek inderdaad groter blijkt te zijn dan het bevolkingsonderzoek baarmoederhalskanker. Zoals ik afgelopen vrijdag en vandaag in aparte brieven uw Kamer heb laten weten, blijkt dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack, ook deze deelnemers worden hierover door BVO NL geïnformeerd.
Desgevraagd Iheeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 5

Welke concrete maatregelen zijn inmiddels genomen om de schade voor betrokken burgers te beperken en herhaling te voorkomen?

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van de hack zoveel mogelijk te beperken, zijn de volgende maatregelen genomen:
De komende periode beziet BVO NL op welke wijze de consequenties van de hack zoveel mogelijk kunnen worden beperkt. Ik sta hierover in nauw contact met het RIVM en BVO NL.
Van het laboratorium heb ik vernomen dat de betrokken zorgverleners en patiënten worden geïnformeerd en gewezen op de mogelijke risico’s. Om herhaling te voorkomen heeft het laboratorium aanvullende maatregelen getroffen, waaronder het verder beperken van de toegang tot de getroffen IT-omgeving en verscherpte monitoring door het Security Operations Center (SOC)-team op de IT-omgeving.

Vraag 6

Hoe kan het dat Bevolkingsonderzoek Nederland en andere zorginstellingen geen gebruik maken van bijvoorbeeld Privacy by Design technieken, waardoor herleidbare persoonsgegevens niet uitgewisseld hoeven te worden tussen een extern laboratorium en de zorginstelling?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.

Vraag 7

Welke verbeteringen gaat u doorvoeren in het toezicht op digitale veiligheid bij laboratoria en andere zorginstellingen? Welke verbeteringen ziet u voor de lange termijn?

Digitale veiligheid vormt een essentieel aandachtspunt voor de gehele maatschappij. Op het gebied van de informatiebeveiliging in de zorg is er al sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-Cert, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Deze meldplicht aan de IGJ bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 8

Hoe beoordeelt u de keuze om gezondheidsdata te laten beheren door private laboratoria? Kunt u toezeggen om te onderzoeken of centrale overheidsregie op digitale gezondheidsdata uitvoerbaar en wenselijk is?

Privacyregelgeving geldt voor iedereen, dus zowel voor publieke als private partijen. Vanuit dat oogpunt is er geen bezwaar om gezondheidsdata te laten beheren door private laboratoria.
Met betrekking tot het tweede aspect van uw vraag, het regievoeren op het organiseren van het gezondheidsinformatiestelsel, waar de organisatie van digitale gezondheidsdata een belangrijk onderdeel van is, gebeurt door het uitvoeren van de in april door de Tweede Kamer goedgekeurde Nationale Visie en Strategie (NVS) op het Gezondheidsinformatiestelsel4. In deze visie staat hoe de opslag en het beheer van digitale gezondheidsdata worden vormgegeven. Privacy en informatiebeveiligingseisen zijn een integraal onderdeel van de NVS, voor primaire zorginformatie en voor informatie zoals die gebruikt wordt voor het bevolkingsonderzoek.

Vraag 9

Bent u bekend met systemen waarbij data bij de bron wordt onthouden en pas bij verwijzing kunnen worden ingezien, met volledige logging van inzage? Hoe beoordeelt u de veiligheid van dit decentrale model ten opzichte van een centraal systeem zoals in Estland?

Ik ben bekend met de systemen waar u op doelt, het zogenoemde communicatiepatroon «gericht beschikbaar stellen», waarbij volledige logging van inzage plaats moet vinden. Ook in de situatie van laboratoriumonderzoek zou gebruik gemaakt kunnen worden van dit communicatiepatroon. Dit communicatiepatroon kan echter niet het hacken van data uit het laboratorium zelf voorkomen.
Met betrekking tot het tweede aspect van uw vraag, de inrichting van zorgstelsels in verschillende landen is niet altijd goed met elkaar te vergelijken. Veiligheidsvraagstukken en de afweging tussen centraal en decentraal worden meegenomen bij de inrichting van het gezondheidsinformatiestelsel op basis van de NVS.

Vraag 10

Is er inmiddels aangifte gedaan van deze hack? Zo ja, door wie en op welk moment? Is dit voor of na de melding op 6 augustus jl. aan Bevolkingsonderzoek Nederland? En mocht dit voor de melding op 6 augustus zijn geweest, hoe beoordeelt u de communicatie van organisaties bij datalekken, welke verbeteringen ziet u?

Over de vraag of er door direct betrokkenen aangifte is gedaan, kan ik mij niet uitlaten.

Vraag 11

Welke rol speelt de Inspectie Gezondheidszorg en Jeugd in het toezicht op digitale veiligheid bij laboratoria? Wordt deze rol versterkt?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wabvpz en Wkkgz). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.

Vraag 12

Wat kan de overheid nog doen als gegevens eenmaal op het dark web zijn verschenen, en hoe wordt de schade voor de betrokken burgers beperkt?

Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn.
Hoewel de mogelijkheden om schade volledig te voorkomen beperkt zijn, kunnen er door zorginstellingen wel maatregelen worden genomen om de (toekomstige) impact voor betrokkenen zoveel mogelijk te beperken. Een belangrijke stap is het tijdig informeren van betrokkenen zodra wordt vastgesteld dat hun gegevens op het dark web zijn aangetroffen. Hacks waarbij zoveel data worden bemachtigd, vergroten namelijk het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
Door snel te informeren, kunnen betrokkenen proactief maatregelen nemen, zoals het wijzigen van wachtwoorden of het melden van mogelijke identiteitsfraude bij de daarvoor bestemde instanties (bijvoorbeeld bij de Rijksdienst voor Identiteitsgegevens5).

Vraag 13

Kunt u uitsluiten dat andere laboratoria of zorginstellingen eveneens slachtoffer zijn van deze of vergelijkbare hacks?

Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Z-Cert monitort continu de informatiebeveiliging van de bij hen aangesloten zorgaanbieders en informeert deze aanbieders over mogelijke risico’s in hun informatiebeveiliging.

Vraag 14

Bent u bereid om een landelijke audit op databeveiliging bij zorginstellingen te laten uitvoeren, en daarbij ook de rol van de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Nationaal Cyber Security Centrum te betrekken?

Nee, het is niet aan mij om landelijke audits uit te voeren. Zorginstellingen in Nederland zijn zelf verantwoordelijk en wettelijk verplicht voor het nemen van technische en organisatorische maatregelen ter bescherming van persoonsgegevens en medische informatie binnen hun organisatie. Zij dienen die maatregelen periodiek te evalueren en zo nodig aan te passen. De AP en de IGJ houden toezicht op de naleving van de betreffende regelgeving.
Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 15

Deelt u de mening dat het vertrouwen in bevolkingsonderzoeken ernstig wordt geschaad door dit datalek?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over deze hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ik wil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 16

Welke maatregelen neemt u om het vertrouwen in bevolkingsonderzoeken te herstellen en deelname te stimuleren?

BVO NL onderneemt verschillende acties om de gevolgen van de hack zoveel mogelijk te beperken:
Ik verwacht dat deze acties bijdragen aan het behouden van vertrouwen in de bevolkingsonderzoeken.
Daarnaast lopen er momenteel verschillende pilots van het RIVM samen met BVO NL om de deelname aan de bevolkingsonderzoeken te stimuleren, waaronder een wijkgerichte aanpak, waarbij door een gezondheidsvoorlichter van het RIVM voorlichting wordt gegeven in wijkcentra in wijken waar de opkomst bij de bevolkingsonderzoeken laag is. Daarnaast wordt voorlichting gegeven op lokale evenementen en festivals en bij voedselbanken. Hierin wordt onder meer samengewerkt met gemeenten en GGD’en. Eventuele signalen die bij deze voorlichting naar voren komen wat betreft de informatievoorziening rond de hack, worden in overleg met BVO NL benut om de informatievoorziening vanuit BVO NL toegankelijker en begrijpelijker te maken.

Vraag 17

Hoe wordt de communicatie richting burgers afgestemd op de ernst van het datalek, en hoe worden deelnemers aan het bevolkingsonderzoek proactief geïnformeerd?

Op 11 augustus heeft BVO NL een nieuwsbericht naar buiten gebracht over de hack bij het laboratorium, om mensen te informeren en te waarschuwen. In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
In deze brief worden deelnemers onder andere geïnformeerd over het belang van alert zijn op fraude. Nu duidelijk is geworden dat meer deelnemers aan het bevolkingsonderzoek zijn getroffen, zullen ook deze deelnemers hierover door BVO NL worden geïnformeerd. Hierover heeft BVO NL op 29 augustus een nieuwsbericht gepubliceerd.
Op de website van BVO NL wordt de informatie voortdurend geüpdatet en worden veelgestelde vragen en antwoorden aangevuld. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van Bevolkingsonderzoek Nederland. 6

Vraag 18

Bent u bereid om met Gemeentelijke Gezondheidsdiensten, huisartsen en Bevolkingsonderzoek Nederland een herstelplan op te stellen voor het vertrouwen in preventieve zorg na dit incident?

Ik wacht op de uitkomsten van de lopende onderzoeken. Hieruit zullen lessen worden getrokken voor verbeteringen in de toekomst. Hierbij kijk ik ook zeker naar het vertrouwen in de preventieve zorg.

Vraag 19

Kunt u als Minister en Staatssecretaris, gezien de ernst van de situatie, toezeggen om voor 1 september 2025 uitgebreid antwoord te geven op bovenstaande vragen, inclusief een visie op de toekomst van digitale gezondheidsdata en cyberveiligheid in de preventieve zorg?

Met de Nationale Visie en Strategie voor het gezondheidsinformatiestelsel, zoals 14 april 2025 door Tweede Kamer akkoord bevonden, is een totaalvisie op het gezondheidsinformatiestelsel voor zorg, preventie en gezondheid gegeven. Mijn ministerie is nu druk bezig om deze visie te realiseren. Om die met vertrouwen van burger en zorgverlener te kunnen realiseren, zijn cyberveiligheid, privacy en informatiebeveiliging van wezenlijk belang en dus ook een integraal onderdeel van de strategie. Dit geldt voor zowel de primaire zorg en preventiezorg als voor gezondheidsdoeleinden.
De vragen zijn per 1 september beantwoord. Ik blijf uw Kamer op de hoogte stellen.

Vraag 1

Bent u bekend met het bericht: «Digitale werkomgeving OM inderdaad gehackt, onderzoek moet uitwijzen welke informatie is gestolen»?1

Ja.

Vraag 2

Wat werd aangetroffen in de eerste scans van het Nationaal Cyber Security Centrum (NCSC) waaruit bleek dat onbevoegden de systemen van het Openbaar Ministerie (OM) zijn binnengedrongen?

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen had losgekoppeld van het internet. Het NCSC heeft met gerichte scans gezocht naar kwetsbare of mogelijk gecompromitteerde systemen. Een analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er gebruik is gemaakt van deze mogelijke kwetsbaarheid. Het NCSC heeft daarop het OM geïnformeerd en geadviseerd om nader onderzoek te verrichten. Inmiddels is een eerste technisch en forensisch onderzoek uitgevoerd.2 Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 3

Bent u op de hoogte van het soort gegevens dat mogelijk is ingezien of buitgemaakt door onbevoegden? Heeft u gericht maatregelen genomen op basis van deze informatie?

Zoals aangegeven in de beantwoording van vraag 2 is zijn er tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader onderzoek gedaan. Over het lopende strafrechtelijk onderzoek kan ik u gedurende dat onderzoek geen mededelingen doen.

Vraag 4

Zijn er aanwijzingen dat persoonsgegevens van medewerkers, zoals e-mailadressen, inloggegevens, telefoonnummers of privéadressen, zijn buitgemaakt of ingezien door onbevoegden?

Zie antwoord vraag 3.

Vraag 5

Wordt er onderzocht welke gevolgen deze hackaanval kunnen hebben voor de digitale en fysieke veiligheid van OM-medewerkers, met name zij die betrokken zijn bij zware strafzaken ten aanzien van ondermijnende criminaliteit? Zo nee, bent u bereid dit wel te doen?

Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 6

Zijn er aanwijzingen dat persoonsgegevens van getuigen of slachtoffers zijn buitgemaakt of ingezien door onbevoegden? Wat doet u om hun veiligheid te waarborgen?

Zie antwoord vraag 5.

Vraag 7

Is er een (voorlopige) risicoanalyse gemaakt en worden er op basis daarvan al maatregelen genomen om kwetsbaarheden af te dekken, naast het offline halen van het OM?

Er zijn maatregelen genomen om kwetsbaarheden af te dekken. Inmiddels gaat het OM stapsgewijs weer online. Dit proces moet zorgvuldig worden ingericht, met versterkte monitoring en detectie, omdat misbruik nooit helemaal kan worden uitgesloten.3

Vraag 8

Welke overheidsorganisaties maken nog meer gebruik van Citrix-software die dezelfde kwetsbaarheid bevat? Welke maatregelen nemen zij om mogelijke hackaanvallen te onderzoeken en zo nodig hun systemen veilig te stellen, gezien u in de brief van 23 juli j.l. schrijft dat het NCSC heeft geadviseerd dat alle organisaties die deze software gebruiken mogelijk misbruik moeten onderzoeken (Kamerstuk 26 643, nr. 1377)?

Het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk gebruik en misbruik van de kwetsbaarheden, ook als de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek en het handelingsperspectief van het NCSC bij alle departementen middels meerdere CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.
Het NCSC vervult een coördinerende rol in de informatie-uitwisseling door continu informatie samen te brengen en te delen, zodat organisaties zelf in staat zijn aanvullend onderzoek te verrichten. Binnen de juridische kaders verstrekt het NCSC informatie als duiding, handelingsperspectieven en beveiligingsadviezen via verschillende netwerken en (openbare) kanalen aan zowel publieke als private organisaties.
Ik kan alleen ingaan op de organisaties die onder mijn departement vallen en verwijs daarvoor onder meer naar de Kamerbrieven van 17 juli jl.4 en van 12 augustus jl.5

Vraag 9

Hoe wordt actuele en relevante informatie uit het onderzoek van het OM gedeeld met andere organisaties die mogelijk ook zijn getroffen door een hackaanval? Bent u bereid deze informatie ook proactief met commerciële partijen te delen?

Zie antwoord vraag 8.

Vraag 10

Hoe worden ketenpartners waar de systemen van het OM mee zijn geïntegreerd betrokken bij deze operatie? Ontvangen zij ook steun voor het onderzoeken van eigen systemen of om belemmeringen in hun werk te voorkomen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en alle samenwerkingspartners. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen heb ik u op 12 augustus jl. geïnformeerd.6

Vraag 11

Is het mogelijk om het herstel van de OM-systemen sneller te laten verlopen dan de verwachte wekenlange operatie? Zo ja, bent u bereid capaciteit vrij te maken om dit te versnellen?

Op basis van de onderzoeksresultaten van het technisch en forensisch onderzoek – en het naarmate het offline zijn van het OM langer duurt, steeds zwaarwegender belang van het goed functioneren van de strafrechtketen en de impact daarvan op de maatschappij – heeft het College van procureurs-generaal het besluit genomen dat het verantwoord en wenselijk is om het OM weer in fasen online te laten gaan. Over deze stapsgewijze livegang van het OM heb ik uw Kamer op 4 augustus geïnformeerd.7

Vraag 12

Wat zijn de praktische gevolgen van het offline halen van de systemen voor OM-medewerkers en lopende strafzaken? Is de organisatie voldoende uitgerust om taken analoog of met back-up systemen volwaardig op te pakken?

Medewerkers van het OM konden alleen inloggen op kantoorlocaties, waren niet per mail bereikbaar en er was sprake van een beperkte functionaliteit van de systemen.8 In de periode dat het OM geheel offline was kon er geen enkele digitale informatie van en naar het OM worden gestuurd. Dit raakten alle ketenpartners in en rondom de strafrechtketen. Het OM en ketenpartners stelden werkprocessen vast om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren. Daarnaast had het OM speciale aandacht voor het informeren van slachtoffers en hun gemachtigden. Dit toont de inventiviteit, enorme inzet en bereidheid om samen te werken in de strafrechtketen. Over de verdere impact op de organisaties in en rondom de strafrechtketen heb ik u op X augustus geïnformeerd.9

Vraag 13

Worden verdachten, advocaten, rechters en andere betrokkenen in de keten actief geïnformeerd over de gevolgen die zij mogelijk ondervinden?

Het OM heeft Q&A’s geplaatst op de eigen website met daarin de veelgestelde vragen op een rij voor de advocatuur, inclusief een apart overzicht voor slachtofferadvocatuur en daarnaast voor slachtoffers. Ook is informatie over de telefonische bereikbaarheid van het OM opgenomen.10 Deze overzichten worden steeds bijgewerkt. Ook op de website van de Rechtspraak is een overzicht met veelgestelde vragen te vinden over de invloed die de IT-problemen bij het OM kunnen hebben op lopende strafzaken.11 Het CJIB en Slachtofferhulp Nederland (SHN) geven op hun websites aan dat de situatie bij het OM gevolgen heeft voor de eigen werkzaamheden en dat – ook met de gegeven alternatieve oplossingen – als gevolg daarvan slachtoffers in bepaalde gevallen mogelijk minder goed geïnformeerd en/of proactief ondersteund kunnen worden.12

Vraag 14

Wanneer is er sprake van genoeg zekerheid om (delen van) het interne systeem weer online te brengen? Hoe voorkomt u dat er uit haast onvoldoende voorzorg wordt genomen, zolang niet precies bekend is wat de ernst van de hack is?

Zoals reeds aan uw Kamer gemeld, zijn er tot op heden er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Op 4 augustus jl. heb ik u geïnformeerd over het stapsgewijs weer online gaan van de systemen van het OM.13 Dit proces wordt zorgvuldig ingericht met versterkte monitoring en detectie. Ik heb het OM verzocht om bij deze gefaseerde livegang in afstemming met de keten te bezien welke essentiële processen met prioriteit weer gedigitaliseerd doorgang moeten vinden.

Vraag 15

Hoe draagt u bij aan het zo snel mogelijk inzicht krijgen van de gevolgen en het veilig online brengen van de het interne OM-netwerk? Stelt u hiervoor extra capaciteit beschikbaar?

Zie antwoord vraag 14.

Vraag 16

Is de Autoriteit Persoonsgegevens betrokken bij deze operatie? Kunt u hen nauw betrekken zodat er snel gehandeld kan worden als blijkt dat persoonsgegevens ingezien of buitgemaakt zijn?

De Autoriteit Persoonsgegevens is reeds door het OM en JIO ingelicht over de situatie. Waar nodig wordt vanzelfsprekend nauw contact onderhouden met de Autoriteit Persoonsgegevens.

Vraag 17

Heeft u contact gehad met Citrix over de kwetsbaarheid in hun software? Kan de leverancier bijdragen aan een oplossing voor het OM?

Ja, met Citrix is regelmatig contact over de kwetsbaarheden en oplossingen hiervoor.

Vraag 18

Kunt u, zo nodig vertrouwelijk, de Kamer informeren over de interne toelichting die is gegeven aan het OM en bekend is bij het NRC?

Ik acht het niet opportuun om in te gaan op mediaberichtgeving over interne communicatie binnen het OM. Het is aan het OM om daar al dan niet op te reageren. Voor het overige verwijs ik naar de Kamerbrieven die uw Kamer over dit onderwerp zijn toegestuurd.

Vraag 19

Kunt u deze vragen afzonderlijk van elkaar en spoedig beantwoorden, en indien mogelijk betrekken bij de eerstvolgende update over de situatie?

Waar relevant zijn antwoorden samengevoegd om herhaling te voorkomen.

Vraag 1

Heeft u een voorlopig beeld van in welke mate de kwetsbaarheden in de on-premise versie van Microsoft Sharepoint Server een effect hebben gehad op de Nederlandse overheid en samenleving?1 Kunt u in algemene zin een indicatie geven van de hoeveelheid (potentiële) slachtoffers in Nederland?

Vraag 2

Kunt u dit ook aangeven ten aanzien van de recente kwetsbaarheden in Citrix Netscaler?2

Vraag 3

Kunt u reflecteren op Microsofts attributie van de initiële cyberaanvallen waarbij gebruik is gemaakt van Sharepoint-kwetsbaarheden aan de Chinese cyber threat actors Linen Typhoon, Violet Typhoon en Storm-2603, in relatie tot de gekende Chinese digitale spionagedreiging zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA) 2025 (Kamerstuk 30 821, nr. 305)?3

Vraag 4

In welke mate weten het Nationaal Cyber Security Center (NCSC) en de relevante doelgroepen elkaar te vinden als het gaat om het opvolgen van beveiligingsadviezen, het delen van indicators of compromise (IoC’s) en het melden van compromittaties, in casussen als Sharepoint en Netscaler? Op welk vlak zijn de grootste verbeteringen nog mogelijk?

Vraag 5

Zal de inwerkingtreding van de Cyberbeveiligingswet naar uw verwachting deze informatieuitwisseling versterken? Kunt u dit toelichten?

Vraag 6

Wanneer verwacht u de Kamer te kunnen informeren over de omstandigheden, de schade en de consequenties van de compromittatie van systemen van het Openbaar Ministerie (OM) middels kwetsbaarheden in Netscaler, welke volgens de media waarschijnlijk door een Russische cyber threat actor uitgevoerd is?4

Vraag 7

Bent u voornemens om die betreffende cyberaanval op het OM, indien dit met voldoende betrouwbaarheid mogelijk is, publiekelijk te attribueren aan een cyber threat actor en/of een land, net zoals het kabinet reeds gedaan heeft met de attributie van de politiehack uit 2024 aan de Russische cyber threat actor LAUNDRY BEAR?

Vraag 8

Heeft de Nederlandse overheid een algemeen publiekelijk attributiebeleid voor cyberaanvalscampagnes?

Vraag 9

Welk afwegingskader(s) hanteert de overheid voor het al dan niet publiekelijk attribueren van cyberaanvallen? Welk(e) bewindspersoon/-personen of welk(e) departement(en) is/zijn doorslaggevend in het besluit of dit publiekelijk gebeurt?

Vraag 10

Zal het feit dat, zoals in het DBSA 2025 wordt gesteld, «er steeds meer landen [lijken] te zijn die in Nederland willen spioneren, met name digitaal via offensieve cyberprogramma’s» van invloed zijn op het attributiebeleid of de uitvoeringspraktijk? Acht u het waarschijnlijk dat het kabinet in de komende jaren meer cyberaanvalscampagnes aan meer landen zal attribueren?

Vraag 11

Hoe en in welke mate wegen diplomatieke afbreukrisico’s mee in het al dan niet publiekelijk attribueren van een cyber threat actor aan een land?

Vraag 12

Heeft u een beeld van hoe de Cybersecurity Advisory over LAUNDRY BEAR inclusief mapping naar het MITRE ATT&CK framework over het algemeen ontvangen is bij de relevante partijen (Kamerstuk 29 628, nr. 1256)? Wordt een rapport als deze in de sector als behulpzaam beschouwd?

Vraag 13

Voorziet u dat het kabinet in de toekomst vaker adviesrapporten van deze aard en omvang met classificatie TLP:CLEAR zal verstrekken? Wat zijn hierin de afwegingen?

Vraag 1

Bent u bekend met het bericht «WeTransfer haalt gebruik bestanden voor AI-training stilletjes uit voorwaarden»?1

Ja, hier ben ik mee bekend.

Vraag 2

Bent u bekend met de nieuwe gebruiksvoorwaarden van WeTransfer, een dienst waar veel mensen gebruik van maken om grote hoeveelheden data te delen met elkaar?

Ja, hier ben ik mee bekend. Overigens heeft WeTransfer zelf de eerdere berichtgeving hierover weersproken2.

Vraag 3

Is bij u bekend wat de gevolgen zijn van de nieuwe gebruiksvoorwaarden voor de consumenten-, privacy- en auteursrechten van gebruikers, die mogelijk worden geschonden als WeTransfer rechten krijgt over de data van gebruikers? Indien dit niet bekend bij u is, kunt u om een zienswijze vragen van de Autoriteit Consument & Markt (ACM) en/of de Autoriteit Persoonsgegevens (AP)?

Voor mogelijke schending van consumenten- en privacyrecht is het niet aan de regering, maar aan de gebruikers om zich tot de toezichthoudende autoriteit te wenden. Voor zover het de naleving betreft van de Algemene Verordening Gegevensbescherming (AVG) is dat de Autoriteit Persoonsgegevens (AP), nu WeTransfer B.V. haar hoofdzetel heeft in Amsterdam. Met betrekking tot de naleving van het consumentenrecht kan een melding worden gedaan bij de Autoriteit Consument en Markt (ACM). Er is geen toezichthouder voor de naleving van het auteursrecht. Als de voorwaarden die aan de inroepbaarheid van de uitzondering op het auteursrecht (neergelegd in artikel 15o van de Auteurswet) zijn geschonden (zie hierover nader het antwoord het vraag3 en de maker geen toestemming voor het gebruik van zijn werk heeft verleend, dan is sprake van een auteursrechtinbreuk. De maker kan een procedure bij de civiele rechter starten en daarin bijvoorbeeld een verbod en schadevergoeding vorderen.

Vraag 4

Is het trainen van AI-modellen op grote hoeveelheden data van gebruikers door techbedrijven, zoals mogelijk het geval is bij WeTransfer en eerder al het geval was bij Meta,2 toegestaan binnen de Nederlandse en Europese wet- en regelgeving? Welke beperkingen kent deze praktijk?

Het trainen van AI-modellen met data van gebruikers is onder bepaalde voorwaarden toegestaan. Het Europese Comité voor gegevensbescherming (EDPB), waarin de Europese toezichthouders samenwerken, heeft op 18 december 2024 een advies aangenomen over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen.5 Uit dat advies van de EDPB volgt dat een verwerkingsverantwoordelijke een gerechtvaardigd belang (artikel 6, eerste lid onder f AVG) kan hebben bij het gebruik van persoonsgegevens voor de ontwikkeling van een AI-model. Daarbij noemt de EDPB diverse voorwaarden voor het gebruik van deze grondslag bij het verwerken van persoonsgegevens ten behoeve van het ontwikkelen of inzetten van een AI-model. Een van die voorwaarden is dat uit een belangenafweging moet blijken dat het gebruik van persoonsgegevens noodzakelijk is en dat hetzelfde doel niet kan worden bereikt met, bijvoorbeeld, geanonimiseerde gegevens. In deze afweging spelen de redelijke verwachtingen van de betrokkenen een belangrijke rol. Bij het vaststellen daarvan dient onder meer rekening te worden gehouden met de context van de verwerking en de informatie die de verwerkingsverantwoordelijke aan de betrokkene aanbiedt. De verwerkingsverantwoordelijke kan daarbij op de concrete omstandigheden van het geval toegespitste maatregelen nemen om de impact van de verwerking op de belangen van de betrokkengebruikers te mitigeren. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of (en zo ja: welke) stappen moeten worden ondernomen tegen een vorm van verwerking.
In het geval AI-modellen worden getraind met auteursrechtelijk beschermde werken, geldt het volgende regime. De AI-verordening bepaalt dat het trainen van generatieve AI een vorm van tekst- en datamining is. Artikel 15o van de Auteurswet bepaalt dat het maken van een reproductie van een werk van letterkunde, wetenschap of kunst ten behoeve van tekst- en datamining onder bepaalde voorwaarden niet als inbreuk op het auteursrecht op het werk wordt beschouwd.6 Een reproductie van een werk mag zonder toestemming van de maker van het werk worden gemaakt, mits: (1) degene die de tekst- en datamining verricht rechtmatig toegang heeft tot het werk en (2) het auteursrecht door de maker of zijn rechtverkrijgenden niet uitdrukkelijk op passende wijze is voorbehouden. De reproductie mag slechts bewaard blijven zolang dat nodig is voor tekst- en datamining en moet daarna worden verwijderd.
Tot slot heeft de Europese Commissie op 10 juli 2025 de General-Purpose AI Code of Practice (GPAI-CoP) heeft gepubliceerd7. Deze (vrijwillige) gedragscode bundelt de belangrijkste uitgangspunten voor aanbieders in drie thematische hoofdstukken. Ook transparantie en auteursrecht maken daarvan onderdeel uit.

Vraag 5

Bent u van mening dat het beschikbaar stellen van gegevens voor doorverkoop en AI-trainingsdoeleinden ten alle tijden een goed geïnformeerde en individuele keuze voor gebruikers moet zijn?

In zijn algemeenheid merk ik op dat, zoals gezegd onder antwoord 4, de AVG ruimte biedt om – ook zonder toestemming van de betrokkene – op basis van de verwerkingsgrondslag «gerechtvaardigd belang» persoonsgegevens te verwerken. Of deze grondslag in een concrete situatie kan worden ingeroepen, wordt bepaald door de omstandigheden van het geval. De beoordeling daarvan komt (zoals toegelicht bij antwoord8 niet toe aan de regering en is aan de toezichthoudende autoriteit. Zij kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.
Artikel 15o van de Auteurswet schrijft, in het voetspoor van de EU-richtlijn auteursrecht in de digitale eengemaakte markt, voor dat het auteursrecht door de maker uitdrukkelijk op passende wijze kan worden voorbehouden zoals door middel van machinaal leesbare middelen bij een online ter beschikking gesteld werk (opt-out). Uit overweging 18 van de voornoemde richtlijn blijkt dat de rechthebbenden specifiek de rechten om reproducties te maken en opvragingen te verrichten ten behoeve van tekst- en datamining op passende wijze kunnen voorbehouden. Bij content die online voor het publiek beschikbaar is gesteld, moet het voorbehouden van die rechten enkel als passend worden beschouwd indien hierbij machinaal leesbare middelen worden gebruikt, waaronder metagegevens en de voorwaarden van een website of een dienst. In andere gevallen dan online gebruik kan het passend zijn om rechten voor te behouden met behulp van andere middelen, zoals contractuele overeenkomsten of een eenzijdige verklaring.

Vraag 6

Welke mogelijkheden heeft u om, nationaal of Europees, het afstaan van gegevens voor doorverkoop en AI-trainingsdoeleinden altijd een «opt-in» te maken? Zijn daartoe aanpassingen nodig van het consumentenrecht?

Een dergelijke «opt-in» zou veronderstellen dat de onderhavige verwerkingsvorm alleen rechtmatig is wanneer deze op toestemming van de gebruikers berust. Zoals ik in antwoorden 4 en 5 aangaf, kan onder omstandigheden ook de verwerkingsgrondslag «gerechtvaardigd belang» worden ingeroepen. Daarvoor weegt mee of de verwerkingsverantwoordelijke voldoende maatregelen heeft genomen om de impact van een gegevensverwerking op de belangen van betrokkenen te beperken. Het bieden van een onvoorwaardelijke «opt-out» kan volgens het eerdergenoemde advies van de EDPB worden beschouwd als een maatregel die de controle van individuen over de verwerking van hun persoonsgegevens versterkt.9 In artikel 4 van de Europese richtlijn auteursrecht in de digitale eengemaakte markt10 is ook gekozen voor een opt-out in plaats van een opt-in systeem. De AI-verordening haakt daarbij aan en bouwt daarop voort. De voornoemde richtlijn wordt volgend jaar onder het gezag van de Europese Commissie geëvalueerd.

Vraag 7

Bent u bereid om in gesprek te gaan met WeTransfer, een Nederlands bedrijf, om helderheid te krijgen over de gevolgen van de nieuwe voorwaarden en een garantie te krijgen dat data gewoon van de gebruikers blijft?

Dat zou een taak van de onafhankelijke toezichthouder zijn, indien deze dat opportuun vindt. In het stelsel van de AVG is het aan verwerkingsverantwoordelijken om verplichtingen na te leven, aan de betrokkenen om rechten uit te oefenen en is het toezicht bij onafhankelijke instanties belegd. Deze onafhankelijkheid vind ik belangrijk en ik wil dit dan ook niet doorkruisen.

Vraag 8

Kunt de vragen afzonderlijk van elkaar en vóór 8 augustus, wanneer de nieuwe gebruiksvoorwaarden ingaan, beantwoorden?

De vragen zijn afzonderlijk en zo snel mogelijk beantwoord.

Vraag 1

Zijn uw uitspraken in de uitzending van Goedenavond Nederland op maandag 14 juli jl.,1 over de afhankelijkheid van Amerikaanse techgiganten, representatief voor het kabinetsstandpunt?

Vraag 2

Wat bedoelde u precies met de uitspraak: «We hebben geen Europese cloudbedrijven»? In welke zin zit Nederland in een «hele ongemakkelijke positie tegenover de grote techbedrijven»?

Vraag 3

Noopt de hele ongemakkelijke positie van Nederland tegenover de grote techbedrijven niet tot het nemen van maatregelen om op zo kort mogelijke termijn de afhankelijkheid af te bouwen?

Vraag 4

Kunt u bondig het kabinetsstandpunt over digitale autonomie toelichten? Op welke manier is het Ministerie van Justitie en Veiligheid verantwoordelijk voor het vergroten van de digitale autonomie?

Vraag 5

Wat is het kabinetsstandpunt over een Europese digitale taks voor Amerikaanse techbedrijven? Hoort dit wat u betreft tot de mogelijkheden voor een Europese reactie op de aangekondigde Amerikaanse importheffingen? Acht u dit in het belang van Nederland?

Vraag 6

Kunt u toezeggen dat ook het Ministerie van Justitie en Veiligheid zich zal inspannen voor het vergroten van de digitale autonomie van Nederland, onder andere door zelf meer Europese alternatieve digitale diensten af te nemen, in lijn met alle aangenomen Kamermoties?2

Vraag 7

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Vraag 1

Heeft u kennisgenomen van de mogelijkheid om voor aanstaande vrijdag 17 uur interesse aan te geven bij de Europese Unie voor een AI-gigafabriek?1

Ja.

Vraag 2

Bent u voornemens om uw interesse voor een AI-gigafabriek tijdig kenbaar te maken aan de EU?

Het demissionair kabinet ziet het belang om in de Europese Unie (EU) publiek en privaat te investeren in AI-infrastructuur, waarbij de AI-Gigafabrieken een belangrijk initiatief is. Het Ministerie van Economische Zaken heeft daarom samen met het Ministerie van Onderwijs, Cultuur en Wetenschap en de RVO een Nederlandse interessepeiling en bijeenkomst georganiseerd. Hieruit blijkt Nederlandse interesse. De Nederlandse bedrijven met een hoofdkantoor in de EU en andere organisaties kunnen zelfstandig reageren op de Europese Call for Expression of Interest die 20 juni sluit. Het gaat hier om een eerste uitvraag naar mogelijke interesse in Europa. Via een brief aan de Europese Commissie zal het Ministerie van Economische Zaken vervolgens op korte termijn het belang van AI-Gigafabrieken en de Nederlandse interesse ondersteunen. In deze brief zal worden verwezen naar de meest concrete initiatieven die bekend zijn bij het ministerie. Het demissionaire kabinet reageert daarmee niet zelf op de formele Call for Expression of Interest, maar ondersteunt wel de Nederlandse interesse. De Europese Commissie zal de reacties gebruiken voor verdere gesprekken in de komende maanden om te komen tot kansrijke initiatieven. De officiële call voor AI-Gigafabrieken wordt eind dit jaar verwacht. Ik blijf in gesprek met de Europese Commissie en de EuroHPC Joint Undertaking over de verdere uitwerking van dit initiatief en de Nederlandse belangen daarin.

Vraag 3

Ervan uitgaande dat het gaat om een cofinancieringstraject met de EU, zijn daar middelen voor beschikbaar, (ook) vanuit Nij Begun (mits een dergelijke fabriek in Groningen zou kunnen komen)?

Voor een AI-Gigafabriek zijn momenteel geen financiële middelen gereserveerd in de begroting. Voor de AI-faciliteit in Groningen (geen AI-Gigafabriek) wordt op dit moment nog gewerkt aan het verkrijgen van een Rijksbijdrage, aanvullend op de regionale bijdrage vanuit Nij Begun, zodat uiterlijk 30 juni een voorstel kan worden ingediend voor Europese cofinanciering.

Vraag 4

Wat is de stand van zaken van de (cofinancierings-)aanvraag voor een «gewone» AI-fabriek voor Groningen, met (een bijdrage uit) de middelen voor Nij Begun? Klopt het dat deze aanvraag uiterlijk eind juni gedaan moet zijn, vergezeld van een reservering van de benodigde nationale middelen? Bent u voornemens deze aanvraag te doen, of heeft u deze aanvraag gedaan?

Het klopt dat uiterlijk 30 juni een voorstel ingediend moet worden om aanspraak te maken op Europese cofinanciering. Een voorwaarde voor indiening is dat de benodigde nationale middelen zijn gereserveerd. Er wordt onderzocht of er door herprioritering ruimte beschikbaar gemaakt kan worden binnen de begrotingen van betrokken departementen om een voorstel in te dienen.

Vraag 5

Kunt u deze vragen uiterlijk donderdag 19 juni 2025 beantwoorden (gezien de deadline van aanstaande vrijdag 17.00 uur)?

Ja.

Vraag 1

Bent u bekend met het bericht «Demissionair de cloud in denderen: doe het niet»?1

Vraag 2

Wat geeft de rijksoverheid in totaal uit aan Microsoft-producten?2

Vraag 3

Wanneer moeten alle departementen en overheidsorganisaties uiterlijk besluiten of zij wel of niet hun mailverkeer en gegevens in eigen beheer gaan nemen als de ondersteuning van Microsoft Exchange afloopt op 14 oktober 2025?

Vraag 4

Heeft de demissionaire status van het kabinet gevolgen voor besluitvorming van departementen over het wel of niet in beheer nemen van mailverkeer en gegevens?

Vraag 5

Welke departementen en organisaties zijn nu van plan om mailverkeer en gegevens in eigen beheer te nemen, welke hebben besloten dit niet te doen en welke moeten het besluit nog nemen?

Vraag 6

Kunt u, in het licht van de recente sancties richting het Internationaal Strafhof, aangeven of mailverkeer en gegevens binnen de justitiële keten in Nederland vanaf 14 oktober 2025 in eigen beheer blijven?3

Vraag 7

Wat zijn de politie, het Openbaar Ministerie, de Raad voor de Rechtspraak en de Hoge Raad van plan te doen vanaf 14 oktober 2025? Worden deze organisaties eveneens kwetsbaar voor Amerikaanse sancties?

Vraag 8

Kunt u bevestigen dat het Shared Service Center ICT (SSC-ICT) de migratie van 57.000 werkplekken van ambtenaren naar de Microsoft-cloud definitief niet doorzet en mailverkeer en gegevens zelf blijft beheren?

Vraag 9

Bent u bereid om, in lijn met de vele aangenomen Kamermoties die de digitale soevereiniteit van de overheid aanjagen, ervoor te zorgen dat alle departementen en overheidsorganisaties het goede voorbeeld van SSC-ICT volgen en gegevens in eigen beheer houden?

Vraag 10

Kunt u toezeggen dat u en uw collega’s geen onomkeerbare stappen zullen zetten die de digitale afhankelijkheid van de Verenigde Staten (VS) doen toenemen, tenzij de Kamer anders besluit?

Vraag 11

Bent u bereid om departementen en organisaties te helpen om mailverkeer en gegevens in eigen beheer te houden vanaf 14 oktober 2025, zodat de strategische afhankelijkheid van de VS niet groeit?

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en minstens één week voor het zomerreces beantwoorden?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1 Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat het UWV en de SVB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Vraag 8

Hoe geven uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon»5 van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1

Vraag 2

Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 3

Kunt u bevestigen dat Dienst Uitvoering Onderwijs (DUO), die Business News Radio (BNR) met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Vraag 4

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen, die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 5

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DUO en andere overheidsorganisaties onder uw gezag betreft?

Vraag 6

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties?

Vraag 7

Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving?

Vraag 8

Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 9

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DUO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners?

Vraag 10

Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 11

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie van het lid Kathmann c.s. die hiertoe oproept?3

Vraag 12

Hoe geven uw departement, DUO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie van het lid Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Vraag 13

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 14

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni 2025?5

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat Rijkswaterstaat, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Vraag 8

Hoe geven uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst (IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Vraag 8

Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643-1315] die hiertoe oproept?

Vraag 8

Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?

Vraag 10

Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Vraag 2

Kunt u bevestigen dat Logius, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt?2 Zo ja, kunt u dit besluit onderbouwen?

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Logius en andere overheidsorganisaties onder uw gezag betreft?

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Logius en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. die hiertoe oproept?3

Vraag 8

Hoe geven uw departement, Logius en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni a.s.?5