Vraag 1

Bent u bekend met het bericht «ACM keert terug op schreden: toch geen eigen elektrolyser voor netwerkbedrijven»?1

Ja.

Vraag 2

Kunt u deze opmerkelijke ommekeer in de positie van de ACM nog volgen en verklaren?

Zoals aangegeven in de Rijksvisie marktontwikkeling voor de energietransitiedie op 22 juni 2020 aan uw Kamer is toegezonden2 is het aan de ACM als toezichthouder om de bestaande wettelijke ruimte3 voor netwerkbedrijven in relatie tot alternatieve energiedragers, waaronder waterstof, uit te leggen en op de naleving van deze wetgeving toe te zien.4 Mede op basis van de «Leidraad netwerkbedrijven en alternatieve energiedragers» van de ACM constateer ik dat de huidige wettelijke bepalingen rondom de ruimte van netwerkbedrijven in relatie tot elektrolyse niet voldoende helder zijn en openstaan voor interpretatie.5 Dit blijkt ook uit de verschillende consultatiereacties van stakeholders op de concept-Leidraad.6 Het is daarom begrijpelijk dat de ACM mede op basis van de consultatiereacties van stakeholders tot nieuwe inzichten is gekomen. Dit onderschrijft juist het nut van dergelijke consultaties.

Vraag 3

Deelt u de mening dat deze gang van zaken, waarbij de leidraad voor netwerkbedrijven sterk gewijzigd is ten opzichte van de conceptversie (na een forse vertraging), funest is voor de energietransitie omdat netwerkbedrijven op los zand moeten opereren?

Nee, deze mening deel ik niet. In de eerste plaats bevestigt de ACM dat netwerkbedrijven infrastructuur mogen aanleggen en beheren voor alternatieve energiedragers zoals waterstof en warmte. Dit is een belangrijke constatering in de context van de uitrol van een transportnet voor waterstof en warmtenetten. Ten tweede sluit, zoals ook toegelicht in de brief over marktordening en marktontwikkeling waterstof van 10 december 20217, de uitleg door de ACM aan bij de afbakeningsprincipes rondom toegestane activiteiten door netwerkbedrijven onder de wet Voortgang Energietransitie (Wet VET).8 Een leidend principe bij de afbakening van activiteiten door netwerkbedrijven is dat activiteiten die door de private sector kunnen worden uitgevoerd aan de markt moeten worden overgelaten. Hierdoor wordt voorkomen dat activiteiten door netwerkbedrijven leiden tot mogelijke marktverstoringen. Daarnaast moet de afbakening borgen dat het netwerkbedrijf zich in hoofdzaak bezighoudt met haar kerntaak, het beheer van het gas- of elektriciteitsnet, en dat blootstelling aan commerciële risico’s wordt beperkt. Daarbij is productie, handel en levering van alternatieve energiedragers zoals waterstof wettelijk niet toegestaan.9 De ACM blijft dus dicht bij de door de wetgever geformuleerde uitgangspunten rondom toegestane activiteiten voor netwerkbedrijven. Wel ziet de ACM onder voorwaarden ruimte voor netwerkbedrijven om in minderheids- of gezamenlijke deelnemingen actief te zijn op het gebied van productie, handel en levering van alternatieve energiedragers. In de Kamerbrief van 10 december 2021 heeft het kabinet al aangegeven dat deze bevinding ongewenst is, omdat het onbeperkt kunnen aangaan van deelnemingen door netwerkbedrijven niet strookt met de door de wetgever geformuleerde afbakeningsprincipes met betrekking tot toegestane activiteiten voor netwerkbedrijven.10
Verder constateer ik dat de door de ACM geïdentificeerde onduidelijkheden binnen het bestaande wettelijke kader met betrekking tot nevenactiviteiten die netwerkbedrijven mogen verrichten niet bijdragen aan een heldere marktordening voor de energietransitie. Daarom wil het kabinet hier duidelijkheid in scheppen. Zoals toegelicht in de kamerbrief van 10 december 2021 is het wenselijk dat de marktordening rondom elektrolyse bijdraagt aan voldoende concurrentiedruk en innovatie door private partijen zodat de kosten, en hiermee benodigde subsidies, in de tijd dalen.11 Een eventuele rol voor netwerkbedrijven is daarbij geen oplossing voor het huidige situatie van de markt, namelijk het bestaan van een onrendabele top voor groene waterstof. Pas als private marktpartijen ondanks het beschikbaar zijn van voldoende subsidie-instrumentarium niet de gewenste opschaling van elektrolyse realiseren, zie ik vanwege de mogelijke systeemrol van elektrolyse ruimte voor netwerkbedrijven om op dit terrein actief te zijn. Over de voorwaarden waaronder dit wenselijk is wil ik de markt consulteren. Door hier duidelijkheid over te verschaffen kunnen netwerkbedrijven zich richten op hun kentaken en toegestane nevenactiviteiten onder de Gaswet en Elektriciteitswet.

Vraag 4

Bent u van mening dat het opslaan van energie, waaronder het omzetten van elektriciteit in moleculen door middel van elektrolyse, geen opwekking is van nieuwe energie?

Bij waterstofproductie middels elektrolyse is er inderdaad geen sprake van de opwekking van energie middels de inzet van een primaire energiebron zoals wind of zon. De energie in elektronen wordt zogezegd overgedragen op waterstofmoleculen. Hierdoor is het mogelijk om duurzaam opgewekte energie grootschalig op te slaan. Vanuit het elektriciteitssysteem bezien is de omzetting van elektriciteit naar waterstof en vervolgens de opslag hiervan een vorm van energieopslag. Dit volgt ook uit de definitie van «energieopslag» onder de Europese Elektriciteitsrichtlijn ((EU) 2019/944).12 Vanuit het gas- of waterstofsysteem bezien is de overdacht van energie van elektronen naar moleculen echter wel een vorm van «produceren». Er komen immers middels een vervaardigingsproces «nieuwe» moleculen in het systeem en op de markt die vervolgens kunnen worden ingezet als grondstof voor industrie of brandstof voor mobiliteit. Daarom wordt elektrolyse ook wel gezien als een alternatieve vorm van waterstofproductie naast bijvoorbeeld waterstofproductie uit aardgas middels methane steam reforming. Het opslaan van deze waterstofmoleculen kan vervolgens, net als bij aardgas, worden gezien als een separate activiteit.

Vraag 5

Deelt u het inzicht dat alternatieve energiedragers, die belangrijk zijn vanwege hun opslagfunctie of voor buffering, essentieel zijn voor een stabiel energiesysteem en dat het daarom wenselijk is dat netwerkbedrijven elektrolyzers en vormen van energieopslag (zoals waterstofopslag in een zoutcaverne) moeten kunnen beheren/in bezit mogen hebben?

Zoals ik in de appreciatie van de studie «Ondergrondse energieopslag in Nederland 2030–2050» heb aangegeven, onderschrijf ik de conclusie dat waterstofopslag een belangrijk en noodzakelijk middel zal zijn voor het behouden van de vraag-aanbodbalans in het toekomstige energiesysteem.13 De locaties waar deze ondergrondse opslag in zoutcavernes plaats kan vinden zijn echter schaars, waardoor het van belang is dat alle marktpartijen hiertoe op basis van non-discriminatoire voorwaarden toegang tot kunnen krijgen. Bij (aard)gas geeft de wet zowel ruimte aan private marktpartijen als netwerkbedrijven om opslaginstallaties te ontwikkelen en te beheren. In welke mate eenzelfde systematiek gewenst is voor waterstof ben ik nog aan het verkennen en zal ik in de aankomende consultatie over de ordening van de waterstofmarkt ook aan de markt voorleggen.
De vraag of het wenselijk is dat netwerkbedrijven ook actief zijn op het gebied van elektrolyse moet mede worden bezien in het antwoord op vraag 4. Zoals gezegd wordt elektrolyse vanuit het elektriciteitssysteem bezien gezien als energieopslag. Uit de totstandkomingsgeschiedenis van de Wet VET volgt dat deze activiteit expliciet is voorbehouden aan private partijen.14 Vanuit het gas- en waterstofsysteem is elektrolyse in de eerste plaats een productieactiviteit. Meerdere marktpartijen en consortia zijn al bezig met het ontwikkelen van plannen voor (grootschalige) elektrolyse. Elektrolyse is dus, zoals gezegd, een activiteit die is voorbehouden aan private partijen. Wel constateer ik dat het noodzakelijk is om de ontwikkeling van elektrolyse-installaties door marktpartijen te ondersteunen. Hiertoe hoop ik rond de zomer een subsidie-instrument open te stellen. Ook zijn in het Coalitieakkoord aanvullende middelen toegezegd voor hoogwaardige hernieuwbare energiedragers, waaronder waterstof. Daarnaast beraad ik mij, zoals toegelicht in de Kamerbrief over marktordening en marktontwikkeling waterstof, mede in het licht van het antwoord op vraag 3, op de ruimte die ik netwerkbedrijven in de nieuwe Energiewet wil bieden voor betrokkenheid bij de ontwikkeling van elektrolyse-installaties in het geval de markt zich niet voldoende (snel) ontwikkeld.

Vraag 6

Welke gevolgen heeft deze uitspraak voor de lopende pilot van Gasunie voor groene waterstofopslag in een zoutcaverne, waarbij nu ook een elektrolyser actief is en op hun locatie staat?

Voor wat betreft de pilot rondom de ondergrondse opslag van waterstof voorzie ik geen gevolgen. De Gaswet biedt momenteel ruimte aan Gasunie om dit te doen onder de voorwaarde dat vergunningstraject is doorgelopen en het is bewezen dat de opslag veilig kan worden gedaan voor mens en natuur.15 Zoals aangegeven in de kamerbrief over marktordening en marktontwikkeling waterstof ben ik de structurele marktordening rondom ondergrondse opslag van energie, waaronder waterstof, nog aan het verkennen. Hierin zal ik ook de rol van Gasunie betrekken.
Op dezelfde locatie als waar Gasunie een pilot uitvoert rondom de opslag van waterstof staat nu ook een elektrolyse-installatie van 1 MW als demonstratieproject. Hoewel ik zoals gezegd in principe geen rol zie voor netwerkbedrijven zoals Gasunie op het gebied van elektrolyse, ben ik voornemens om middels een overgangsregime tijdelijk ruimte te bieden om dergelijke lopende en kleinschalige pilots voort te kunnen zetten.

Vraag 7

Bent u bereid de aanstaande Energiewet dusdanig in te richten dat het voor netwerkbedrijven mogelijk wordt om zowel elektrolysers als (duurzame)energieopslagfaciliteiten te beheren, dan wel in bezit te hebben?

Zie beantwoording vraag 5 en 6.

Vraag 8

Deelt u de mening dat de ACM de energietransitie in de weg loopt door bestaande wet- en regelgeving van eigen interpretaties te voorzien, waarbij het te eenzijdig probeert de rol van semi-publieke partijen in te perken en de rol van marktwerking of van (soms nog niet eens bestaande) marktpartijen te vergroten?

Nee, ik deel die mening niet. Het is de taak van de ACM als toezichthouder om de regelgeving voor de energiesector te interpreteren en toe te zien op de naleving hiervan. Het handelen van de ACM wordt daarbij gecontroleerd door de rechter op het moment dat belanghebbenden beroep aantekenen tegen een besluit van de ACM. Indien de wetgever het niet eens is met de interpretatie van de ACM of de rechter of vanwege veranderende (markt)omstandigheden van mening is dat de huidige regelgeving niet meer passend of voldoende duidelijk is, dan is het aan de wetgever om de wetgeving te wijzigen en te verduidelijken.

Vraag 9

Bent u bereid hierover met de ACM in gesprek te gaan?

Zie beantwoording vraag 8.

Vraag 10

Bent u tot slot bereid om ons bestaande mededingingsbeleid, inclusief handhavingsstructuur, eens goed tegen het licht te houden en waar nodig aan te passen aan de grote transities die wij zowel nationaal als Europees in gaan zetten om klimaatverandering een halt toe te roepen?

Het mededingingsbeleid is gericht op het beschermen van het concurrentieproces en de consument binnen de volle breedte van de economie. Niettemin wordt op zowel nationaal als Europees niveau gekeken op welke wijze klimaatdoelstellingen kunnen worden meegewogen bij het mededingingsbeleid. Zo heeft de ACM een Leidraad duurzaamheidsafspraken gepubliceerd die aangeeft in welke gevallen concurrenten kunnen samenwerken om bij te dragen aan het bestrijden van de klimaatcrisis en andere duurzaamheidsdoelen.16 Eurocommissaris voor de mededinging Vestager heeft recent haar visie uiteengezet op de wijze dat mededingingsbeleid kan bijdragen aan het realiseren van de Green Deal.17 Deze ontwikkelingen volgt het kabinet op de voet en draagt hier actief aan bij.

Vraag 1

Bent u bekend met signalen dat het systeem van de Dienst Uitvoering Onderwijs (DUO) «instabiel» is als het gaat om het afgeven van ouderverklaringen voor de aanvraag van het stichten van een nieuwe school in het primair- of voortgezet onderwijs? Zo ja, om hoeveel signalen gaat dit en wat is hierbij de oorzaak?1

Ik ben ermee bekend dat er door sommige ouders problemen zijn ervaren in het afgeven van ouderverklaringen. Één ouder heeft daarover rechtstreeks bij DUO een melding gedaan. Deze ouder kon geen ouderverklaring afgeven omdat het betreffende kind buiten het (geografische) voedingsgebied viel. Dit is ook aan de ouder toegelicht. Daarnaast zijn er door of namens 6 initiatiefnemers (uit Kerkrade, Utrecht, Den Haag, Maastricht en IJsselstein) 11 vragen gesteld over de beschikbaarheid van het systeem bij DUO. Ruim de helft is terug te leiden naar een storing op 18 juli op het portaal van DUO. Eén vraag had te maken met een ouder die moeite had met inloggen bij DigiD. Door de gemeente Kerkrade zijn daarnaast nog negen schermafbeeldingen gedeeld van foutmeldingen. In acht van deze gevallen ging het om trage laadtijden bij DUO wat uiteindelijk leidt tot een foutmelding (zie ook het antwoord op vraag 2) en in één geval om problemen met de DigiD instellingen bij de ouder zelf.

Vraag 2

Klopt het dat tijdens het inloggen op Mijn Duo met DigiD het veelvuldig voorkomt dat ouders te maken krijgen met een foutmelding bij het invullen van de ouderverklaring zelf? Zo ja, welke stappen heeft u ondernomen om dit te verhelpen?

Ten opzichte van de bijna 3000 ouderverklaringen die tot nu toe met succes zijn afgegeven, is het in antwoord 1 genoemde aantal beperkt. Een grote groep ouders (ook bijna 3000) heeft echter te maken gehad met een «functionele melding». Deze groep voldoet niet aan de voorwaarden voor het afgeven van een ouderverklaring, zoals het hebben van een kind in de juiste leeftijdscategorie of woonachtig zijn in het wettelijke voedingsgebied van het initiatief. Mogelijk hebben de ervaringen van deze groep het beeld versterkt dat er iets technisch fout gaat. Verder is er eind augustus een storing van twee dagen geweest in MijnDUO en functioneert het systeem sindsdien minder snel dan de bedoeling is. De problemen betroffen het gehele particuliere portaal en zorgden ervoor dat ouders soms minder snel een ouderverklaring konden afgeven. Op dit moment ervaren ouders die een verklaring willen afgeven nagenoeg geen last meer van de effecten van de storing. De exacte bronoorzaak van de storing eind augustus is helaas nog steeds niet gevonden, maar er wordt alles aan gedaan om in de onderliggende infrastructuur de oorzaak te vinden. Ouders die toch problemen ondervinden kunnen contact opnemen met het telefoonnummer dat op site staat waar zij hun verklaring moeten afgeven. DUO kan desgewenst ouders helpen bij het invullen van de verklaring.

Vraag 3

Op welke manier zijn DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap aan de slag gegaan met de problemen, die onder andere de gemeente Kerkrade heeft gemeld, als het gaat om het aanmelden van ouderverklaringen? Wat hebben DUO en het Ministerie van Onderwijs, Cultuur en Wetenschap concreet met deze signalen gedaan en op welke manier hebben zij dit teruggekoppeld aan de melders?

DUO heeft gesprekken gevoerd met de melders. In die gesprekken is samen bekeken waar de ervaren problemen vandaan kwamen. DUO heeft testen gedaan en in de systemen onderzocht of, en zo ja, welke problemen er zijn geweest en gemeld. De uitkomsten hiervan zijn verteld aan de melders. Met de gemeente Kerkrade specifiek is zowel voor als na de brief die de burgemeester uw Kamer gestuurd heeft veelvuldig contact geweest.

Vraag 4

Is het mogelijk om ouderverklaringen ook op een andere manier te verzamelen, bijvoorbeeld op papier via een notaris? Zo nee, waarom niet?

Bij het opstellen en de behandeling van de wet is om de volgende redenen gekozen voor de huidige systematiek van indienen van ouderverklaringen. Aan de ene kant bevordert DigiD de betrouwbaarheid en voorspellende waarde van de ouderverklaringen, omdat ouders niet zomaar hun verklaring kunnen afgeven en een initiatiefnemer bij wijze van spreken langs de deuren kan gaan voor handtekeningen. Aan de andere kant worden ouders niet onnodig gedwongen tot handelingen die voor het afgeven van de verklaring zelf niet ter zake doen, waarvan wel sprake zou zijn bij papieren ouderverklaringen. In het wetsvoorstel «Naar een flexibeler scholenbestand» uit 2000 werd voorgesteld om belangstellende ouders de ouderverklaring bij het gemeentehuis te laten indienen in aanwezigheid van een ambtenaar van de burgerlijke stand. Ten tijde van dit wetsvoorstel waren de digitale mogelijkheden beperkt en was deze constructie nodig om de betrouwbaarheid van de verklaring te vergroten. De Raad van State merkte hierover destijds op dat dit tijdsintensief en duur is. De huidige digitale mogelijkheden maken het mogelijk een unieke ouderverklaring online in een beveiligde omgeving af te geven en te verifiëren. Door gebruik te maken van DigiD wordt optimaal gebruik gemaakt van de bestaande digitale infrastructuur tussen burgers en overheid, waarmee de uitvoeringskosten en de lasten voor de burger beperkt worden. Daarnaast is de privacy van de burger er niet bij gebaat als initiatiefnemers lijsten onder zich hebben met meerdere persoonsgegevens van ouders en leerlingen. Ik vind dit daarom geen wenselijke optie.

Vraag 5

Klopt het dat DUO in reactie op klachten van inwoners aangeeft dat inwoners in het geval van een foutmelding zelf een administratie moeten bijhouden van de devices of verbindingen? Waarom neemt DUO hier zelf niet meer verantwoordelijkheid in?

Het klopt dat DUO in de gesprekken met één initiatief heeft gevraagd om zo concreet mogelijke informatie over de foutmelding, omdat DUO in de eigen systemen geen fouten zag die te relateren waren aan de klachten en toen ook nog geen signalen had van problemen bij andere initiatieven. DUO vraagt dus alleen om een administratie bij te houden van de problemen die worden ondervonden als laatste mogelijkheid om het probleem te onderzoeken en te voorzien van een oplossing.

Vraag 6

Wat betekenen de problemen bij DUO bij het afgeven van ouderverklaringen voor de deadline van 15 oktober 2021 voor het schooljaar 2023–2024? Is het mogelijk om gemeenten, die evident te maken kregen met foutmeldingen bij het aanleveren van ouderverklaringen, hierbij extra tijd te geven voor het verzamelen van voldoende ouderverklaringen?

Zoals gezegd is het aantal technische foutmeldingen op dit moment zeer beperkt. Tussen 7 en 20 september zijn bijna 2000 ouderverklaringen verstrekt. Dit is een grote toename, ook ten opzichte van de periode voordat er een storing plaatsvond bij MijnDUO. Ik vind het op basis hiervan een te grote ingreep om de wettelijke termijn voor het afgeven van ouderverklaringen op te rekken. Ouders die een initiatief willen steunen hebben hier nog enkele weken de tijd voor. Ik volg de ontwikkelingen rondom MijnDUO nauwgezet, net als het contact tussen DUO en de melders, en grijp in waar nodig.

Vraag 7

Kunnen deze vragen beantwoord worden voor het commissiedebat Digitalisering in het onderwijs van 30 september 2021?

Ja.

Vraag 1

Bent u bekend met het bericht «Grote hack bij ROC Mondriaan: computers plat en bestanden ontoegankelijk»?1

Ja.

Vraag 2

Is er sprake van ransomware (gijzelsoftware)? Indien er sprake is van ransomware, zijn er al losgeldeisen van de criminele hackers bekend bij ROC Mondriaan en/of de Minister?2

Er is inderdaad sprake van ransomware. Hierbij is er losgeld gevraagd aan ROC Mondriaan.

Vraag 3

Indien er al losgeldeisen bekend zijn, heeft ROC Mondriaan het losgeld aan de hackers al betaald? Zo nee, heeft ROC Mondriaan besloten het losgeld te betalen?

ROC Mondriaan heeft geen losgeld betaald aan de hackers.

Vraag 4

Wat is het beleid van de Minister omtrent de betaling van losgeld aan criminelen om schoolsystemen weer toegankelijk te maken? Deelt u de mening dat er geen losgeld betaald dient te worden, omdat misdaad niet mag lonen?

Het uitgangspunt van het kabinet is dat het onwenselijk is om losgeld te betalen, omdat de regering van mening is dat er geen geld naar criminelen toe moet vloeien.

Vraag 5

Is er ook sprake van een datalek, nu de systemen zijn gehackt? Zo ja, is er data buitgemaakt van de 20.000 studenten, 5.000 cursisten en/of 2.100 medewerkers? Zo ja, zijn alle studenten, cursisten en/of medewerkers hier inmiddels van op de hoogte gesteld?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 6

Is er contact geweest tussen het sectorale computer emergency response team SURFcert en ROC Mondriaan? Zo ja, heeft het ROC Mondriaan dit geïnitieerd om het beveiligingsincident te melden? Wat is er uit dit contact gekomen qua ondersteuning vanuit SURFcert?

Zodra ROC Mondriaan de hack constateerde, heeft de instelling SURFcert ingelicht en een gespecialiseerd forensisch IT-bedrijf ingeschakeld. SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack.

Vraag 7

Is het datalek al gemeld bij de Autoriteit Persoonsgegevens? Zo ja, is er verder contact geweest tussen ROC Mondriaan en Autoriteit Persoonsgegevens? Zo nee, waarom niet?

ROC Mondriaan heeft meteen na het ontdekken van de hack de Autoriteit Persoonsgegevens ingelicht. Vrijdag 4 september en dinsdag 14 september is er wederom contact geweest met de Autoriteit Persoonsgegevens om hen bij te praten met de laatste stand van zaken. Ook is de afspraak gemaakt dat ROC Mondriaan de Autoriteit Persoonsgegevens informeert zodra er meer relevante informatie beschikbaar is.

Vraag 8

Kunt u aangeven welk volwassenheidsniveau ROC Mondriaan heeft met het oog op de benchmark IBP-E op basis van de toetsingskaders Informatiebeveiliging, Privacy en Examinering, waarvan het maturity level 1 het laagst en 5 het hoogst is?3

Uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar en ik kan dan ook geen uitspraken doen over de scores van individuele instellingen.

Vraag 9

Welk benchmark IBP-E-resultaat had ROC Mondriaan in 2018, 2019 en 2020? Is er de afgelopen jaren sprake geweest van groei en verbetering van de resultaten van de benchmark IBP-E?

De scores van de benchmark IBP-E van de individuele instellingen zijn niet openbaar. Ik kan dan ook geen uitspraken doen over de scores van individuele instellingen. In algemene zin is het volwassenheidsniveau van de benchmark IBP-E de afgelopen jaren gegroeid: voor informatiebeveiliging was de gemiddelde score in 2018 een 2,4, in 2019 een 2,5 en in 2020 een 2,8 op een schaal van 1 tot 5.

Vraag 10

Klopt het dat het eindresultaat van de benchmark IBP-E MBO voor alle onderdelen in 2020 uitkwam op een gemiddelde volwassenheid van 2,8? Heeft u inzichtelijk wat de resultaten van de benchmark IBP-E van individuele mbo-instellingen zijn? Zo ja, bent u bereid dit met de Kamer te delen? Zo nee, waarom niet?

De benchmark IBP-E meet aan de hand van ruim 100 statements de volwassenheid van de informatiebeveiliging van de instelling op een schaal van 1 tot 5. Daarbij is niveau 3 het ambitieniveau. Een gemiddeld volwassenheidsniveau van 3 wordt beschouwd als een goede balans tussen kosten en baten van de informatiebeveiliging. Het klopt dat het volwassenheidsniveau van de benchmark IBP-E gemiddeld uitkwam op 2,8. Net onder het gestelde ambitieniveau. De benchmark IBP-E heeft een tweeledig doel. Enerzijds geeft deze een goed beeld van de gemiddelde volwassenheid van de mbo-sector op het gebied van informatiebeveiliging. Anderzijds geeft deze benchmark individuele mbo-instellingen inzicht in de mate waarin hun maatregelen rond informatiebeveiliging succesvol zijn geïmplementeerd en levert zo een roadmap voor de mbo-instelling. Voor de betrouwbaarheid – en daarmee het nut – van deze benchmark is het belangrijk dat de mbo-instellingen zonder enige terughoudendheid hun kwetsbaarheden kunnen aangeven. Daarom is ervoor gekozen om de resultaten anoniem te verwerken: uitsluitend de instelling zelf ziet de eigen scores en kan deze vergelijken met het landelijk gemiddelde. Een tweede belangrijke reden om deze resultaten niet openbaar te maken is dat het hier om gevoelige informatie gaat.
Ik ga met de mbo-sector in gesprek over de impact van de hack bij ROC Mondriaan op de door de sector te nemen maatregelen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee4.

Vraag 11

Hoeveel werknemers van ROC Mondriaan zijn doorgaans betrokken bij het informatieveiligheidsproces?

Bij ROC Mondriaan zijn vijf personen betrokken bij de informatiebeveiliging. Een incident zoals de hack bij ROC Mondriaan is vaak het gevolg van menselijk handelen. Informatiebeveiliging gaat daarmee elke medewerker, docent en student aan.

Vraag 12

Worden de gegevens van de studenten, cursisten en medewerkers al op internet aangeboden? Zo ja, zijn de studenten, cursisten en medewerkers hiervan op de hoogte gesteld?

De hackers hebben op 14 september jl. buitgemaakte gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 13

Kunnen de studenten van ROC Mondriaan vanaf maandag 30 augustus 2021 wel gewoon naar school en krijgen ze fysiek les van docenten? Wat houdt les krijgen in een «aangepaste vorm» precies in?

Maandag 30 augustus jl. zijn de scholen van ROC Mondriaan open gegaan en kregen de studenten ook weer fysiek les. Dit ging wel in aangepaste vorm, omdat bestanden en de meeste applicaties niet toegankelijk waren. De vorm waarin het onderwijs wordt gegeven hangt uiteraard af van hoe afhankelijk een opleiding is van de geautomatiseerde systemen. Een ict-opleiding is uiteraard meer afhankelijk van de inzet van digitale leermiddelen dan andere mbo-opleidingen.

Vraag 14

Aangezien benodigde bestanden, applicaties en systemen volgens ROC Mondriaan vooralsnog ontoegankelijk zijn, kan er al een inschatting worden gemaakt van de verwachte onderwijsachterstand van studenten en cursisten eind 2021? Zo nee, wanneer kan zo’n inschatting wel worden gemaakt?

Op dit moment is er nog geen duidelijk beeld of en in welke mate er sprake is van door deze situatie ontstane onderwijsachterstanden. ROC Mondriaan zet alles op alles om er voor te zorgen dat het onderwijs zo goed mogelijk door gaat. Om dit te bereiken worden bijvoorbeeld, in het belang van de continuïteit van het onderwijs, examens afgenomen bij andere instellingen.

Vraag 15

Kunt u al een inschatting maken van de schade en kosten die deze hack heeft veroorzaakt?

ROC Mondriaan is nog druk bezig met de herstelwerkzaamheden als gevolg van de hack. Er is nog geen inschatting van de schade en kosten.

Vraag 16

Kunt u bovenstaande vragen afzonderlijk beantwoorden?

Ja.

Vraag 17

Kunt u bovenstaande vragen voor het commissiedebat «Digitalisering in het onderwijs» van 30 september 2021 beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «ROC Mondriaan in Den Haag gehackt: «Medewerkers staan werkloos bij de vestigingen»»?1

Ja.

Vraag 2

Welke gevolgen heeft de hack tot op heden voor docenten en studenten?

Zodra ROC Mondriaan de hack ontdekte, heeft het uit voorzorg alle systemen dichtgezet. Hiermee konden docenten en studenten niet meer bij hun documenten en veel van de applicaties werkten niet. In de week voorafgaand aan de opening van het nieuwe schooljaar heeft ROC Mondriaan er hard aan gewerkt om er voor te zorgen dat de school op maandag 30 augustus wel open kon gaan. Dit is gelukt. Het onderwijs aan de studenten is grotendeels doorgegaan, maar wel zonder gebruik van de bestanden en de meeste applicaties. Zodra het veilig kan, worden systemen, bestanden en applicaties toegankelijk gemaakt. Zo is op 6 september jl. weer een wifi-netwerk beschikbaar gesteld voor studenten en beschikken steeds meer docenten weer over een laptop. Ook worden alternatieve oplossingen gezocht in het kader van het waarborgen van de continuïteit van het onderwijs. Zo worden bijvoorbeeld examens afgenomen bij andere instellingen.

Vraag 3

Wanneer verwacht u dat de systemen weer volledig toegankelijk zijn?

Dat is op dit moment niet te zeggen. ROC Mondriaan heeft een gespecialiseerd forensisch IT-bedrijf ingeschakeld en SURF ondersteunt ROC Mondriaan in het onderzoek naar de oorzaak en omvang van de hack. Geleidelijk aan gaan er meer systemen open, maar alleen als dit veilig kan. ROC Mondriaan heeft aangegeven dat het een aantal weken duurt voordat alle systemen weer opnieuw zijn opgebouwd. Daarbij voert ROC Mondriaan meteen verbeteringen door in de informatiebeveiliging zoals multifactor authenticatie (MFA) voor studenten.

Vraag 4

Welke acties onderneemt u om de start van het schooljaar in goede banen te leiden?

ROC Mondriaan heeft er hard aan gewerkt om het nieuwe schooljaar zo goed mogelijk te beginnen. Ik sta in nauw contact met de instelling en waar nodig zal ik ROC Mondriaan ondersteunen.

Vraag 5

Wanneer wordt de uitkomst verwacht van het digitaal onderzoek naar de omvang van de hack?

Dat is op dit moment niet te zeggen.

Vraag 6

Is al duidelijk of er bij de hack ook gegevens over studenten of docenten zijn buitgemaakt en zo ja om welk soort gegevens gaat het dan en wanneer worden studenten en docenten hierover geïnformeerd?

De hackers hebben op 14 september 2021 voor het eerst gegevens op het internet gepubliceerd. Op dit moment wordt door een gespecialiseerd IT-bedrijf onderzocht om welke informatie het precies gaat. Het is al wel duidelijk dat het om informatie gaat zoals klassenlijsten, mails en financiële gegevens van ROC Mondriaan. ROC Mondriaan zal de studenten, cursisten en medewerkers die het betreft zo snel mogelijk hierover informeren.

Vraag 7

Zijn andere ROC ’s goed toegerust op het voorkomen van een soortgelijke hack?

Er worden binnen de mbo-sector diverse initiatieven genomen om het risico op dit soort aanvallen te beperken. De mbo-instellingen vormen op het gebied van informatiebeveiliging een hecht netwerk, gefaciliteerd door saMBO-ICT. Binnen dit netwerk wordt kennis gedeeld en worden gemeenschappelijke activiteiten georganiseerd. Er wordt veel samengewerkt met SURF en gebruikgemaakt van diverse diensten van SURF. Zo dragen veel mbo-instellingen bij aan het Cyberdreigingsbeeld van SURF en hebben 11 mbo’s dit jaar meegedaan aan de tweejaarlijkse cybercrisisoefening OZON, die SURF samen met de instellingen organiseert. Ook bereiden de eerste mbo’s zich voor op aansluiting op SURFsoc, het via SURF aangeboden Security Operations Centre dat de instellingen in staat stelt om tijdig inbraakpogingen in het netwerk te signaleren en in te grijpen.
Binnen de mbo-sector wordt jaarlijks een benchmark afgenomen op het gebied van informatiebeveiliging, privacy en examinering, de Benchmark IBP-E. Sinds 2019 doen alle mbo-instellingen hieraan mee.
De lessen die we leren uit dit incident zullen benut worden voor de informatiebeveiliging van de gehele MBO-sector.

Vraag 8

Hoe voorkomt u dat een dergelijke hack in de toekomst nogmaals plaatsvindt op een ROC?

Helaas zijn dergelijke incidenten nooit uit te sluiten. Dat neemt niet weg dat er altijd aanvullende maatregelen genomen kunnen worden om de beveiliging te verbeteren, zoals bijvoorbeeld de hiervoor genoemde dienst SURFsoc. Ik zal met de MBO Raad in gesprek gaan over eventuele drempels die de mbo-instellingen ervaren bij de implementatie van dergelijke beveiligingsoplossingen en wat nodig is om deze weg te nemen. Ik neem hierin de aanbevelingen uit het Inspectierapport over de digitale weerbaarheid in het Hoger Onderwijs mee2.

Vraag 1

Bent u bekend met het bericht ««Clearview AI Offered Free Facial Recognition Trials To Police All Around The World»«?1

Ja.

Vraag 2

Herinnert u zich dat u in maart 2020 in antwoorden op Kamervragen van het lid Verhoeven aangaf dat: «voor zover ik heb kunnen nagaan werken er geen Nederlandse opsporingsdiensten samen met Clearview»?2

Ja.

Vraag 3

Herinnert u zich de antwoorden van de Minister van Justitie en Veiligheid op Kamervragen van het lid Buitenweg (Groenlinks) waarin de Minister stelde dat: «ik heb mij reeds enkele weken geleden, toen op het internet de eerste melding werd gemaakt van Clearview in relatie tot de Nederlandse politie, laten informeren door de politie. Zij zijn niet centraal benaderd door Clearview, zijn niet op de hoogte van contacten met dat bedrijf, en hebben geen producten afgenomen.»3

Ja.

Vraag 4

Hoe verklaart u dat volgens nieuw onderzoek op basis van interne data van Clearview AI blijkt dat de Nationale Politie tussen de 51 en 100 keer gebruik heeft gemaakt van Clearview AI?

De logbestanden waar BuzzFeed News naar verwijst dateren van vóór februari 2020. Dat geldt ook voor de uitgelekte klantenlijst waar BuzzFeed News eerder een artikel over schreef en waar u in maart 2020 schriftelijke vragen over heeft gesteld.
In de publicatie van BuzzFeed News wordt aangehaald dat in de gelekte data van Clearview bevragingen zijn geregistreerd met als aanvrager iemand die geassocieerd wordt met het «National Police Corps». Bij uitvraag binnen de politie is hiervan niet gebleken. BuzzFeed News heeft geen nadere informatie verstrekt die zeer gericht navragen mogelijk maakt.
In het artikel in BuzzFeed News wordt verwezen naar een bijeenkomst bij Europol eind 2019, waar testaccounts beschikbaar zijn gesteld. Op navraag is niet gebleken dat door medewerkers van de Nederlandse politie op of naar aanleiding hiervan gebruik is gemaakt van een testaccount.
In antwoord op de eerder gestelde schriftelijke vragen gaf de Minister van Justitie en Veiligheid aan dat de politie niet centraal is benaderd door Clearview, niet op de hoogte is van contacten met dat bedrijf, en met dat bedrijf geen relatie is aangegaan om daarvan producten af te nemen. De politie heeft in haar reactie aan de Volkskrant naar aanleiding van dit bericht van BuzzFeed News, maar ook naar aanleiding van deze set Kamervragen, wederom benadrukt dat de politie niet met Clearview werkt en dit ook niet van plan is.
De enige applicatie die de politie gebruikt waarin biometrische gezichtsherkenningstechnologie wordt toegepast is Catch. De politie heeft een interne beleidslijn die het inzetten van andere toepassingen van gezichtsherkenningstechnologie in de operationele processen van de politie verbiedt, tenzij er tevoren een positief advies is op basis van een juridisch ethische toets, dit ter beoordeling van de gezamenlijke portefeuillehouders Ethiek en Digitalisering. Dit heeft nog niet geleid tot goedkeuring van een ander gebruik van biometrische gezichtsherkenningstechnologie dan Catch.
Het is echter niet uit te sluiten dat een individuele politiemedewerker een keer de website van Clearview heeft bezocht en een aantal bevragingen heeft gedaan. Dat betekent niet dat dit systeem operationeel is ingezet. Het is daarnaast, door gebrek aan nadere informatie van zowel BuzzFeed News als Clearview AI, ook niet uit te sluiten dat iemand zich als politiemedewerker heeft voorgedaan.

Vraag 5

Was u op de hoogte van het gebruik Clearview AI binnen de politie en overheid? Zo ja, waarom heeft u de Kamer hier niet over geïnformeerd? Zo nee, hoe is het mogelijk dat ondanks verschillende verzoeken vanuit de Kamer om het gebruik van Clearview AI te inventariseren, dit vervolgens niet naar boven is gekomen?

Zoals eerder aangegeven heeft de politie verklaard geen gebruik te maken van Clearview en dat ook niet van plan is. De informatie waar BuzzFeed News naar verwijst is door mij en door de politie niet te verifiëren. Uiteraard is de politie alert op signalen waaruit zou kunnen blijken dat er toch gebruik is gemaakt van dit systeem. De Functionaris Gegevensbescherming van de politie heeft hierover ook contact met de Autoriteit Persoonsgegevens. Noch in de financiële administratie van de politie, noch bij de afdelingen die betrokken zijn bij digitaal onderzoek is een aanwijzing gevonden dat er gebruik gemaakt zou zijn van Clearview.

Vraag 6

In welke context werd gebruik gemaakt van Clearview AI door de nationale politie? Zijn er ook financiële betalingen verricht aan het bedrijf Clearview AI?

De politie heeft in maart 2020 en in juni jl. naar aanleiding van Wob-verzoeken openbaar gemaakt dat er geen documenten zijn die zien op afspraken over het gebruik van Clearview. In de beantwoording van de vragen van uw Kamer in maart 2020 heb ik mij laten informeren door de politie. Zij zijn niet op de hoogte van contacten met dat bedrijf en hebben geen producten afgenomen. De politie heeft dit ook toen nagezocht, ook in haar financiële administratie.

Vraag 7

Hoe is de afweging gemaakt of de concrete toepassing van gezichtsherkenning en het verwerken van biometrische gegevens wel in lijn was met mensenrechten en de Algemene Verordening Gegevensbescherming (AVG)? Is het gebruik van Clearview AI überhaupt verenigbaar met de AVG?

In de Kamerbrief van 20 november 2019 over waarborgen en kaders bij gebruik van gezichtsherkenningstechnologie schreef de Minister van Justitie en Veiligheid dat in onze democratische rechtsorde en omwille van onze nationale veiligheid het gebruik van technologieën als biometrische gezichtsherkenningstechnologie onderworpen dient te zijn aan duidelijke kaders.4 De bescherming van de persoonlijke levenssfeer is immers een grondrecht. Inbreuk op dat grondrecht – en het vastleggen van iemands gelaat is dat – is alleen toegestaan als aan een aantal wettelijke waarborgen wordt voldaan.
Voor de verwerking van persoonsgegevens die nodig zijn voor de uitoefening van de politietaak is er een speciale wet: de Wet politiegegevens (Wpg). De Wpg biedt de grondslag en nadere regulering voor het verwerken van deze gegevens. Bij de toepassing van gezichtsherkenningstechnologie ten behoeve van identificatie wordt gebruik gemaakt van biometrische gegevens. Biometrische gegevens zijn bijzondere persoonsgegevens waarvoor strengere regels gelden. De politie mag deze gegevens alleen verwerken als dit onvermijdelijk is voor het doel van de verwerking en in aanvulling op het verwerken van andere politiegegevens over de betreffende persoon. Voor een uitgebreidere toelichting op het wettelijke kader verwijs ik u naar de bovengenoemde Kamerbrief.
Het gebruik van Clearview is niet verenigbaar met de wettelijke bepalingen en is in strijd met onze grondrechten. Het verzamelen en verwerken van persoonsgegevens ten bate van strafvordering moet gericht zijn op een concreet doel, moet gebaseerd zijn op de wet, en moet voldoen aan de beginselen van proportionaliteit en subsidiariteit. En hierop moet toezicht mogelijk zijn.
Nu een grondslag voor verkrijging van beelden of biometrische kenmerken met gebruikmaking van Clearview niet aanwezig wordt geacht, hoeft en kan een vraag naar de compatibiliteit van verwerking van dergelijke gegevens met de daarvoor geldende regels niet in detail te worden beantwoord.

Vraag 8

Is er gebruik gemaakt van via Clearview AI gemaakte matches in strafzaken? Zo ja, welke impact heeft dit op de rechtmatigheid van deze zaken?

Nee.

Vraag 9

Kunt u nogmaals beantwoorden welke publieke organisaties er verder gebruik gemaakt hebben van de omstreden gezichtsherkenningssoftware? Welke financiële afspraken zijn er gemaakt met Clearview AI?

Er is mij niets bekend over het gebruik van Clearview door Nederlandse publieke organisaties, dan wel over financiële afspraken met Clearview.

Vraag 10

Welke stappen gaat u ondernemen om te zorgen dat er in de toekomst niet zomaar gebruik kan worden gemaakt van Clearview AI en soortgelijke bedrijven?

Op 20 december 2019 hebben de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister voor Rechtsbescherming het onderzoek «Toezicht op gebruik van algoritmen door de overheid» aan uw Kamer aangeboden.5 De onderzoekers constateerden op basis van een analyse van wet- en regelgeving geen juridische lacune in de toezichtstaken. Ik zie daarom geen aanleiding tot het zetten van extra stappen.

Vraag 11

Heeft u kennisgenomen van het rapport «The Rise and Rise of Biometric Mass Surveillance in the EU», van de organisatie European Digital Rights (EDRi), waarin het gebruik van biometrische surveillance in drie lidstaten, waaronder Nederland, onder de loep wordt genomen?4 Wat is uw reactie op dit rapport?

Ja, ik heb kennisgenomen van dit rapport. Ik beschouw het rapport als een overzichtsrapportage. De gepresenteerde informatie en de punten van kritiek zijn al eerder gepubliceerd in Nederlandse kranten, op nieuwswebsites en in publicaties. Verschillende leden van uw Kamer hebben hier al vragen over gesteld. Ik ben in de antwoorden op die vragen al ingegaan op de beschreven punten van kritiek. Ik zie geen aanleiding daar iets aan toe te voegen.

Vraag 12

Deelt u de conclusie van het rapport dat de verzameling van biometrische gegevens sterk toeneemt en dat dit vaak niet in overeenstemming is met de AVG, omdat er in de meeste gevallen geen sprake is van zwaarwegend algemeen belang om biometrische surveillance te rechtvaardigen, en burgers ook niet om toestemming wordt gevraagd?

Deze conclusie is te algemeen geformuleerd. Met de snelle ontwikkeling van de technologie neemt de dataverzameling inderdaad sterk toe. Om te voorkomen dat er sprake is van ongebreidelde en ongerichte dataverzameling kent de AVG een aantal waarborgen. Een daarvan is het principe van doelbinding. De algemene regel is dat persoonsgegevens alleen mogen worden verwerkt als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Omgekeerd betekent dit ook dat data niet mag worden verzameld zonder (wettelijk toegestaan) doel. Of de dataverzameling in overeenstemming is met de AVG hangt af van de concrete omstandigheden. Dat kan dus per situatie verschillen.
Biometrische surveillance, in de zin van real time gezichtsherkenning, wordt op dit moment in Nederland niet gedaan.

Vraag 13

Wat gaat u ondernemen om de onrechtmatige verzameling van biometrische gegevens een halt toe te roepen?

In de Kamerbrief van 20 november 2019 heeft de Minister van Justitie en Veiligheid duidelijk gemaakt dat het verwerken van biometrische gegevens alleen kan indien daar een wettelijke basis voor is, en indien er vooraf een juridisch en ethische toetsing is uitgevoerd.7 Vanuit de Nederlandse overheid is er daarom geen steun voor het gebruik maken van toepassingen als Clearview die als onrechtmatig worden beoordeeld.
Voor betrokkenen die van mening zijn dat er toch op onrechtmatige basis biometrische gegevens worden verzameld staat binnen Nederland de weg naar de Autoriteit Persoonsgegevens open. De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens. Bij overtredingen kan zij boetes opleggen.
In mijn antwoord op eerdere vragen over Clearview gaf ik aan dat Clearview vooral actief is in de Verenigde Staten. Het is primair aan de autoriteiten in dat land om te bezien of er in strijd met de wet is gehandeld. Inmiddels zien we dat de Amerikaanse politiek op het niveau van de Senaat hier aandacht voor heeft. Als iemand vermoedt dat zijn of haar foto door Clearview wordt gebruikt en zich daartegen wil verzetten, zal men zich tot dat bedrijf of de betrokken toezichthouder in de Verenigde Staten moeten wenden.

Vraag 14

Kunt u elke vraag apart beantwoorden?

Ja.

Vraag 1

Wat is uw oordeel over het bericht dat de datadiefstal bij de GGD veel groter is dan gemeld en dat gedupeerden niet zijn geïnformeerd?1

Ik heb kennisgenomen van het bericht en contact opgenomen met GGD GHOR Nederland. Voor zover nu bekend gaat het om 1.250 gedupeerden. GGD GHOR Nederland heeft mij aangegeven dat uit onderzoek tot op heden niet blijkt dat de datadiefstal groter is dan gemeld noch dat er gedupeerden niet zouden zijn geïnformeerd.

Vraag 2

Wanneer werd bekend bij de GGD dat de gegevens van veel meer mensen zijn gestolen dan eerder werd gemeld?

In juni kreeg GGD GHOR Nederland het signaal dat RTL mensen benaderde met de vraag of zij geïnformeerd waren door GGD GHOR Nederland dat hun data deel uitmaakte van de datadiefstal. GGD GHOR Nederland heeft daarop RTL benaderd met de vraag of RTL beschikte over (nieuwe) databestanden gestolen uit de systemen van de GGD. GGD GHOR Nederland heeft RTL twee keer gevraagd om eventuele bestanden met hen of de politie te delen in het kader van het onderzoek en het informeren van getroffen burgers. RTL heeft dit verzoek beide keren op journalistieke gronden naast zich neergelegd.
Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL niet te zeggen. RTL geeft aan dat zij de bestanden eerder dit jaar hebben verkregen en daarvan een tiental personen te hebben gebeld met de vraag of zij zijn geïnformeerd door de GGD. Omdat RTL de bestanden niet wil delen (en stelt deze inmiddels verwijderd te hebben) kan niet worden vastgesteld of dit gaat om de persoonsgegevens van mensen die nog niet door de GGD geïnformeerd zijn.

Vraag 3

Hoe komt het dat de GGD onvoldoende in kaart heeft van welke mensen de gegevens zijn gestolen?

GGD GHOR Nederland heeft destijds door externe partijen onderzoek laten doen naar de datadiefstal binnen de systemen CoronIT en HPZone. Uit deze onderzoeken zijn geen aanwijzingen gevonden om te stellen dat de datadiefstal groter is dan gemeld. De resultaten van die onderzoeken zijn gedeeld met de politie.
De politie doet strafrechtelijk onderzoek naar de datadiefstal uit systemen van de GGD onder gezag van het openbaar ministerie. Het onderzoek is lopend en tot nu toe zijn zeven verdachten aangehouden. De politie heeft aan GGD GHOR Nederland de bestanden die aangetroffen zijn bij verdachten doorgegeven. Op basis van die bestanden zijn circa 1.250 mensen door GGD GHOR Nederland per brief geïnformeerd. Een organisatie kan alleen mensen informeren waarvan zij weet dat zij gedupeerd zijn.
Zoals eerder aan uw Kamer gemeld heeft GGD GHOR Nederland direct nadat de datadiefstal in januari bekend werd aanvullende maatregelen getroffen om datadiefstal te detecteren en tegen te gaan.2

Vraag 4

Wanneer bent u op de hoogte gebracht van het feit dat de datadiefstal veel meer mensen betrof dan zijn geïnformeerd? Waarom heeft u de Kamer hier niet van op de hoogte gesteld?

In eerdere brieven heb ik uw Kamer geïnformeerd over de potentiële slachtoffers van de datadiefstal en de communicatie van GGD’en richting de vastgestelde slachtoffers. GGD GHOR Nederland kan de vermeende gedupeerden in het meest recente bericht van RTL niet verifiëren omdat RTL niet is ingegaan op het verzoek van GGD GHOR Nederland om inzage te geven in de gegevens of het bestand te delen.

Vraag 5

Hoe kon het gebeuren dat slechts 1250 mensen zijn geïnformeerd dat hun data is gestolen, terwijl het nu om «vele duizenden tot tienduizenden personen» blijkt te gaan?

Of «de datadiefstal veel groter is dan gemeld» is op grond van het bericht van RTL niet te zeggen. De 1.250 personen waarvan kon worden vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd. Een ieder die meer informatie heeft roep ik op deze informatie te delen met de politie.

Vraag 6

Hoe gaat u ervoor zorgen dat alle mensen van wie de gegevens zijn gestolen hierover zo snel mogelijk worden geïnformeerd?

Alle personen waarvan is vastgesteld dat de gegevens zijn gestolen, zijn door GGD GHOR Nederland geïnformeerd.

Vraag 7

Kunt u een volledig overzicht geven van hoeveel mensen zijn getroffen door de datadiefstal bij de GGD en hoeveel mensen hiervan op de hoogte zijn gesteld?

De politie doet strafrechtelijk onderzoek naar de datadiefstal en heeft aan GGD GHOR Nederland de namen van gedupeerden doorgegeven die zijn aangetroffen bij de betreffende verdachten. Het betreft circa 1.250 mensen en zij zijn allemaal door GGD GHOR Nederland per brief geïnformeerd.

Vraag 8

Hoe staat het inmiddels met de informatieveiligheid bij de GGD, in het bijzonder binnen CoronIT en HPZone Lite? Zijn alle stappen die in de Kamerbrief van januari hierover zijn aangekondigd reeds doorlopen?

Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 2 februari 20213, 12 februari 20214, 23 februari 20215, 23 maart 20216, 13 april 20217, 11 mei 20218, 18 juni 20219, 6 juli 202110 en 13 augustus 202111.

Vraag 9

Wat is er gebleken uit de externe audit die is uitgevoerd? Zijn daaruit nog resterende risico’s op het gebied van informatieveiligheid naar boven gekomen?

Voor het antwoord op deze vraag verwijs ik u naar mijn brieven aan uw Kamer van 11 mei 202112, 13 en 18 juni 202114.

Vraag 1

Hebt u kennisgenomen van de gevolgen van het hackschandaal met behulp van de Pegasus-software waarbij door landen die de software van het Israëlische particuliere bedrijf NSO hebben aangeschaft tal van politici, journalisten, advocaten en mensenrechtenverdedigers in tal van landen hebben afgeluisterd?1 Deelt u de opvatting over soft ware van NSO dat «Targeted surveillance is a serious threat facing human rights defenders globally. Though often carried out by states, this practice is enabled by digital surveillance tools provided by private companies?»2 Zo nee, waarom niet?

Ja, het kabinet heeft kennisgenomen van de berichtgeving.
In algemene zin kan gesteld worden dat de (online) veiligheid van mensenrechtenverdedigers en journalisten een mensenrechtenprioriteit is van het Nederlandse buitenlandbeleid. Onder leiding van Nederland en Estland heeft een coalitie van 32 landen (de Freedom Online Coalition) in 2020 een gezamenlijke verklaring uitgebracht over «the human rights impact of cybersecurity laws, practices and policies». In de verklaring werd onder andere gewezen op mensenrechtenrisico’s die voortkomen uit het gebruik van bepaalde technische middelen, als die op onwettige of willekeurige wijze worden ingezet. Landen werden opgeroepen om wetgeving en beleid voor cyberveiligheid te ontwikkelen die in overeenstemming zijn met internationaal mensenrechtenkader. Potentiële negatieve effecten op kwetsbare groepen en het maatschappelijk middenveld, waaronder mensenrechtenverdedigers en journalisten, zouden tot een minimum moeten worden beperkt.
Bepaalde cybersurveillancegoederen en -technologieën staan ingevolge het potentiële gebruik in civiele of militaire toepassingen onder exportcontrole. Dit geldt ook voor goederen voor het maken en besturen van binnendringsoftware. Nederland spant zich internationaal in om aanvullend cybersurveillancegoederen in relatie tot mensenrechtenschendingen onder exportcontrole te brengen. In het Wassenaar Arrangement vergt dit consensus van alle deelnemende landen. Deze goederen zijn in de EU gecontroleerd via de EU Dual-Use-verordening. De herziene EU Dual-Use-verordening die op 9 september 2021 in werking treedt, bevat een expliciete uitbreiding van controles op de export van cybersurveillancetechnologie.

Vraag 2

Is u bekend dat ook Nederlandse politici, advocaten, mensenrechtenverdedigers en journalisten via andere landen die Pegasus-software gebruiken zijn gehackt? Kunt u melden om hoeveel personen het gaat en welke beroepen zij hebben? Zo nee, waarom niet?

Nee, dat is het kabinet niet bekend. Het kabinet beschikt niet over de lijst waarop nummers zouden staan van personen die zijn gehackt met het middel. Overigens is ook de status van deze lijst niet geheel duidelijk. Daarnaast beschikt het kabinet evenmin over een lijst van telefoonnummers van Nederlandse politici, journalisten, advocaten en mensenrechtenverdedigers, die dan zou kunnen worden vergeleken met de nummers op de eerdergenoemde lijst.

Vraag 3

Zijn er Nederlandse instellingen die gebruik maken van Pegasus-software?3 Zo ja, welke? Hebt u contact opgenomen met deze instellingen naar aanleiding van dit nieuws?

In het algemeen geldt dat het Nederlandse instellingen niet is toegestaan binnen te dringen in geautomatiseerde werken. Uitzonderingen zijn gemaakt voor justitie en politiediensten ter opsporing van strafbare feiten, en voor inlichtingen- en veiligheidsdiensten ter bescherming van de nationale veiligheid. Deze organisaties kunnen onder omstandigheden en omgeven door waarborgen bijzondere bevoegdheden inzetten. Over de wijze waarop deze organisaties gebruikmaken van hun wettelijk toegekende bijzondere bevoegdheden kan ik in het openbaar geen mededelingen doen. Tot slot kan het, voor zover het mandaat daartoe opdracht geeft en de juridische kaders dat toelaten, ook de Krijgsmacht toegestaan zijn om in het kader van militaire missies en operaties geautomatiseerde werken binnen te dringen.

Vraag 4

Hebben deze Nederlandse instellingen contact opgenomen met NSO, de leverancier? Zo ja, wat was de inzet en wat het resultaat? Deelt u de opvatting dat een einde moet worden gemaakt aan het gebruik van deze software? Zo nee, waarom niet?

Zie antwoord vraag 3.

Vraag 5

Hebt u kennis genomen van de veroordeling tot zes jaar gevangenisstraf voor de Marokkaanse journalist Omar Radi, een veroordeling op basis van chats die zijn verkregen met behulp van een met Pegasus-software gehackte telefoon?4

Het kabinet heeft kennisgenomen van de berichtgeving in de media over veroordeling en vermeende hacks van de telefoon van Omar Radi. Nederland volgt de ontwikkelingen in de rechtsgang tegen Omar Radi. Het kabinet beschikt echter niet over het vonnis en kan niet aangeven op basis van welke bewijslast Omar Radi is veroordeeld.

Vraag 6

Deelt u de opvatting dat het hier om een politieke veroordeling gaat en dat deze moet worden afgekeurd zeker nu blijkt dat gebruik wordt gemaakt van hacking? Zo nee, waarom niet?5

Nederland volgt rechtszaken tegen journalisten in Marokko nauwlettend. Nederland heeft geen beschikking gekregen over de tekst van het vonnis en kan geen uitspraken doen of de veroordeling heeft plaatsgevonden op basis van gegevens verkregen door hacking. Het is aan de Marokkaanse autoriteiten om een eerlijke rechtsgang te garanderen.

Vraag 7

Deelt u de opvatting dat de buitenlandse politiek ten opzichte van Marokko aan herziening toe is? Zo nee, waarom niet? Zo ja, wat betekent dat voor uw houding ten opzichte van de Marokkaanse regering in het licht van «onuitzetbaren» uit Nederland naar het veilige land Marokko? Is Marokko een veilig land en kunnen uitgeprocedeerde asielzoekers worden teruggestuurd?

De betrekkingen tussen Nederland en Marokko zijn veelzijdig en complex en omvatten veel wederzijdse belangen. Deze relatie is, net als relaties met andere landen, voortdurend in beweging. In die brede context blijft Nederland onverminderd inzetten op medewerking van Marokko aan effectieve terugkeer van Marokkanen zonder geldige verblijfstitel.
De beoordeling met betrekking tot Marokko als veilig land is terug te vinden in de brief aan uw Kamer van 6 mei 2021.6

Vraag 8

Deelt u de kritiek van de EU dat gebruik van het Pegasus-software onaanvaardbaar is? Zo ja, op welke manier hebt u daarvan mededeling gedaan en aan wie?6

De wijze waarop in de mediaberichtgeving wordt bericht dat de hacksoftware wordt ingezet, namelijk het onrechtmatig afluisteren van advocaten, politici, mensenrechtenverdedigers en journalisten, acht het kabinet eveneens onaanvaardbaar.

Vraag 1

Bent u bekend met het bericht «Coronavirus en de uitfasering van Interconnecting Leased Lines (ILL) en (WLR) ISDN 15/20/30/30CPA1»? Wat vindt u daarvan?

Ja, ik ben bekend met dit bericht. De uitfasering van de genoemde diensten en onderliggende technieken is de laatste stap in het uitfaseren van de traditionele technologieplatformen van KPN. KPN is sinds 2017 bezig met het afschakelen van deze technieken.2 Het aantal gebruikers van deze traditionele diensten neemt namelijk al jaren gestaag af door de opkomst van digitale alternatieven zoals Voice over IP, hoogwaardige IP-breedbanddiensten en gebruik van mobiele telefonie. Ook is het onderhouden van verouderde technieken en bijbehorende diensten ingewikkeld, benodigde onderdelen van de apparatuur worden schaarser en maatwerkoplossingen bij de klant om de levensduur te rekken vergroten de kans op storingen. Ik vind het een logische en goede ontwikkeling dat de overstap naar hoogwaardigere technieken gemaakt wordt. Dit is in het belang van zowel de telecomaanbieder als de eindgebruiker. Oude technieken in de lucht houden voor een sterk afgenomen aantal klanten past daar niet bij. Uitfasering van diensten die aan het einde van hun levensduur zijn is onvermijdelijk en kan ook niet tegenhouden worden. Ik vind wel dat uitfasering zorgvuldig moet gebeuren en tijdig en duidelijk moet worden aangekondigd, en dat samen met de klanten die nog gebruik maken van de betreffende dienstverlening gekeken moet worden naar een passend alternatief. Dit vraagt om tijdige actie van zowel de telecomaanbieder als de klant zelf. Zoals in het door de vraagsteller aangehaalde bericht is vermeld, heeft KPN reeds op 20 juli 2018 aangekondigd dat deze dienstverlening wordt uitgefaseerd. Tele2, die voor de dienstverlening het KPN-netwerk gebruikt, heeft evenwel gecommuniceerd niet te gaan stoppen met de IDSN-30-dienstverlening.3 Dit heeft gezorgd voor verwarring bij klanten over het al dan niet moeten migreren naar andere technieken. Dit is onwenselijk en vraagt een passende oplossing. In het antwoord op de vragen 2 t/m 4 ga ik hier nader op in.

Vraag 2

Bent u ervan op de hoogte dat voor de uitfasering van ISDN30 en andere technieken door KPN een deadline wordt gehanteerd van 1 april 2022 en dat Tele2 een deadline hanteert van 1 oktober 2021 in plaats van april 2022? Bent u ervan op de hoogte dat belangenverenigingen Federatie Veilig Nederland (waaronder particuliere alarmcentrales) & WDTM (zorgtechnologie, e-health en zorginnovatie) aangeven dat, mede door de coronapandemie, de Tele2-deadline van 1 oktober 2021 veel te krap is, en dat een aantal leden van deze twee belangenverenigingen aangeeft de migratie naar een nieuwe oplossing voor tienduizenden cliënten niet tijdig te kunnen realiseren? Hoe beoordeelt u het risico dat alarmberichten en de daarachterliggende hulpvraag na 1 oktober wellicht niet meer worden ontvangen door de zorg- en alarmcentrales?

Vraag 3

Deelt u de de mening dat het onwenselijk is dat door een niet betrouwbaar netwerk de dienstverlening van de betreffende zorg- en alarmcentrales, veiligheidsrisico’s ontstaan? Zo nee, waarom niet?

Vraag 4

Bent u bereid te kijken naar een tijdelijke oplossing waarbij de continuïteit van de dienstverlening gewaarborgd blijft, zodat de cliënten en hun naasten zich geen zorgen hoeven te maken over de stabiliteit van hun netwerk en dus hun eigen veiligheid? Welke oplossing zou dat kunnen zijn?

Vraag 5

Kunt u deze vragen zo snel mogelijk beantwoorden, in ieder geval ruim voor 1 oktober 2021?

Ja.

Vraag 1

Bent u bekend met het artikel «DNB: Amerikaanse BigTech vormt gevaar voor Europese financiële stabiliteit»?1

Ja.

Vraag 2

Deelt u de zorgen van De Nederlandsche Bank (DNB) over de groeiende rol van Amerikaanse BigTech-bedrijven als Google, Amazon, Apple en Facebook in de financiële sector?

Techbedrijven zijn meer en meer aanwezig in de financiële sector. Dit heeft positieve gevolgen, zoals meer gebruiksgemak en efficiëntere dienstenverlening voor consumenten, maar leidt ook tot risico’s. DNB identificeert een aantal van deze risico’s in het rapport «Veranderend landschap, veranderend toezicht», waaraan in het artikel wordt gerefereerd.2 Zo zijn er risico’s voor de verdienmodellen van financiële instellingen en ziet DNB een drietal concentratierisico’s op het gebied van dienstverlening, distributie en data.
Ten aanzien van het risico voor de verdienmodellen van financiële instellingen vind ik het in zijn algemeenheid goed dat financiële instellingen worden uitgedaagd door toegenomen concurrentie. Dit houdt instellingen scherp en zorgt voor meer innovatie en efficiëntie in de sector. Tegelijkertijd vind ik het verstandig dat DNB aangeeft dat het aan de hand van de in dit rapport geschetste scenario’s, instellingen stevig zal uitdagen op hun strategie en de houdbaarheid van hun verdienmodel in het licht van de digitalisering van financiële diensten. Daarnaast deel ik de observaties van DNB ten aanzien van de concentratierisico’s. Techbedrijven kunnen in zeer korte tijd een dominante positie verwerven in een bepaalde sector. Hierdoor kunnen er problemen ontstaan, bijvoorbeeld doordat instellingen en gebruikers «locked-in» raken bij het gebruik van producten van één dienstverlener als gevolg van hoge kosten en andere obstakels bij het overstappen naar een concurrent. Dit geldt ook voor de financiële sector. Hierbij spelen ook de zorgen over de marktmacht van bepaalde grote techbedrijven over verschillende sectoren heen, waardoor zij over steeds meer data beschikken en hiermee in andere sectoren hun marktpositie verder kunnen versterken.
De Autoriteit Consument en Markt (ACM) heeft vorig jaar ook onderzoek gedaan naar de invloed van BigTech in het betalingsverkeer. Hier is uw Kamer eind vorig jaar over geïnformeerd.3 De risico’s in het DNB-rapport komen overeen met de risico’s die naar voren kwamen in het onderzoek van de ACM.

Vraag 3

Ziet u ook risico’s in de opkomst van Chinese techbedrijven en een dominante positie van die bedrijven in een nieuwe financiële infrastructuur?

In China hebben grote techbedrijven als Ant Group, WeChat Pay en Tencent een sterke positie in de financiële sector. Zoals door DNB beschreven in het rapport, heeft de sterke binnenlandse positie van deze bedrijven zich echter nog niet vertaald in een grote aanwezigheid in de Europese Unie en Nederland. Voor zover zij hier wel actief zijn, richten deze partijen zich op Chinese toeristen en bieden zij momenteel niet actief diensten aan Europese ingezetenen. Daarnaast lijkt het erop dat de Chinese overheid recentelijk zelf over is gegaan tot het beteugelen van de binnenlandse macht van deze bedrijven, wat kan leiden tot een kleinere invloed van deze techbedrijven in het buitenland.
China voert momenteel een pilot uit met de digitale yuan, of e-cny. Deze pilot is alleen beschikbaar voor binnenlandse gebruikers in bepaalde regio’s in China. Het is niet bekend of de Chinese centrale bank de e-cny ook op grote schaal beschikbaar wilt maken voor buitenlandse gebruikers. In een white paper over de e-cny4 geeft de Chinese centrale bank aan dat de e-cny is ontworpen voor gebruik op de binnenlandse betaalmarkt en dat in de toekomst kan worden bezien hoe de e-cny kan aansluiten bij lopende internationale initiatieven om het internationale betalingsverkeer te verbeteren.
Het is lastig te voorspellen welke bedrijven of valuta in de toekomst een grotere rol zullen krijgen in het internationaal financieel systeem. Momenteel heeft de Amerikaanse dollar een dominante rol in het internationaal financieel systeem. Uit data van het Internationaal Monetair Fonds blijkt dat de yuan 2,45% van de wereldwijde reserve vertegenwoordigt, minder dan de Amerikaanse dollar, euro, pond en yen, en vergelijkbaar met de Canadese dollar.5 Volgens het jaarlijks rapport van de Europese Centrale Bank (ECB) over de internationale rol van de euro6 zijn ca. 50% tot 60% van de buitenlandse reserves, schuld en leningen gedenomineerd in dollar en vindt ruim 40% van de internationale betalingen plaats in dollars. Voor de euro gaat het respectievelijk om 15–25% en 35%. De ECB stelt in het rapport dat het mondiaal gebruik van valuta met name wordt gedreven door economische fundamenten zoals de economische stabiliteit, de omvang van de economie en de liquiditeit van financiële markten, en dat de uitgifte van digitaal centrale bank geld naar verwachting maar een beperkte invloed heeft op de internationale rol van valuta.

Vraag 4

Acht u het waarschijnlijk dat China middels financiële innovatie een dominante positie krijgt in het internationale financiële systeem? Kunt u hierbij ook ingaan op de digitale Yuan?

Zie antwoord vraag 3.

Vraag 5

Deelt u in dit kader de zorgen over mogelijke privacyschending, misbruik van marktmacht en het borgen van een vrij en toegankelijk financieel systeem?

De bescherming van (data)privacy van consumenten is van het grootste belang en in het geval van financiële instellingen onderdeel van een breder begrip van veiligheid en vertrouwen in de financiële sector. Alle bedrijven die in de Europese Unie diensten aanbieden, inclusief Amerikaanse en Chinese partijen, dienen zich daarom te houden aan de geldende regelgeving, waaronder wetgeving ten aanzien van privacy zoals de Algemene Verordening Gegevensbescherming (AVG). Recentelijk zijn er een aantal hoge boetes uitgedeeld aan grote techbedrijven voor het niet naleven van de AVG. De Luxemburgse privacywaakhond heeft bijvoorbeeld onlangs een boete van bijna € 750 miljoen aan Amazon uitgedeeld.7 De Autoriteit Persoonsgegevens heeft daarnaast onlangs het Chinese TikTok beboet voor het overtreden van de AVG.8
Het kabinet deelt de zorgen omtrent de mogelijke concentratie van marktmacht van grote techbedrijven in de financiële sector zoals omschreven in zowel het rapport van DNB, als het rapport van de ACM. Deze zorgen spelen overigens niet alleen in de financiële sector, maar ook in andere sectoren en markten. Sinds 2019 pleit het kabinet daarom voor toevoegingen aan het mededingingsinstrumentarium om met de marktmacht van grote techbedrijven om te kunnen gaan.9 Dit was aanleiding voor het opstellen van een gezamenlijk non-paper met Frankrijk ten aanzien van het aanpakken van te dominante marktposities van digitale platforms.10 De Nederlandse inzet heeft zijn vruchten afgeworpen; op 15 december 2020 heeft de Europese Commissie een voorstel gedaan voor de Digital Markets Act, waar in het antwoord op vraag 7 nader op in wordt gegaan.

Vraag 6

Hoe beoordeelt u de huidige samenwerking tussen financiële toezichthouders, cybersecurity-instellingen, mededingingsautoriteiten en privacywaakhonden? Welke verbeteringen zijn mogelijk en welke wetgeving moet hiervoor aangepast worden?

Het feit dat zowel de ACM, als DNB over dit specifieke onderwerp onderzoeken hebben gepubliceerd laat zien dat dit onderwerp de aandacht heeft van de toezichthouders. De conclusies die zij trekken zijn ook gelijksoortig – beide geven aan noodzaak te zien voor Europese regelgeving, meer samenwerking tussen toezichthouders en zelfs centralisatie van toezichttaken op EU-niveau.
Gezien de grootte van bepaalde techbedrijven en het feit dat zij in de gehele Europese Unie hun diensten aanbieden, vind ik het ook van groot belang dat op Unieniveau wordt gekeken naar de wijze waarop risico’s van techbedrijven voor de financiële sector kunnen worden weggenomen. In dit kader heeft de Europese Commissie een aantal nieuwe wetgevingskaders geïntroduceerd. Allereerst is het Digital Services Act-pakket gepresenteerd.11 Dit pakket bevat meerdere verordeningen om online platformen beter te reguleren. Binnen dit pakket zorgt de Digital Markets Act ervoor dat markten die door grote techbedrijven worden beheerst, competitief en eerlijk blijven. Hierin wordt ook toezicht op deze partijen geregeld, en de samenwerking tussen verschillende EU-lidstaten op dit gebied. Zoals eerder aangegeven in het BNC-fiche over dit pakket, is het kabinet positief over dit pakket.12 Het kabinet blijft zich in de onderhandelingen inzetten voor zo effectief mogelijke regulering. Zo werd recent nog een non-paper samen met Frankrijk en Duitsland gepubliceerd over het bestendigen van de Digital Markets Act.13
Ten aanzien van de financiële sector heeft de Commissie, als onderdeel van het Digital Finance-pakket, onder andere een Verordeningsvoorstel voor digitale operationele weerbaarheid in de financiële sector gepubliceerd (DORA).14 Hierin zijn onder meer regels opgenomen ter beheersing van eventuele financiële stabiliteitsrisico’s die voortkomen uit het uitbesteden van belangrijke ICT-processen aan derde dienstverleners, en is er een «oversight framework» voorgesteld waarbij de Europese Toezichthoudende Autoriteiten een mandaat krijgen om te interacteren met grote kritieke derde dienstverleners, waaronder een aantal techbedrijven. Daarnaast heeft de Commissie in de Retail Payments-strategie aangegeven dat, met het oog op de herziening van de betaaldienstenrichtlijn in 2022, onderzocht wordt of bepaalde niet-gereguleerde (technische) dienstverleners onder toezicht zouden moeten vallen, en of er noodzaak is om nieuwe regelgeving te introduceren om de toegang tot technische betaalinfrastructuren, zoals NFC-chips in telefoons, beter te regelen.15 Hierbij geeft de Commissie ook aan specifiek te gaan kijken naar de samenwerking in het toezicht in het betalingsverkeer. In reactie op het eerdergenoemde ACM-onderzoek heb ik tevens aan uw Kamer aangegeven dat er in de nationale evaluatie van de implementatie van de herziene betaaldienstenrichtlijn (PSD2) ook aandacht zal zijn voor deze aspecten. Tenslotte is er in het voorstel voor een Verordening voor markten in crypto-activa (MiCA) aandacht voor zogenaamde stablecoins, waaronder bijvoorbeeld Diem (waar Facebook bij betrokken is).16 Zoals aangegeven in de BNC-fiches over de eerdergenoemde voorstellen, is het kabinet ook positief over deze beleidsvoornemens.17

Vraag 7

Deelt u de analyse dat er een gezamenlijk beleid moet komen, waarin het toezicht op techbedrijven geregeld is? Welke stappen moeten hiervoor op nationaal en Europees niveau genomen worden?

Zie antwoord vraag 6.

Vraag 8

Staan buitenlandse techbedrijven volgens u onder voldoende financieel toezicht? Bent u het eens dat de Europese bankenautoriteit een centrale rol moet spelen bij het toezicht op partijen die buiten het financieel toezicht staan?

Zoals aangegeven in het antwoord op vraag 6 en 7, wordt er momenteel op EU-niveau gewerkt aan aanpassingen in regelgeving en toezicht. Het kabinet is, zoals beschreven in de bijbehorende BNC-fiches, voorstander van deze beleidsvoornemens, omdat het kabinet het met de Commissie eens is dat er op het gebied van operationele weerbaarheid en het betalingsverkeer een risico is dat er onvoldoende toezicht is op techbedrijven.
Het kabinet is van mening dat, waar dit een toegevoegde waarde heeft en dit effectiever en efficiënter is dan op nationaal niveau, meer financiële toezichttaken op EU-niveau belegd kunnen worden. Het hangt hierbij af van de specifieke onderliggende regelgeving en toezichttaken of dit dan bij de Europese Bankautoriteit zou moeten worden belegd, of bij één van de andere Europese Toezichthoudende Autoriteiten of de ECB.

Vraag 9

Deelt u de opvatting dat technologische innovatie ook kansen biedt voor de financiële sector? Welke nationale en Europese wet- en regelgeving staat hierbij nog in de weg? Kunt u hierbij ook ingaan op privacywetgeving?

Ik ben ook van mening dat technologische innovatie kansen biedt voor de financiële sector. Om deze reden heb ik, samen met de Staatssecretaris van Economische Zaken en Klimaat, in 2020 het FinTech-actieplan opgesteld, met daarin allerlei beleidsmaatregelen om technologische innovatie in de financiële sector op een verantwoorde wijze aan te jagen en de Nederlandse FinTechsector te helpen ontwikkelen.18 Ook de toezichthouders hebben aandacht voor technologische ontwikkeling. Via programma’s als het iForum, de Innovationhub en Maatwerk voor Innovatie werken zij samen met de sector om te kijken waar er, binnen de grenzen van de regelgeving, verder geïnnoveerd kan worden.
Voorafgaand aan het opstellen van het FinTech-actieplan heb ik onderzoek laten doen naar de Nederlandse FinTech-sector. Uit deze FinTech Census19 bleek dat Nederland goed op de kaart staat als FinTechland. Gevraagd naar welke mogelijke belemmeringen FinTechbedrijven zien, wordt met name de AVG genoemd, en in mindere mate wetgeving ten aanzien van tegengaan van witwassen en het financieren van terrorisme en het beleid ten aanzien van beloningen. Hoewel het kabinet begrijpt dat deze regels als belemmerend ervaren kunnen worden als het gaat om innovatie, gaat het hier om onderwerpen die dermate belangrijk zijn voor de maatschappij dat het belang van innovatie hieraan nevengeschikt kan zijn.

Vraag 10

Hoe kijkt u aan tegen de houdbaarheid van het huidige verdienmodel van banken? Deelt u de analyse dat banken drastisch moeten innoveren om te overleven?

Ik vind een weerbaar verdienmodel voor banken van belang. Onder meer omdat dit noodzakelijk is voor de opbouw van buffers, waarmee banken tegen een stoot kunnen in slechtere tijden. Dit komt ook de soliditeit van het financieel stelsel als geheel ten goede. De markt voor bancaire activiteiten wordt echter uitdagender. Nederlandse banken zijn voor een groot deel van hun inkomsten afhankelijk van de rente-inkomsten. DNB geeft in het jaarverslag over 202020 aan dat het voor banken een forse uitdaging is om lagere rente-inkomsten te compenseren.
Onder meer door de lage rente staan de rente-inkomsten van banken onder druk. Banken lenen namelijk zowel geld in als uit: zij streven ernaar om daarbij hun rentemarge, het tariefverschil tussen in- en uitleenrentes, op peil te houden. Door de lage rente is het voor banken lastig om die daling volledig door te rekenen in hun depositotarieven, omdat deze dan negatief zouden worden. Vooral banken die sterk afhankelijk zijn van hun rentemarge zullen dit voelen in hun winsten. Die banken zullen dan mogelijk op zoek gaan naar andere inkomstenbronnen of moeten kosten gaan besparen. Innovatie kan hierbij een belangrijke rol spelen.

Vraag 11

Kunt u een appreciatie geven op het rapport van DNB «Veranderend landschap, veranderend toezicht. Ontwikkelingen in de relatie tussen BigTechs en financiële instellingen»?2 Kunt u daarbij specifiek ingaan op de vier scenario’s die geschetst worden voor de relatie tussen BigTechs en financiële instellingen?

Het rapport van DNB biedt een nuttig denkkader voor de implicaties van de toenemende rol van techbedrijven op de Nederlandse bank- en verzekeringsmarkt en voor het toezicht op de financiële sector. Hoewel in de Europese financiële sector techbedrijven wortel hebben geschoten in met name het cloudgebruik en bij het mobiel betalen, laat het rapport zien dat in andere jurisdicties de reikwijdte van techbedrijven in de financiële sector al groter is.
Het rapport geeft aan de hand van een viertal scenario’s inzicht in de ontwikkelingen die ons mogelijk te wachten staan. Het rapport laat zien dat alle scenario’s kansen en risico’s met zich meebrengen. Mijn inschatting is dat scenario 4 («traditional finance») het meest aansluit bij de huidige situatie. De winstgevendheid van banken en verzekeraars staat onder druk en de innovatie is in Europa nog relatief beperkt, zoals ik hiervoor al constateerde.
De ordening van de financiële sector wordt in sterke mate gestuurd door regulering. Er zijn grote publieke belangen die geborgd moeten worden, zoals financiële stabiliteit, consumentenbescherming en privacy. Het is aan wetgevers en toezichthouders om er ook bij een veranderend landschap voor te zorgen dat deze publieke belangen geborgd blijven. Vanuit publieke belangen geredeneerd, zowel vanuit het perspectief van dienstverlening naar klanten, als voor de financiële stabiliteit, is meer dynamiek wenselijk, mits onder de juiste randvoorwaarden. Techbedrijven kunnen een leidende rol innemen om te zorgen voor die dynamiek (conform scenario 3), maar die kan ook uit de financiële sector zelf komen (conform scenario 1), of een combinatie van beiden (conform scenario 2). Afhankelijk van de keuzes die zowel de financiële sector als techbedrijven op dit vlak maken, zal ik, in samenwerking met de toezichthouders en gesteund door de initiatieven in Europees verband, mij inzetten om potentiële negatieve gevolgen die met de verschillende scenario’s gepaard gaan te mitigeren.

Vraag 1

Kent u het bericht van de NOS van 23 juni jl.?1 Aan welke eisen moeten alle apps van de overheid precies voldoen volgens de toegankelijkheidsverklaring?

Ja, ik ben bekend met het bericht van de NOS van 23 juni jl.
De eisen zijn vastgelegd in de Europese Norm (EN) 301 549. In de laatste versie 3.2.1 van deze norm worden de eisen voor mobiele applicaties («apps») beschreven in hoofdstuk 11 Software.2

Vraag 2

Erkent u het belang van digitale toegankelijkheid voor mensen met een beperking?

Ja, ik vind het belangrijk dat iedereen, dus ook mensen met een beperking, (overheids)websites en (overheids)apps moet kunnen raadplegen die toegankelijk zijn. Dat iedereen moet kunnen meedoen, ook in de digitale samenleving, is een speerpunt geweest van mijn beleid van de afgelopen jaren3. Het verbeteren van de digitale toegankelijkheid is daar een belangrijk onderdeel van.

Vraag 3

Kunt u aangeven hoeveel apps van de overheid toegankelijk zijn, dan wel een toegankelijkheidsverklaring hebben? Welke apps zijn dit?

Op basis van de Europese webtoegankelijkheidsrichtlijn 2016/2102 zijn overheden sinds 23 juni 2021 wettelijk verplicht om voor hun mobiele applicaties (apps):
Op 23 juni waren in totaal 108 toegankelijkheidsverklaringen voor apps gepubliceerd. Elke app heeft een nalevingsstatus.
De aantallen per nalevingsstatus op 24 juni, 9:40 uur:
voldoet volledig
1
voldoet gedeeltelijk
22
eerste maatregelen genomen
27
voldoet niet
58
Bijlage 14 bevat een gedetailleerde beschrijving van de betekenis van de nalevingsstatussen en de gevraagde lijst met apps.

Vraag 4

Wat gaat u doen om de digitale toegankelijkheid te verbeteren?

Medeoverheden en overheidsorganisaties zijn zelf verantwoordelijk voor het toegankelijker maken van hun websites en apps. Daarmee ligt de verantwoordelijkheid waar die hoort: bij de eigenaar. Mijn ministerie biedt, via het expertisecentrum DigiToegankelijk van Logius, hulpmiddelen, advies en ondersteuning.
Met een subsidie aan de VNG is begin dit jaar een bestuurlijk aanjaagteam geformeerd dat het belang van digitale toegankelijkheid onder de aandacht brengt bij gemeentebestuurders en bij marktpartijen (de leveranciers waar gemeenten deze software inkopen). Daarnaast ondersteunt het aanjaagteam de gemeenten ook bij de uitvoering in het toegankelijk maken van websites en apps. Een ander aanjaagteam benadert in opdracht van DigiToegankelijk de overige overheden.
Overheden zijn verplicht om gestandaardiseerde toegankelijkheidsverklaringen te publiceren. Daarmee wordt inzichtelijk hoe ze presteren op het gebied van digitale toegankelijkheid. Bestuursorganen met een toezichthoudend mandaat, waaronder gemeente- en waterschapsraden en provinciale staten, kunnen deze verklaringen gebruiken om invulling te geven aan hun toezichtrol. In het wetsvoorstel digitale overheid wordt het toezicht op de naleving formeel geregeld.

Vraag 5

Kunt u toezeggen dat alle nieuwe overheidsapps voldoen aan de toegankelijkheidseisen zodat overheidsapps beschikbaar en toegankelijk zijn voor iedereen?

Uiteraard ga ik door met het stimuleren dat alle overheden werk blijven maken van de toegankelijkheid van hun websites en apps en dat zij daarover verantwoording blijven afleggen.

Vraag 1

Bent u bekend met het feit dat Russische hackers toegang hadden tot de politiesystemen door een hack?1

Ik heb kennisgenomen van de berichtgeving door de Volkskrant. Het is algemeen bekend dat (buitenlandse) statelijke actoren voortdurend proberen bij (overheids)organisaties binnen te dringen om toegang te krijgen tot organisatiegeheimen of gerubriceerde (staatsgeheime) informatie.
Het is geen geheim dat Nederland en andere Westerse landen in het vizier staan van onder meer Russische en Chinese inlichtingendiensten. Alle betrokken organisaties zijn zich bewust van de digitale dreigingen. Vanwege staatsveiligheid kan ik geen uitspraken doen over de specifieke maatregelen die de onder mij ressorterende diensten treffen.
Voor zover uw vragen zien op concrete incidenten met statelijke actoren zoals die in de berichtgeving van de Volkskrant worden beschreven, kan ik op deze vragen geen antwoord geven.

Vraag 2

Wat vindt u van de uitspraak dat de politiesystemen voor de hack slecht beveiligd waren?

Zie antwoord vraag 1.

Vraag 3

Hoe kan het zijn dat de politiesystemen zo slecht beveiligd waren?

Zie antwoord vraag 1.

Vraag 4

Waarom monitorde de politie niet structureel of de systemen veilig waren?

Zie antwoord vraag 1.

Vraag 5

Onderzoekt de regering structureel of de digitale beveiligingsystemen op orde zijn? Zo nee, waarom niet en bent u hiertoe bereid? Zo ja, zijn er meer overheidssystemen die slecht beveiligd zijn? Zo ja, welke?

Overheidsorganisaties zijn gehouden aan de Baseline Informatiebeveiliging Overheid (BIO). In de BIO worden eisen gesteld aan het beoordelen van de technische naleving van beveiligingsbeleid en -normen. Door middel van kwetsbaarheidsanalyses, pentesten of ethische hackoperaties (Red Teaming) wordt de feitelijke veiligheid van kritische systemen en netwerken regelmatig beproefd.
Daarnaast is door CISO Rijk in samenwerking met een groep experts binnen de rijksoverheid en de departementen een handreiking opgesteld en vastgesteld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksoverheidsorganisaties. Dit wordt waar nodig ondersteund met praktische tooling.

Vraag 6

Wat vindt u van de keuze van de politie om de Russen er eerst uit te jagen, gelet op het feit dat we niet weten waar de Russen naar op zoek waren?

Zie antwoord vraag 1.

Vraag 7

Klopt het dat Russische hackers ook toegang hebben proberen te krijgen tot de digitale systemen van het Openbaar Ministerie (OM)? Zo ja, is dit gelukt?

Zie antwoord vraag 1.

Vraag 8

Klopt het dat de politie zelf controle houdt over het oplossen van de hack en dat daarom kostbare tijd verspild is?

Zie antwoord vraag 1.

Vraag 9

Klopt het dat het aandringen van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) tot snelle beveiligingsmaatregelen bij de politie tot frictie leidde?

Er is geen sprake van frictie tussen de politie en veiligheidsdiensten, de samenwerking verloopt goed.
Net als iedere andere organisatie binnen het veiligheidsdomein, neemt ook de politie zowel organisatorische als technische maatregelen om blijvend te anticiperen op de veranderende dreigingen in de buitenwereld. Zoals in de bijlage bij het recent verstuurde Halfjaarbericht Politie staat, investeert de politie in de verbetering van detectie- en incidentenrespons2.
Er wordt onafgebroken geïnvesteerd in het steeds beter en sneller te kunnen omgaan met (pogingen tot) hacks. Zo heeft de implementatie van EDR (Endpoint Detection & Response) het afgelopen jaar een significante bijdrage geleverd aan de digitale veiligheid van de politie.

Vraag 10

Is er vaker frictie tussen de politie en veiligheidsdiensten?

Zie antwoord vraag 9.

Vraag 11

Wat doet u eraan om deze frictie op te lossen, zodat er in de toekomst sneller gehandeld kan worden bij hacks?

Zie antwoord vraag 9.

Vraag 12

Klopt het dat niet alle voorgestelde beveiligingsvoorstellen zijn ingevoerd door de politie?

Zoals u zult begrijpen kan ik om veiligheidsredenen in het openbaar geen antwoord geven op deze vragen.

Vraag 13

Welke beveiligingsmaatregelen zijn nog niet ingevoerd bij de politie?

Zie antwoord vraag 12.

Vraag 14

Wat is het gevolg van het nog niet invoeren van beveiligingsmaatregelen op de digitale weerbaarheid van de politie?

Zie antwoord vraag 12.

Vraag 15

Zijn de belangrijkste data van de politie nu wel veilig? Zo nee, welke data zijn niet veilig en wat doet u eraan om dit zo snel mogelijk op te lossen?

Geen enkele organisatie kan zich voor 100% wapenen tegen hacks of andere ongeoorloofde toegang tot systemen. Door een combinatie van verschillende maatregelen, van geavanceerde beveiligingsoplossingen tot personeel dat getraind is in en bekend is met technieken voor social engineering, wordt het beveiligingsniveau zo hoog mogelijk gehouden. Hierop wordt dan ook voortdurend ingezet door de politie.
De politieorganisatie heeft gezien de aard van de organisatie te maken met zogeheten Advanced Persistent Threats (APT). APT is een verzamelnaam voor dreiging door een groep aanvallers die niet alleen over geavanceerde technische middelen en voldoende geld beschikt, maar ook een sterke motivatie heeft om organisatiegeheimen of gerubriceerde (staatsgeheime) informatie te bemachtigen. Er zijn specifieke kenmerken (de Indicators Of Compromise, IOC) te onderscheiden van een aanval vanuit Advanced Persistent Threats. Deze IOC’s worden voortdurend vertaald naar detectie- en monitoringoplossingen zoals het optimaliseren van een Security Information & Event Management Systeem (SIEM).
Digitale kwetsbaarheid en hackpogingen om misbruik van te maken van die kwetsbaarheid nemen overal toe en de impact van hack- en ransomware aanvallen wordt steeds zichtbaarder. Met het Programma Cyber Security richt de politie zich op het digitaal weerbaarder maken van de politieorganisatie door onder andere extra beveiligingsmaatregelen te implementeren en bewustwording over de digitale dreigingen te vergroten. Daarbij wordt bijvoorbeeld geïnvesteerd in de verbetering van detectie- en incidentrespons.

Vraag 16

Bent u bereid om structureel ethische hackers in te zetten om te zoeken naar gaten in de digitale systemen?

Binnen de politie worden – net als bij vrijwel alle overheidsorganisaties – ethische hackers ingezet. Dit wordt gedaan in de vorm van Red Teaming. Red Teaming zorgt voor een analyse van zwakke plekken en kwetsbaarheden in (hoog-risico) organisaties vanuit het perspectief van de opponent. Het geeft inzicht in de werkwijze van de tegenstander en in het beveiligingsniveau van de organisatie. Met dit inzicht kunnen op strategisch-, tactisch- en operationeel niveau beleidsbeslissingen worden aangescherpt en kan de veiligheid binnen de organisatie verder worden vergroot.

Vraag 1

Bent u bekend met het bericht «ISIDOOR 2021: NCTV en NCSC organiseren grootste cybercrisisoefening ooit»?1

Ja.

Vraag 2

Is ISIDOOR 2021 naar uw mening succesvol verlopen? Kunt u uw mening toelichten?

Ja, ISIDOOR is naar mijn mening succesvol verlopen. Als verantwoordelijk Minister voor deze oefening kijk ik terug op succesvolle oefendagen mede dankzij de inzet van alle deelnemende organisaties. Tijdens ISIDOOR 2021 stond de beoefening van het Nationaal Crisisplan Digitaal centraal en de vele eigen crisisprocedures van de deelnemende organisaties. Het beoefenen van de onderlinge samenhang en samenwerking op basis van deze procedures maakte de oefening waardevol. De preparatie van de oefening heeft daarnaast ook praktische inzichten opgeleverd voor deelnemende organisaties, doordat in deze fase de rol- en taakverdelingen, de crisisstructuren en procedures tegen het licht werden gehouden.
Bij het samenstellen van het scenario, maar ook in de voorbereiding van de deelnemers via masterclasses, is expliciet rekening gehouden met zowel fysieke als digitale effecten. Voor een digitale crisis geldt immers dat die ook fysieke gevolgen kan hebben met een grote maatschappelijke impact. ISIDOOR heeft mede daardoor bijgedragen aan een betere voorbereiding indien zich daadwerkelijk een digitaal incident met ook fysieke gevolgen voordoet.

Vraag 3

Hoe is de selectie van deelnemers van ISIDOOR 2021 tot stand gekomen? Welke criteria zijn hierbij gebruikt? Wat was de verhouding vitaal/niet-vitaal?

Om tot de deelnemerslijst te komen is allereerst door de departementale projectorganisatie, bestaande uit NCSC en NCTV, een uitvraag gedaan via het zogeheten ISAC-netwerk. Daarin zijn publieke en private organisaties in verschillende sectoren vertegenwoordigd. Vervolgens zijn ook verschillende interdepartementale gremia geattendeerd op de oefening. Zodoende is een lijst van vrijwillige aanmeldingen tot stand gekomen op basis waarvan de definitieve lijst is samengesteld. Deelnemende organisaties waren overwegend organisaties binnen de vitale infrastructuur, onderdelen van de rijksoverheid, veiligheidsregio’s en partijen binnen het Landelijk Dekkend Stelsel van Cybersecurity samenwerkingsverbanden. Ook deed een aantal andere samenwerkingsverbanden mee en was het lokale en regionale perspectief in de oefening vertegenwoordigd. De volledigheid van de deelnemerslijst is in interdepartementaal overleg afgestemd. Het belangrijkste criterium voor deelname was de overweging of een organisatie een voorname rol heeft tijdens de aanpak van een nationale crisis, mede gebaseerd op het Nationaal Crisisplan Digitaal en het Nationaal Handboek Crisisbesluitvorming.

Vraag 4

Hoe hebben de deelnemers van ISIDOOR 2021 de oefening ervaren? Komt er een brede evaluatie onder alle deelnemers? Zo ja, op welke termijn en kunt u deze met de Kamer delen? Zo nee, waarom niet?

Uiteraard kan ik niet voor de deelnemende organisaties spreken, echter het overheersende beeld is dat er tevreden wordt teruggekeken op de oefening. Het scenario van deze derde (en grootste) editie van ISIDOOR was realistischer dan ooit omdat veel deelnemende organisaties ook via hun oefenleiding betrokken waren bij het bedenken van het scenario. Zo konden zij het hoofdscenario vertalen naar hun eigen achterban en de voor hen relevante oefendoelen uitwerken in het scenario.
Door het Instituut voor Veiligheids- en Crisismanagement (COT) wordt een overkoepelend evaluatierapport geschreven, dat zich richt op de oefendoelen van ISIDOOR 2021. Evalueren is expliciet onderdeel van het programma van ISIDOOR 2021. Er wordt daarom op zowel operationeel technisch niveau als op bestuurlijk niveau geëvalueerd. De overkoepelende evaluatie van het COT verwacht ik na de zomer met uw Kamer te kunnen delen. Ik roep daarnaast alle betrokken organisaties op om ISIDOOR zelf ook te evalueren, zodat de lessen voor de eigen organisaties gesignaleerd worden. Het is immers ook primair de verantwoordelijkheid van alle deelnemende organisaties zelf om de eigen deelname en processen te evalueren.
Zoals recent gemeld aan uw kamer worden de lessen van ISIDOOR 2021 meegenomen bij de actualisering van het Nationaal Crisisplan Digitaal en de doorontwikkeling van dit plan naar een landelijk crisisplan.2

Vraag 5

Bent u het ermee eens dat structureel oefenen met cybercrises van essentieel belang is voor (vitale) organisaties om hun cyberveiligheid te vergroten en om digitale ontwrichting te voorkomen? Zo ja, hoe staat het met de uitvoering van de motie-Weverling (Kamerstuk 24 095, nr. 496)? Hoe verhoudt ISIDOOR 2021 zich tot een structureel oefenprogramma conform de motie-Weverling? Met welke frequentie gaan dit soort oefeningen in de toekomst plaatsvinden?

Ja, gezamenlijk oefenen is van essentieel belang om goed voorbereid te zijn op een cybercrisis. Dat is door het kabinet ook benadrukt in de kabinetsreactie op het rapport van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) «Voorbereiden op digitale ontwrichting»3. U noemt in dat kader ook naar de motie-Weverling. Daarover kan ik melden dat ISIDOOR 2021 deel uitmaakt van het oefen- en testprogramma dat is uitgewerkt naar aanleiding van de motie-Weverling en het versterkingsprogramma op de Nederlandse Cybersecurity Agenda (NCSA). Ik verwijs u ten aanzien van de uitwerking en de voorgang van het oefen- en testprogramma naar de beantwoording, in mijn brief van 25 mei 2020, van Kamervragen tijdens het Schriftelijk Overleg Cybersecurity. In de beantwoording ben ik in gegaan op de uitwerking van dit programma via de inzet op de verschillende sporen op oefenen4. Een nadere uitwerking en eerste voortgang is terug te vinden in de NCSA voortgangsrapportage 2020 die als bijlage is meegezonden per brief van 29 juni 20205. Een eerstvolgende voortgang hiervan is opgenomen in de voortgangsbrief van de Nederlandse Cybersecurity Agenda die op 28 juni jl. naar uw Kamer is verzonden6.
Ik zal het volgende kabinet adviseren om op basis van de evaluatie van ISIDOOR te kijken naar een juiste frequentie van deze oefening. ISIDOOR is een zeer complexe oefening waarvoor meerjarig veel capaciteit en voorbereidingstijd nodig is, maar het belang om te oefenen om goed voorbereid te zijn indien er toch iets mis gaat is evident. Ik moedig een volgende editie daarom van harte aan en in de tussentijd zet ik via de eerdergenoemde oefensporen in op oefenen.

Vraag 1

Bent u bekend met het artikel in ScienceGuide «AIVD: hoger onderwijs is zich totaal niet bewust van digitale dreiging»1 over uitspraken van de heer Akerboom tijdens de technische briefing van de AIVD aan de Vaste Commissie voor Binnenlandse Zaken ten aanzien van het gebrek aan bestuurlijke aandacht voor digitale veiligheid bij hogescholen en universiteiten?

Ja

Vraag 2

Hoe kijkt u aan tegen de uitspraak van de heer Akerboom dat kennisinstellingen in het hoger beroepsonderwijs en wetenschappelijk onderwijs niet zijn doordrongen van de dreiging van cyberaanvallen van statelijke actoren? Bent u het eens met de heer Akerboom dat het bewustzijn hierover bij universiteiten en hogescholen nog te laag is? Zo ja, wat gaat u hieraan doen? Zo nee, waarom niet?

Ik ben op het gebied van kennisveiligheid en cyberveiligheid in gesprek met kennisinstellingen, de koepels en ook met het Nationaal Cyber Security Centrum (NCSC). Deze instellingen heb ik ook betrokken bij de laatste Kamerbrief over cyberveiligheid, die ik op 19 mei 20212 naar uw Kamer heb gestuurd.
Mijn indruk is dat de instellingen zich bewust zijn van de dreiging van cyberaanvallen, of deze dreiging nu van statelijke actoren of van hackersgroepen afkomstig is. Ik ben het met de heer Akerboom eens dat de veiligheid van onze instellingen verder moet worden verhoogd. Het is duidelijk dat deze bewustwording nodig is in alle lagen van de organisaties en vertaald dient te worden in maatregelen gericht op het tegengaan van dreigingen. De hoger onderwijsinstellingen zijn hier dan ook actief mee bezig en ik zal de voortgang van de instellingen blijven volgen, zoals ik in de Kamerbrief heb aangekondigd. Daarbij realiseer ik mij dat cyberveiligheid een gezamenlijke verantwoordelijkheid is van zowel de instellingen als de overheid. Belangrijk hierbij is dat de cyberveiligheid van instellingen expliciet wordt meegenomen in de reguliere bestuurlijke gesprekken die mijn ministerie met de instellingen en de koepels voert. Deze periodieke gesprekken over cyberveiligheid bevorderen het internaliseren van cyberveiligheidsmaatregelen in de bedrijfsvoering van de gehele sector.
In die Kamerbrief heb ik ook beschreven welke concrete maatregelen de hoger onderwijs- en kennisinstellingen nemen om hun digitale veiligheid te verhogen. Dit doen zij bijvoorbeeld door monitoringssystemen, maar ook door het vergroten van bewustwording en trainingen. Een knooppunt in de aanpak van cyberdreigingen is het SURF Computer Emergency Response Team (SURFcert), dat 24/7 ondersteuning biedt bij cyberincidenten en in direct contact staat met het NCSC. Daarnaast is er, op initiatief van de hoger onderwijsinstellingen, een Security Operations Center (SURFsoc) gerealiseerd bij SURF. Een belangrijk onderdeel van het SOC is de 24/7 monitoring van netwerken en de signalering van dreigingen bij deelnemende instellingen. De continue monitoring helpt instellingen enorm met het versterken van de informatiebeveiliging, omdat er constant informatie wordt verzameld die bij mogelijke dreigingen snel sector breed wordt gedeeld. De toetreding van instellingen tot de SURFsoc zal nu gefaseerd plaatsvinden, door de technische en contractuele voorbereidingen die per instelling moeten worden getroffen.

Vraag 3

Hoe verhouden de uitspraken van de heer Akerboom zich met uw uitspraken in de kamerbrief2 van 19 mei 2021 waarin u stelt dat «cyberveiligheid bij de hoger onderwijs- en onderzoekinstellingen hoog op de agenda staat»? Baseert u deze veronderstelling enkel op gesprekken met kennis- en onderzoeksinstellingen of heeft u hier zelf ook actief onderzoek naar gedaan? Hoe verklaart u de uitspraak van de heer Akerboom dat er bij hogescholen en universiteiten onvoldoende bestuurlijke aandacht is voor digitale veiligheid?

De directeur-generaal van de AIVD, heeft in de technische briefing over de WIV d.d. 2 juni 2021 gepleit voor een breed cyberoffensief, te beginnen met een betere awareness en actie in eigen huis. Zijn uitspraken in de technische briefing over cyberveiligheid betroffen kennisinstellingen, het bedrijfsleven en de overheid.Zowel bij kennisinstellingen, overheden als bedrijfsleven bestaat aandacht voor (cyber)veiligheid, maar actie en bewustzijn is volgens de directeur-generaal nodig in alle lagen van de betrokken organisaties. Zoals ik ook bij vraag 2 meldde, ben ik het met hem eens dat de digitale veiligheid van de instellingen verder kan worden vergroot. Ik heb daarom de instellingen eerder al opgeroepen om hun veiligheidsbeleid in hun jaarverslagen op te nemen wanneer dit nog niet het geval is, dit onderwerp structureel met hun Raden van Toezicht te bespreken en een meerjarenvisie op dit terrein te presenteren. De genomen maatregelen (zie vraag 2 en de Kamerbrief) laten wat mij betreft zien dat de instellingen de cyberveiligheid serieus nemen. Het bereiken van 100% veiligheid is helaas onmogelijk, er zal altijd een risico op cyber- en kennisveiligheidsincidenten blijven bestaan.

Vraag 4

In hoeverre hebben kennisinstellingen oog voor ogenschijnlijk «onschuldige» incidenten, zoals de cyberaanvallen bij de Universiteit van Amsterdam en de Hogeschool van Amsterdam van afgelopen februari, die mogelijkerwijs grotere gevolgen kunnen hebben? Zoals een opmaat tot cyberaanvallen met meer impact?

Ik denk dat, wanneer het gaat om de preventie van cyberaanvallen, er niet gesproken kan worden over «ogenschijnlijk onschuldige incidenten». Uiteindelijk kan de aangerichte schade wel verschillen, maar de preventiebenadering is dezelfde. De schade van deze «onschuldige» incidenten is juist beperkt gebleven doordat de kennisinstellingen goed samenwerken en kennis over de cyberaanvallen binnen hun netwerk snel met elkaar delen. Dat doen zij zowel bij zwaardere als bij lichtere incidenten, want er wordt door SURF 24/7 gemonitord en ondersteuning geboden. Bij dit incident speelde ook de vroege detectie door het Security Operations Centre (SOC) en ingrijpen door het Computer Emergency Response Team (CERT) een belangrijke rol in het inperken van de impact.

Vraag 5

Erkent u, naast de dreiging van ransomware aanvallen, de dreiging vanuit statelijke actoren als het gaat om spionage, met name gericht op het verkrijgen van hightech kennis en informatie, en sabotage? Zo ja, welke gerichte stappen gaat u nemen naar aanleiding van dit signaal van de AIVD om de bestuurlijke aandacht voor digitale veiligheid te vergroten? Zo nee, waarom niet?

In een eerdere brief4 over kennisveiligheid schreef ik dat het verwerven van (hoogwaardige) kennis voor diverse statelijke actoren tot hun strategische doelstellingen behoort. Ik heb in die brief ook verschillende maatregelen benoemd om de kennisveiligheid in het hoger onderwijs en de (toegepaste) wetenschap beter te borgen, welke momenteel worden uitgevoerd. Zo komt er dit jaar nog een specifieke «leidraad» voor kennisveiligheid beschikbaar, die de rijksoverheid samen met de kennissector ontwikkelt. Ook worden er bestuurlijke afspraken gemaakt met de kennisinstellingen waarin de aandacht ook naar digitale veiligheid zal uitgaan. Bovendien wordt een Expertise- en adviesloket Kennisveiligheid opgezet om kennisinstellingen te ondersteunen bij de afwegingen die zij vanuit hun verantwoordelijkheid maken. In dit kader hebben de Nederlandse universiteiten al een belangrijke stap gezet door op 8 juli het Kader Kennisveiligheid te presenteren. Door dit kader kunnen wetenschappers en universiteiten nog scherper de afweging maken tussen de openheid van wetenschap en het voorkomen van ongewenste kennisoverdracht.
Naast de eerder genoemde maatregelen die instellingen nemen om hun digitale veiligheid te vergroten, heb ik zoals ik ook aangaf in het antwoord op vraag 4 en de Kamerbrief «Cyberveiligheid in het hoger onderwijsveld en onderzoeksveld», de instellingen opgeroepen om hun veiligheidsbeleid in hun jaarverslagen op te nemen, dit onderwerp structureel met hun Raden van Toezicht te bespreken en een meerjarenvisie op dit terrein te presenteren. De rol van bestuurders hierbij is evident, zo ook het belang van een integrale veiligheidsaanpak in het onderwijs-en onderzoeksveld.

Vraag 6

Bent u het ermee eens dat de activiteiten van statelijke actoren een hogere prioriteit moeten krijgen als het gaat om de (digitale) beveiliging van onze kennisinstellingen? Zo ja, hoe gaat u dit concreet oppakken in samenwerking met universiteiten, hogescholen en de AIVD? Zo nee, waarom niet?

De maatregelen die ik heb benoemd bij het antwoord op vraag 5 laten zien dat de rijksoverheid en de kennisinstellingen momenteel al intensief samenwerken om kennisveiligheid in het hoger onderwijs en bij de kennisinstellingen te verhogen. Ik zal uw Kamer in het najaar van 2021 opnieuw informeren over de voortgang die er op het gebied van kennisveiligheid wordt geboekt.

Vraag 1

Bent u bekend met het nieuwsbericht «Tientallen websites overheid voldoen niet aan veiligheidsrichtlijnen» van de NOS?1

Ja

Vraag 2

Wat vindt u van het feit dat tientallen websites van de overheid, waaronder websites van de Belastingdienst, GGD’s, veiligheidsregio's en waterschappen, niet voldoen aan de richtlijnen voor digitale beveiliging?

Voor de beveiliging van websites bij de overheid hanteren overheden bij het Rijk, provincies, waterschappen en gemeenten een basisnormenkader voor informatiebeveiliging. Het basisnormenkader is de Baseline Informatiebeveiliging Overheid (BIO)2, die sinds januari 2019 van kracht is. De BIO stelt (in deel 1) dat voorafgaand aan het gebruik van een informatiesysteem een risicoafweging dient te worden gemaakt die vervolgens richtinggevend is voor het treffen van beveiligingsmaatregelen. Proportionaliteit is daarbij het uitgangspunt. Met andere woorden: gaat het om zeer vertrouwelijke informatie, dan worden andere afwegingen gemaakt dan wanneer het om openbare informatie gaat waarvan de beschikbaarheid belangrijk is.
Het Nationaal Cybersecurity Centrum (NCSC) publiceert regelmatig adviezen in de vorm van richtlijnen. Ik ben hiermee bekend. Specifiek met betrekking tot deze zaak is dat de richtlijn «ICT beveiligingsrichtlijnen voor webapplicaties».3 Voor de overheid kan deze richtlijn worden beschouwd als een nadere detaillering van de BIO voor het onderdeel webapplicaties.
Uiteindelijk is het resultaat dat een samenhangend pakket van maatregelen wordt vastgesteld en toegepast. Welke dat zijn, zal per geval verschillen. Dat is overigens niet vrijblijvend: over de staat van informatieveiligheid leggen de verschillende overheidsorganen verantwoording af aan hun controlerende organen, zoals Gemeenteraad, provinciale staten, etc.
Kortom, het is aan overheidsorganisaties om door het treffen van de verplichte maatregelen uit de BIO en aanvullende maatregelen, voortvloeiend uit een risicoafweging te bepalen hoe Wordpress veilig kan worden ingezet.

Vraag 3

Erkent u dat de overheid tekort heeft geschoten in het treffen van digitale beveiligingsmaatregelen tegen eventuele hackers?

Dat beeld deel ik niet, zie ook het antwoord onder vraag 2.

Vraag 4

Deelt u de mening dat de burgers erop zouden moeten kunnen vertrouwen dat overheden als de Belastingdienst, GGD's, veiligheidsregio's en waterschappen, vertrouwelijk en verantwoord met gevoelige gegevens omspringen? Zo nee, waarom niet?

Ik deel volledig uw mening dat de overheid vertrouwelijk en verantwoord met gevoelige gegevens moet omgaan. Burgers moeten ervan uit kunnen gaan dat de overheid zorgvuldig omgaat met hun gegevens.

Vraag 5

Deelt u de mening dat een overheidsorgaan pas aan (gevoelige) persoonsgegevensverzameling zou mogen doen als het de risico’s voor de beveiliging van de informatie in kaart heeft gebracht en de digitale beveiliging afdoende is? Zo nee, waarom niet?

Ja.

Vraag 6

Bent u bekend met het feit dat het National Cyber Security Centrum (NCSC) als sinds 2014 waarschuwt voor 36 veiligheidsrisico's van Wordpress en dat desondanks 165 openbare overheidswebsites op Wordpress draaien? Wat is met deze waarschuwingen gedaan?

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) is bekend met de meldingen van het NCSC. Bij de overheid worden de meldingen van het NCSC nauwlettend in de gaten gehouden door afzonderlijke overheidsorganisaties. De BIO stelt eisen aan het toepassen van (beveiligings)patches voor ernstige kwetsbaarheden in hard- en software. Overheidsorganisaties zijn zelf verantwoordelijk voor het toepassen van deze eisen. Bovendien zijn kwetsbaarheidswaarschuwingen aan de orde van de dag en worden die voor veel systemen gestuurd. Ik heb niet het beeld dat de hoeveelheid bekende kwetsbaarheden een exacte maatstaf is om de veiligheid van een product te beoordelen. Er spelen ook andere factoren mee zoals de aard, omvang en frequentie van onderzoeken naar een product.

Vraag 7

Bent u bekend met het feit dat ook de website van de Informatiebeveiligingsdienst (IBD), dat gemeenten helpt bij cyberincidenten, draait op Wordpress? Wat vindt u hiervan?

Het is bekend bij het Ministerie van BZK dat de publieke website van de IBD, het Computer Emergency Response Team (CERT) van de Nederlandse gemeenten, draait op Wordpress. Voor de volledigheid meldt de Vereniging van Nederlandse Gemeenten (VNG) het Ministerie van BZK dat de beheeromgeving van deze website niet publiek is. De website van de IBD voldoet aan de eisen die de BIO daaraan stelt. De publieke website van de IBD ontsluit openbare informatie. Voor informatie met een hoger beschermingsniveau gebruikt de IBD andere middelen. Dit doet de IBD op basis van een uitgevoerde risicoanalyse, zoals ook de BIO voorschrijft. Verder voert de IBD periodiek penetratietesten uit op haar systemen, waaronder de website en op basis van de resultaten treft de IBD waar nodig maatregelen. Ik zie daarom geen bezwaar tegen het gebruik van individuele softwarepakketten, zoals Wordpress, als risicoafwegingen zijn gemaakt en maatregelen zijn getroffen.

Vraag 8

Bent u bekend met het feit dat de richtlijnen van het NCSC adviseren om de openbare pagina en de plek waar beheerders in kunnen loggen strikt van elkaar te scheiden? Wat gaat u hiermee doen?

Zie antwoord vraag 2.

Vraag 9

Bent u bereid om zo snel mogelijk de in de media genoemde overheidssites te laten voldoen aan de veiligheidseisen?

Gezien mijn beantwoording onder de gestelde vragen onder 2 t/m 8 is dat niet aan de orde. Het is de verantwoordelijkheid van elke organisatie zelf om de BIO, de verplichte overheidsmaatregelen en op basis van risicoafweging aanvullende maatregelen te implementeren.

Vraag 10

Welke beleidsmatige inspanningen wilt u verder doen om de digitale weerbaarheid van de overheidswebsites te vergroten?

In zijn algemeenheid geldt dat de overheid naast de verplichte maatregelen uit de BIO, diverse open standaarden implementeert zoals informatieveiligheidsstandaarden. De adoptie van deze informatieveiligheidsstandaarden wordt halfjaarlijks gemeten. Halverwege 2020 zijn achterblijvende overheidsorganisaties aangeschreven door het Forum Standaardisatie met adviezen ter verbetering.4 De toepassing van de overige open standaarden van de «pas-toe-of-leg-uit» lijst van het Forum Standaardisatie wordt jaarlijks gemeten. De meest recente versie van deze Monitor Open standaarden 2020 is op 18 maart aangeboden aan uw Kamer.5 Het beeld is dat het gebruik van de verplichte open standaarden verder toeneemt.
De wijze waarop in het algemeen het informatieveiligheidsbeleid bij de overheid gestalte krijgt, heb ik aan uw Kamer gemeld op 18 maart jl.6 in de voortgangsbrief informatieveiligheid bij de overheid.

Vraag 1

Kunt u op korte termijn zorgen voor actuele cijfers over de bereikbaarheid van telefoon en internet op het platteland?1

In mijn brief van 17 mei jl. heb ik uw Kamer geïnformeerd over de voortgang van de beschikbaarheid van vaste digitale connectiviteit waarmee telefonie en internet mogelijk zijn.2 In 2020 kon bijna 99% van de huishoudens in Nederland beschikken over een vaste verbinding van tenminste 100 Mbps en circa de helft over 1 Gbps. Op www.overalsnelinternet.nl/breedbandkaart kan de beschikbaarheid ook worden geraadpleegd per provincie, gemeente of individueel adres.
Met betrekking tot de dekking van de mobiele netwerken wijs ik allereerst op de dekkingskaarten die de mobiele netwerkaanbieders op hun eigen websites hebben staan.3 In aanvulling daarop wordt er momenteel gewerkt aan het creëren van een kaart die weergeeft waar er in Nederland dekking is van tenminste één van de bestaande drie mobiele netwerken. De consultatie van de regelgeving waarmee de mobiele netwerkaanbieders in de toekomst verplicht worden om de informatie te verstrekken die nodig is om deze kaart te maken is op 23 juni jl. gestart en loopt t/m 18 augustus.4 De informatie uit deze kaart geeft tevens indicaties voor waar de mobiele bereikbaarheid van 112 buitenhuis mogelijk ontbreekt.
In aanvulling hierop heeft Agentschap Telecom in 2015 (praktijk)onderzoek gedaan naar de mobiele bereikbaarheid van 112 in het bijzonder. Die kaart kunt u terugvinden in het jaarverslag van Agentschap Telecom.5 Het is aannemelijk dat de mobiele bereikbaarheid van 112 sindsdien verder is verbeterd. Zo zijn er sinds 2015 gemiddeld genomen elk jaar antenne-opstelpunten bij gekomen om de netwerkdekking te verbeteren, zorgen technologische innovaties ervoor dat de netwerkdekking beter wordt, zijn er met de 700 MHz-band aanvullende frequenties bij gekomen die nog verder reiken en minder last hebben van obstakels, en is het bellen naar 112 via WiFi bij sommige aanbieders al mogelijk en binnenkort verplicht.
De bestaande informatie en de kaart waar reeds aan wordt gewerkt geven samen een actueel beeld van de bereikbaarheid van telefoon en internet in heel Nederland, waaronder ook het platteland. Zoals in de beantwoording van de vragen van uw collega van Dijk is toegelicht is het verwachting dat de kaart in het voorjaar van 2022 beschikbaar komt.

Vraag 2

Kunt u aangeven wie er aansprakelijk is wanneer een burger komt te overlijden of ernstig gehandicapt raakt door het niet kunnen bereiken van 112 door een slechte bereikbaarheid van telefoon en internet?

Aansprakelijkheid kan op verschillende manieren worden vastgesteld en is, uiteindelijk, afhankelijk van de omstandigheden van het geval. Daarnaast is aansprakelijkheid in eerste instantie een zaak tussen de betrokken partijen zelf. De betrokken partijen kunnen immers overeenstemming bereiken over wie aansprakelijk is voor de geleden schade, bijvoorbeeld als één van de partijen aansprakelijkheid erkent. Als de betrokken partijen geen overeenstemming bereiken over de (mate van) aansprakelijkheid, kunnen zij de kwestie voorleggen aan de civiele rechter. De civiele rechter zal dan aan de hand van de vorderingen en de inbreng van de betrokken partijen de (mate van) aansprakelijkheid vaststellen. Omdat het in eerste instantie aan betrokken partijen is, en in tweede instantie aan de civiele rechter, is het voor mij niet mogelijk noch wenselijk om deze hypothetische vraag concreet te beantwoorden.

Vraag 3

Kunt u op korte termijn uitleggen wat de overheid doet om ervoor te zorgen dat er 100 procent bereikbaarheid van telefoon en internet is voor iedereen in Nederland?

Zoals in de beantwoording van vraag 1 is toegelicht heb ik uw Kamer bij brief van 17 mei jl. geïnformeerd over de voortgang van de beschikbaarheid van vaste digitale connectiviteit, wat zowel internet als telefonie omvat.
Voor wat betreft de dekking van de mobiele netwerken wijs ik op de beantwoording van de vragen van het lid Van Dijk (2021Z06404). Zoals daar is uitgelegd is 100% bereikbaarheid via mobiele netwerken in de praktijk onmogelijk. Niettemin wordt er voortdurend gestreefd naar het verbeteren van de netwerkdekking. Zo is in de Multibandveiling van vorig jaar een dekkingseis verbonden aan de 700 MHz-vergunningen die de mobiele netwerkdekking verder zal verbeteren.6
Waar het de bereikbaarheid van 112 betreft zijn er bovendien bijzondere maatregelen getroffen. Zo is het mogelijk om 112 via elk mobiel netwerk te bellen. Je bent dus niet afhankelijk van de netwerkdekking van je eigen aanbieder. Dus de bereikbaarheid van 112 is zo goed als de drie mobiele netwerken bij elkaar. Het bereik van die gezamenlijke dekking wordt zichtbaar in de kaart waar aan wordt gewerkt, zoals genoemd in de beantwoording van vraag 1. Die kaart zal indicaties opleveren voor waar mogelijk nog geen buitenhuisdekking voor de bereikbaarheid van 112 bestaat. Hier bovenop is 112 zelfs te bereiken zonder SIM-kaart of mobiel abonnement, maar ook via buitenlandse netwerken, wat de bereikbaarheid in de grensstreken verbetert. Om de bereikbaarheid van 112 nog verder te vergroten heeft de Autoriteit Consument en Markt besloten dat per 1 juli 2021 alle mobiele netwerkaanbieders bellen naar 112 via WiFi-netwerken moeten ondersteunen. Dit verbetert de bereikbaarheid van 112 binnenshuis. Gebruikers moeten dan wel een mobiel toestel gebruiken dat in staat is om gebruik te maken van deze functionaliteit, dat geschikt is voor het netwerk van de aanbieder, en mogelijk wat instellingen in het toestel aanpassen. Dat kan men nakijken op de website van deze aanbieders.7 Tot slot wordt er gewezen op de tips die op de website van de rijksoverheid staan vermeld voor mensen die problemen hebben met de bereikbaarheid van 112.8

Vraag 1

Bent u bekend met recente berichtgeving over (de gevolgen van) het wereldwijde chiptekort, zoals «VDL Nedcar legt autoproductie stil vanwege chiptekort»1 en «Speaker of vaatwasser kopen? Mogelijk langere levertijd door chiptekort»?2

Ja.

Vraag 2

Kunt u kwantificeren wat dit chiptekort betekent voor Nederland? Hoe groot is de economische schade? Welke bedrijven, sectoren en regio’s worden het hardste geraakt? Wat zijn de gevolgen voor zowel de zakelijke als particuliere markt?

Vooralsnog zijn de negatieve gevolgen van het chiptekort in Nederland in hoofdzaak beperkt tot bedrijven in de automotive industrie. Voor zover ons bekend treft dit momenteel met name VDL Nedcar, waar de productie enkele keren heeft stilgelegen vanwege een tekort aan chips.
Voor wat betreft signalen uit andere sectoren heeft Philips recent bij de presentatie van de jaarcijfers gewezen op mogelijke risico’s voor de medische sector. Tevens zijn er signalen dat consumenten van goederen als wasmachines, speakers en gaming consoles vertragingen in productie en levering ervaren door de chiptekorten.
Aan de andere kant zijn er (grote en kleinere) Nederlandse bedrijven in de halfgeleiderindustrie die baat hebben bij de huidige dynamiek en gegroeide vraag op de halfgeleidermarkt. Door de complexiteit en grote mate van mondiale verwevenheid van de toeleveringsketen is een exacte balans van de economische schade en de precieze impact voor Nederland lastig te maken.
Signalen van de mogelijke impact van de tekorten op Nederland worden door het Ministerie van Economische Zaken en Klimaat (EZK) nauwgezet in de gaten gehouden.

Vraag 3

Kunt u aangeven welke typen chips zorgen voor het grootste tekort? Welke leveranciers uit welke landen leveren deze? Kunt u zorgen voor een compleet overzicht?

Een eindproduct, zoals een auto of een laptop, bestaat vaak uit een combinatie van meerdere types chips (in een auto kunnen bijvoorbeeld wel meer dan 1000 chips zitten van allerlei soorten en functionaliteiten). Het is daarom niet zomaar mogelijk voor elk type product een overzicht te geven welke precieze chip door wie wordt gemaakt en hoe dit zich verhoudt tot de (mogelijke) tekorten. Dit vereist een zeer gedetailleerde analyse van vele soorten eindproducten in vele soorten eindmarkten. Tevens is de toeleverketen dusdanig complex dat een verschuiving of het wegvallen van orders voor het ene product op een onverwachte manier kan doorwerken op een groep andere producten. Ook bestaat het productieproces van chips uit veel verschillende stappen (fabricage, testen, assemblage, etc.), elk van deze stappen kan bij een ander bedrijf in een andere regio in de wereld plaatsvinden en op elk van deze stappen kan een mogelijk knelpunt ontstaan. Dit heeft tot resultaat dat een chipproduct tot wel 70 keer een landsgrens over kan gaan voordat het uiteindelijk in het eindproduct beland. Daarnaast is er ook een verantwoordelijkheid voor bedrijven zelf om scherp in beeld te hebben waar mogelijke zwaktes in toeleveringsketens zitten.
Chipproductie concentreert zich bij bedrijven in Azië (Taiwan en Zuid Korea), de Verenigde Staten en Europa. Er bestaan verschillende businessmodellen voor chipproducten, de zogenaamde pure play foundry en bedrijven die als Integrated Device Manufacturers (IDM) opereren. IDM’s ontwerpen hun eigen chipproducten en produceren deze ook deels zelf, maar kunnen ook delen van hun productie hebben ondergebracht bij pure play foundries. Deze pure play foundry’s produceren voor een breed scala aan klanten en ontwerpen dus geen eigen chipproducten. De grote pure play foundry’s die massaproductie leveren voor chips zijn voornamelijk geconcentreerd in Azië. Ook veel bedrijven die diensten aanbieden voor bijvoorbeeld de processtap van het testen in het productieproces zijn geconcentreerd in Azië.

Vraag 4

Wat beschouwt u zelf als de belangrijkste oorzaken waardoor dit chiptekort heeft kunnen ontstaan? In welk specifiek onderdeel in de waardeketen zitten de grootste problemen?

De halfgeleiderwaardeketen heeft een hoge mate van complexiteit en mondiale verwevenheid. Het is daarom lastig om één specifieke oorzaak aan te wijzen. Er zijn verschillende elementen die gezamenlijk van invloed zijn op de huidige dynamiek in deze markt:

Vraag 5

Kunt u schetsen in welk tempo de huidige problemen door chiptekorten worden opgelost? Bent u hierover in overleg met het bedrijfsleven en betrokken sectoren/verenigingen?

Voor Nederland geldt dat er geen grootschalige productiebedrijvigheid is gericht op de toepassing van deze chips(downstream markt, denk hierbij aan Original Equipment Manufacturers (OEMs) in de automotive industrie, of bedrijven in de smartphone-industrie zoals Apple en Samsung). Zoals aangegeven treft het Nederland wel daar waar het toeleveranciers van bijvoorbeeld de automotive industrie betreft, maar is deze vooralsnog beperkt. Het Ministerie van EZK houdt (mogelijke) tekorten goed in de gaten en staat hierover in contact met het bedrijfsleven.
Het opschalen van de huidige productiecapaciteit is het snelst gerealiseerd via bestaande spelers. Het opstarten van nieuwe productiebedrijven of productielocaties is een langdurig proces en vereist in deze industrie zeer omvangrijke investeringen (meerdere miljarden). Toch zien we momenteel dergelijke ontwikkelingen, met het oog op het versneld terugdringen van het chiptekort.
Zo is op 27 januari 2021 een overeenkomst getekend tussen de Taiwanese overheid en vier grote chipfabrikanten (TSMC, UMC, Vanguard en Powerchip) waarin is afgesproken dat de productiecapaciteit zal worden geoptimaliseerd, waar mogelijk zal worden uitgebreid en anders gealloceerd. Op 21 mei 2021 is tevens door TSMC aangekondigd dat ze de output voor de chipindustrie met 60% zullen opschroeven, naar verwachting nog dit jaar.

Vraag 6

Bent u bekend met de oproep voor een «Airbus of chips» die Eurocommissaris Kroes in 2013 deed?3 Hoe is, in Nederland en in Europa, opvolging gegeven aan deze oproep? Kunt u alle beschikbare informatie hieromtrent met de Kamer delen?

Ja. Deze oproep van Eurocommissaris Kroes, destijds verantwoordelijk voor de «Digital Agenda Electronics for Europe», werd gedaan tijdens het IMEC Technology Forum op 24 mei 2012 in Brussel. Zij onderstreepte het belang van de micro- en nano elektronica als belangrijke sleuteltechnologie voor een veelheid van toepassingen. Daarnaast gaf zij aan dat Europa toegang tot deze technologie nodig heeft voor de belangrijke uitdagingen zoals op het gebied van mobiliteit, energievoorziening, gezondheidszorg en klimaatverandering.
Kroes betoogde dat geen Europees land alleen op eigen kracht mondiaal kan concurreren over de gehele waardeketen. Daarom achtte zij het van belang dat de brede expertise binnen Europa zou worden samengebracht om te komen tot een «Airbus of Chips»: een micro elektronica-ecosysteem, naar het voorbeeld van de Europese vliegtuigindustrie. Tot zo’n initiatief is het uiteindelijk niet gekomen. Echter, in 2014 heeft de Europese Commissie wel het staatsteunkader verruimd voor zogenaamde «Important Projects of Common European Interest» (IPCEI). Dit zijn projecten die een belangrijke bijdrage leveren aan de doelstellingen van de Unie, zoals de Europese strategie voor micro- en nano-elektronische onderdelen en systemen. Bij deze projecten kan de staatssteun hoger zijn dan die voor reguliere onderzoeksinspanningen is toegestaan en bijvoorbeeld ook betrekking hebben op de eerste industriële toepassing van een bepaalde technologie.
Een eerste IPCEI voor micro elektronica werd in 2017 opgezet, met onder meer Frankrijk, Duitsland, Italië, het Verenigd Koninkrijk (VK) en Oostenrijk als deelnemende landen. Nederland heeft hieraan niet deelgenomen, vanwege andere prioritering van mogelijke Nederlandse deelnemers. Thans is een tweede IPCEI in ontwikkeling, waarvoor vanuit het Nederlandse bedrijfsleven wel grote interesse bestaat. Ter voorbereiding van mogelijke Nederlandse participatie aan de IPCEI is door RVO een interessepeiling uitgeschreven.4 Deze is gesloten op 21 mei 2021, op dit moment worden ingediende voorstellen inhoudelijk beoordeeld.
In het antwoord op vraag 9 en vraag 10 gaan wij in op de stappen die in Europa worden gezet op het gebied van het Europese ecosysteem van halfgeleiders.

Vraag 7

Hoezeer staat het chiptekort inmiddels voldoende op het netvlies van het kabinet? Is het prioriteit om dit zo spoedig mogelijk met het bedrijfsleven, kennisinstellingen en alle relevante partners op te lossen en de onderliggende problemen, zoals een te grote afhankelijkheid van productie elders in de wereld, aan te pakken? Welke acties heeft het kabinet hiertoe tot dusver ondernomen?

De signalen van de chiptekorten in verschillende sectoren worden nauwlettend gevolgd door het Ministerie van EZK. Op Europees niveau wordt dit in bredere context meegenomen in strategische discussies voor het gehele Europese ecosysteem van halfgeleiders en afhankelijkheden van waardeketens. In het antwoord op vraag 9 en vraag 10 gaan wij verder in op de lopende trajecten om het Europese halfgeleider-ecosysteem te versterken.

Vraag 8

Hoe kijkt u aan tegen de disbalans in de productie van chips, namelijk (afgerond) 8% in Europa, 22% in de Verenigde Staten en 70% in Azië?4

Zoals verder toegelicht onder antwoord vraag 9 en 10 is het van belang dat er een balans bestaat in het totale wereldwijde ecosysteem. In het recent gepubliceerde «Europe’s Digital Decade: digital targets for 2030» is de ambitie gesteld om het Europese aandeel in de waardeketen op te schroeven.

Vraag 9

Deelt u de mening dat het chiptekort behalve een Nederlands ook een Europees probleem is, dat in Europees verband moet worden opgelost? Vindt u net als wij dat hiervoor een sterke, onafhankelijke Europese halfgeleiderindustrie van cruciaal belang is? Waarom wel/niet?

Ja, wij delen uw mening dat het chiptekort niet alleen een Nederlands, maar ook een Europees probleem is dat Europees moet worden opgelost. Ook het Ministerie van EZK ziet een sterke Europese halfgeleiderindustrie als van cruciaal belang. De hoge kapitaal- en R&D-intensiteit van de halfgeleiderindustrie leent zich echter niet voor een ontkoppeling van de waardeketen in verschillende geografische regio’s. Daarnaast is het een dusdanig verweven mondiale waardeketen dat alle regio’s in de wereld voor bepaalde delen van deze waardeketen van elkaar afhankelijk zijn.
Onszelf afsnijden van de mondiale waardeketen is niet in het belang van Europa, omdat daarmee de koploperspositie die Europa op bepaalde onderdelen in de waardeketen heeft niet behouden kan worden. Hiermee zal de Europese sector toegang tot belangrijke groei- en afzetmarkten worden bemoeilijkt waardoor omzet en marktkansen worden misgelopen. Daardoor kunnen de benodigde omvangrijke R&D-investeringen niet meer worden gedaan en zal Europa in deze sector achterop raken. Het is van belang een juiste balans te hebben in wederzijdse afhankelijkheden tussen regio’s in de wereld. Dit is ook in lijn met onze inzet op het gebied van open strategische autonomie. De Europese Unie opereert in een onderling afhankelijke wereld waarin wederzijdse afhankelijkheid stabiliteit biedt.
Op 7 december 2020 heeft Nederland samen met 19 andere lidstaten de «Joint declaration on processors and semiconductor technologies» ondertekend. Hierin wordt de intentie uitgesproken tot het versterken van het Europese halfgeleider-ecosysteem en een opmaat gegeven voor het vormen van een «Important Project of Common European Interest» (IPCEI) en het vormen van een «Industry Alliance» voor deze industrie.
Er zijn verschillende manieren om het gehele Europese halfgeleider-ecosysteem te versterken. Één onderdeel van het palet aan mogelijkheden zijn de belangrijke Europese R&D-programma’s die al lopen en verscheidene trajecten bevatten die van belang zijn voor dit ecosysteem. Het «Key Digital Technologies Partnershop» (KDT) Joint Undertaking ECSEL is hiervan een goed voorbeeld. Dit is een Europees partnerschap van lidstaten, geassocieerde landen, de industrie en de Europese Commissie. ECSEL ondersteunt industriële R&D&I-inspanningen binnen de sector elektronische componenten en systemen (ECS) door middel van gezamenlijke medefinanciering door de Europese Unie en deelnemende landen. Nederland is, met Duitsland en Frankrijk, één van de grotere participanten in ECSEL. Onder het nieuwe Kaderprogramma voor Onderzoek en technologische ontwikkeling, «Horizon Europe», zal dit partnerschap onder de naam KDT worden gecontinueerd. Ook binnen het intergouvernementele EUREKA-programma wordt actieve ondersteuning gegeven aan Europese industriële R&D&I samenwerking. In deze programma’s wordt ook met landen buiten Europa, zoals Canada samengewerkt. Het Europees R&D-vermogen is krachtig en wereldwijd onderscheidend, met name ook voor het ecosysteem van halfgeleiders. Het ondersteunen van fundamenteel onderzoek is echter niet het enige stukje van de puzzel die moet worden gelegd om de gehele waardeketen en Europese positie te waarborgen en versterken.
Nederland is zeer intensief betrokken bij de totstandkoming en verdere invulling van de strategische richting van de IPCEI Micro-elektronica 2 (IPCEI ME2). Nederland wordt hier door de Europese Commissie gezien als een land met een sleutelpositie in de mondiale waardeketen. Belangrijke partnerlanden in IPCEI-context voor de halfgeleiderindustrie zijn Frankrijk en Duitsland. Duitsland heeft in hun Recovery & Resilience Plan (RRP) een bedrag van 1,5 miljard euro gereserveerd en ook Frankrijk heeft in deze ordegrootte een post opgenomen in hun RRP. Nederland kijkt momenteel welke mogelijkheden er zijn ten aanzien van financiering, met inbegrip van het RRP.
De «Industry Alliance» wordt op dit moment gevormd onder aanvoering van Eurocommissaris Breton. Hierin zullen belangrijke producenten en OEMs van de Europese halfgeleiderindustrie zijn vertegenwoordigd. Ook ASML heeft zijn commitment voor de «Industry Alliance» recent uitgesproken, waardoor Nederland met een vooraanstaand bedrijf in de sector is vertegenwoordigd.

Vraag 10

Indien ja, wat is nodig om een dergelijk sterke, onafhankelijke Europese halfgeleiderindustrie tot stand te brengen? Hoe kan en gaat Nederland hieraan bijdragen?

Zie antwoord vraag 9.

Vraag 11

Kunt u uiteenzetten welke bedrijven en instellingen, in welke Europese landen, thans een sterke positie hebben en/of een toekomstige positie kunnen hebben voor het opzetten van een huidige chipgeneratie (elektronica) waardeketen en een toekomstige nieuwe chipgeneratie (fotonica) waardeketen?

Het Ministerie van EZK heeft goed in beeld waar de krachten van Nederland liggen en hoe deze complementair zouden kunnen zijn aan de krachten in andere Europese landen. Zoals eerder aangegeven zijn Frankrijk en Duitsland hierin belangrijke partners. Daarnaast heeft EZK veelvuldig en nauw contact met het bedrijfsleven Nederland, evenals Europa, heeft krachtige ecosystemen die zich concentreren rondom grotere bedrijven en kennisinstellingen zoals ASML en ASMI, maar waar ook veel belangrijke toeleveranciers een rol in spelen. Dit brede ecosysteem-is waar Nederland zich voor inzet.
Nederland heeft zelf belangrijke clusters rondom Eindhoven (met name rondom de machinebouw), maar bijvoorbeeld ook een sterk cluster rondom Nijmegen. Ook is het cluster rondom Leuven met bijvoorbeeld onderzoeksinstelling Imec van groot belang voor het Nederlandse ecosysteem.
Andere sterke Europese halfgeleiderclusters bevinden zich in Duitsland rondom Saksen, waar bedrijven zitten als Global Foundries, Infineon en Bosch. Deze bedrijven zijn deels Integrated Device Manufacturers en leveren daarmee ook deels productie van chips. Het ecosysteem hier levert aan klanten in verschillende eindmarkten, van de automotive industrie tot de mobiele markt, connectiviteit en servers, medische en industriële toepassingen.
In Frankrijk bevindt een sterke concentratie zich rondom Grenoble, met bedrijven als ST Microelectronics (Frans/Italiaans), Exyte en Soi Tech (productie van speciale wafers). Ook deze bedrijven leveren aan eindmarkten als telecom, automotive, communicatie en servers, mobiele markt, farmacie en biotechnologie. Daarnaast kent Frankrijk een aantal grote OEM’s die van belang zijn voor de halfgeleider industrie, zoals Thales, Airbus, Continental en PSA (Peugeot, Opel, Citroën).

Vraag 12

Welke rol en mogelijkheden in productieprocessen en productontwerp voorziet u voor SMART Photonics, waarin het kabinet 20 miljoen euro heeft geïnvesteerd en dat onderdeel is van een Nederlands consortium?

SMART Photonics is een belangrijke speler in het verder uitbouwen van een krachtig ecosysteem en de Nederlandse positie in de geïntegreerde fotonica. Op dit moment is het de enige foundry in Europa voor de productie van fotonische chips op basis van indiumfosfide. Hiermee kunnen hoogwaardige chips worden gebouwd die gecombineerde functionaliteit kunnen bieden van bijvoorbeeld lasers met microelectronica-onderdelen. Dit soort functionaliteit kan bijvoorbeeld niet worden gerealiseerd op wafers gemaakt van silicium.
Op het moment komen de meeste klanten van dit bedrijf uit Nederland, maar het bedrijf trekt ook klanten uit Japan, de VS en China. Er worden momenteel ongeveer 500 wafers per jaar geproduceerd. Wanneer dit kan worden opgeschaald zal het naar verwachting internationaal een belangrijke strategische positie in het Europese ecosysteem innemen. Mogelijkheden tot opschalen (in zowel de huidige 3-inch-productie als het werken met grotere wafers) is een belangrijke overweging geweest voor de investering.
De Nederlandse geïntegreerde fotonica-industrie is de afgelopen jaren gegroeid en omvat momenteel zo’n 25 bedrijven met ruim 3.000 werknemers. Nederland heeft een positie in bijna de gehele waardeketen: van R&D tot ontwerp en software design, tot fabricage, packaging en testen. Het mondiale marktpotentieel van fotonica is groot. Een logische eindmarkt voor fotonische producten is die van dataverwerking en telecom – met fotonische oplossingen kan datacommunicatie sneller, met grotere hoeveelheden en minder stroomverbruik worden gerealiseerd. Een andere opkomende eindmarkt is die voor verschillende types sensoren die weer toepassingen hebben in bijvoorbeeld de automotive industrie, luchtvaart en gezondheidszorg.

Vraag 13

Op welke manier is Nederland thans betrokken bij de (oprichting van) een Europese alliantie om chiptekorten tegen te gaan?5

Zie antwoord op vraag 9 en 10. Er is momenteel een Europese alliantie in oprichting. Deze zal zich buigen over de algehele strategie voor de Europese halfgeleiderindustrie, en richt zich daarmee niet enkel op de chiptekorten. Het huidige chiptekort en hoe dit op de lange termijn aan te pakken zal echter zeker onderdeel zijn van de gesprekken.

Vraag 14

Zijn er op dit moment serieuze gesprekken gaande met betrekking tot samenwerking van buitenlandse partijen die een volwassen ervaring hebben in de internationale chipproductieketens?

Ja, hier lopen gesprekken met diverse buitenlandse partijen. Dit is ook voor de NFIA en haar regionale partners in het Invest in Holland-netwerk een belangrijk aandachtsgebied. Omwille van de vertrouwelijke aard van deze gesprekken kunnen wij niet nader ingaan op de inhoud hiervan.

Vraag 15

Deelt u de mening dat het huidige chiptekort een exemplarisch gevolg is van het weggaan/wegblijven van maakindustrie uit Nederland en Europa? Indien ja, hoe komt dat volgens u? Indien niet, waarom niet?

Nee, deze mening delen wij niet. De wijze waarop de productie van microchips zich in verschillende regio’s van de wereld heeft geconcentreerd, is het gevolg van procesoptimalisatie en bijbehorende schaalvergroting in de mondiale waardeketen. Zuid-Korea en Taiwan hebben hier een specialisatie in opgebouwd in de grootschalige productie van chips. Nederland heeft in andere onderdelen van de waardeketen specialisaties en sterke posities opgebouwd. De Nederlandse positie in de halfgeleidermachinebouw is daarvan een goed voorbeeld, maar bijvoorbeeld ook de positie in geïntegreerde fotonica is sterk. wij zijn positief over de positie van de Nederlandse maakindustrie. In de Kamerbrief over de kabinetsvisie op de maakindustrie van oktober 2020 (Kamerstuk 29 826, nr. 124) hebben wij een beeld geschetst van die positie, maar ook van de uitdagingen waar we in de komende jaren voor staan.

Vraag 16

Bent u bereid om de brief «Visie op de toekomst van de industrie in Nederland» van 30 oktober 2020 (Kamerstuk nr. 29 826, nr. 124), waarin het belang van maakindustrie voor Nederland wordt onderkend, nog dit jaar samen met het bedrijfsleven te vertalen naar een actieplan met concrete acties hoe enerzijds maakindustrie voor Nederland te behouden en anderzijds maakindustrie naar Nederland terug te halen («reshoring»)?

Dit kabinet hecht groot belang aan een sterke maakindustrie in Nederland. Wij zijn voornemens om hier, in navolging op de genoemde industriebrief, nog dit jaar een actieplan aan te koppelen. Over de wijze van invulling van het actieplan en het precieze moment van publicatie zal echter een volgend kabinet moeten beslissen. Daarbij de aantekening dat de potentie tot reshoring voor de Nederlandse maakindustrie niet moet worden overschat. Recente studies van de SER (SER advies 21/01 2021 Reshoring) en onderzoek van Berenschot in opdracht van Innovation Quarter (Berenschot, «Reshoring: kansen en bedreigingen voor Zuid-Holland» (februari 2021)) geven dit ook aan. Over de kansen en uitdagingen van reshoring zal uw Kamer voor de zomer nader geïnformeerd worden in reactie op de motie Amhaouch-Wiersma over de kansen en uitdagingen voor Nederland op het gebied van reshoring Kamerstuk 35 570 XIII, nr. 30).

Vraag 1

Bent u bekend met het artikel «Nederland verliest controle op beveiliging van het internet?»1

Ja.

Vraag 2

Hoe beoordeelt u het advies van de Cyber Security Raad dat het kabinet dringend moet ingrijpen om te voorkomen dat onze economie te afhankelijk wordt van buitenlandse technologie? Kunt u uw analyse toelichten?

Op 14 mei jl. heeft de Cyber Security Raad (CSR) het advies «Nederlandse Digitale Autonomie en Cybersecurity» uitgebracht. Het vraagstuk van digitale autonomie en het verhogen van onze digitale weerbaarheid heeft de nadrukkelijke aandacht van het kabinet. Digitale autonomie is echter geen vanzelfsprekendheid.
Nederland is verweven met de mondiale economie die bestaat uit een veelheid aan onderlinge, wederzijdse afhankelijkheden. Dat betekent dat leveranciers van over de hele wereld als onderdeel van complexe waardeketens producten en diensten leveren in het digitale domein. Deze verwevenheid biedt in algemene zin zeer grote economische voordelen, is in een open en gespecialiseerde economie onvermijdelijk en kan bijdragen aan een weerbare internationale economische positie van Nederland. Door deze verwevenheid kunnen er in het digitale domein echter ook ongewenste afhankelijkheidsrelaties met partijen van buiten EU ontstaan. Dit kan onze publieke belangen, waaronder onze (nationale) digitale veiligheid, in het geding brengen. De CSR wijst er in zijn advies op dat ongewenste (digitale) afhankelijkheden een bedreiging kunnen vormen die geadresseerd moeten worden. Tegelijkertijd onderschrijft de CSR dat naast de dreiging die uitgaat van deze afhankelijkheidsrelaties, globalisering enorme voordelen voor Nederland heeft gebracht. Balkanisering (versplintering) van technologie en protectionisme kan wereldwijde handel belemmeren en daarmee ook welvaart en banen kosten in Nederland, aldus de CSR.
Bij het adresseren van ongewenste afhankelijkheidsrelaties moeten protectionisme en fragmentatie dan ook zo veel mogelijk worden vermeden. In dat licht ziet het kabinet digitale autonomie niet als doel op zich maar als middel. Dit moet, in samenspraak met onze Europese partners, zorgvuldig en proportioneel worden bezien zodat Nederland het vermogen heeft om voldoende voor de eigen publieke belangen, waaronder onze (nationale) digitale veiligheid, op te komen en deze belangen zeker te stellen.
Het is nodig voor onze digitale autonomie dat we open, eerlijke en duurzame internationale relaties aangaan, waarbij onze normen en waarden zijn beschermd. De voordelen van internationale handel en investeringen, toegang tot wereldwijde waardeketens en internationale concurrentie moeten zoveel mogelijk behouden blijven.
Tegelijkertijd is het zaak dat we actief blijven investeren in de weerbaarheid van onze digitale infrastructuur. Waar nodig en wenselijk moeten we maatregelen nemen om ongewenste strategische afhankelijkheden weg te nemen of te voorkomen. Om tot effectieve en proportionele maatregelen te komen dient een zorgvuldige analyse van en afweging tussen de risico’s en de verwachte (veiligheids)baten en de verwachte kosten van de mogelijke maatregelen.
Er lopen al acties die concreet bijdragen aan onze digitale autonomie. Zo wordt binnen het nieuwe samenwerkingsplatform voor kennis en innovatie cybersecurity (dcypher) gewerkt aan een routekaart voor cryptocommunicatie. Het kabinet werkt daarnaast voortdurend aan de versterking van de digitale weerbaarheid via het beleid dat is uiteengezet in de Nederlandse Cybersecurity Agenda (NCSA). Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij digitale producten hanteert het kabinet de overwegingen die zijn vermeld in de brief aan de Tweede Kamer over C2000.2 Meer specifiek voor de telecommunicatiesector heeft het kabinet op 1 juli 2019 aanvullende beschermingsmaatregelen aangekondigd op basis van een risicoanalyse die is uitgevoerd door de Taskforce Economische Veiligheid3. Dit heeft er onder andere toe geleid dat mobiele netwerk operators in kritieke onderdelen alleen gebruik mogen maken van vertrouwde leveranciers.
Daarnaast overweegt Nederland deelname aan een Important Project of Common European Interest voor Cloudinfrastructuur en services (IPCEI CIS), een concreet Europees project wat als doel heeft om nieuwe generatie cloud-oplossingen in Europa te ontwikkelen en de waardeketen in Europa te versterken. Ook kijkt Nederland naar deelname aan een Important Project of Common European Interest voor de semiconductorsector (IPCEI Micro-elektronica 2, IPCEI ME2). De resultaten om onder het Nederlandse bedrijfsleven en kennisinstellingen de belangstelling te identificeren volgen in de zomer.
Het is essentieel dat we nu en in de toekomst blijven inzetten op digitale autonomie en cybersecurity.

Vraag 3

Hoe beoordeelt u de onderliggende waarschuwing van de Cyber Security Raad dat Nederland haar greep op de beveiliging van het internet anders dreigt kwijt te krijgen? Kunt u uw analyse toelichten?

Zie antwoord vraag 2.

Vraag 4

Wat is de status van de uitvoering van de motie van de leden Buitenweg en Yesilgöz-Zegerius over inzicht verkrijgen in de afhankelijkheid van digitale processen en diensten bij vitale processen? In hoeverre zijn processen van onze vitale infrastructuur ondergebracht en afhankelijk van buitenlandse aanbieders? In hoeveel van deze gevallen is het beheer van deze digitale processen uitbesteed aan buitenlandse aanbieders? Hoeveel van deze aanbieders zijn gevestigd in staten die een offensief cyberprogramma kennen?2

Met de brief «Beleidsreactie op het Dreigingsbeeld Statelijke Actoren (DBSA) en voortgang aanpak statelijke dreigingen» gaf het kabinet invulling aan de motie Buitenweg/Yesilgöz-Zegerius over het inzichtelijk maken van cyberafhankelijkheden in vitale processen.5 Hierin wordt de opzet van een structurele aanpak voor de telecomsector benoemd. Ook staat hierin aangegeven dat in de komende periode in kaart wordt gebracht wat er nodig is qua mensen, middelen en expertise om deze aanpak te verbreden naar andere vitale processen.
Er wordt niet integraal bijgehouden in hoeverre de dienstverlening binnen vitale processen plaatsvindt door of afhankelijk is van buitenlandse aanbieders, en daarmee ook niet in hoeveel gevallen het beheer van digitale processen wordt uitbesteed aan buitenlandse aanbieders. Dit is, gezien het grote aantal leveranciers van producten en diensten van vitale processen, ook niet realistisch. Uitgangspunt is een risicogestuurde aanpak, zodat dreigingen en kwetsbaarheden gericht kunnen worden geadresseerd. Zo zijn binnen de aanpak tegengaan statelijke dreigingen verschillende instrumenten ontwikkeld en maatregelen genomen om nationale veiligheidsrisico’s te adresseren, zoals de voorbereiding van wetgeving ten behoeve van het stelsel van investeringstoetsing en de herziening en beschikbaarstelling van het instrumentarium voor inkoop en aanbesteding.6

Vraag 5

Bent u het met de mening eens dat het uit nationale veiligheidsoverwegingen, onwenselijk is om digitale technologieën die wij gebruiken voor vitale processen zoals energievoorziening en betalingsverkeer af te nemen van staten met een offensief cyberprogramma? Zo ja, waar liggen volgens u mogelijkheden om meer grip te krijgen op de digitale processen van onze vitale infrastructuur? Zo nee, waarom niet?

Zoals in het Dreigingsbeeld Statelijke Actoren (DBSA) beschreven is een toenemende afhankelijkheid van buitenlandse technologie een gegeven, aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren.7
Tegelijkertijd bestaan er risico’s op digitale spionage en -sabotage, die kunnen leiden tot verstoring van de continuïteit van de vitale infrastructuur en aantasting van de integriteit of exclusiviteit van gevoelige kennis en informatie. Een aanvullend risico kan ontstaan als er betrokkenheid is van leveranciers die afkomstig zijn, of onder controle staan van bedrijven, uit een land met wetgeving die commerciële partijen dwingt tot samenwerking met de overheid van dat land. De risico’s voor de nationale veiligheid worden verder vergroot als het land in laatstbedoelde zin een offensief inlichtingenprogramma voert dat gericht is op Nederlandse belangen. Van belang is het juist ook met betrekking tot deze risico’s telkens te bepalen of en welke beheersmaatregelen mogelijk, wenselijk, en realiseerbaar zijn om voldoende bescherming hiertegen te bieden.
Versterking van de weerbaarheid van netwerk- en informatiesystemen is dan ook van groot belang. Het kabinet werkt hieraan via de aanpak statelijke dreigingen, de versterkte aanpak vitaal en de aanpak zoals beschreven in de Nederlandse Cybersecurity Agenda (NCSA). Het in kaart brengen van de te beschermen belangen en de daarop betrekking hebbende dreigingen, alsmede het nemen van maatregelen om die belangen te beschermen, staan daarbij steeds centraal. De combinatie van technologische ontwikkelingen en geopolitieke veranderingen vraagt erom met een andere blik te kijken naar welke belangen we willen beschermen. Hiervoor wordt nauw samengewerkt met onder meer bedrijven en kennisinstellingen. Met een geactualiseerd instrumentarium worden deze veranderende omstandigheden integraal meegewogen in het beoordelen van risico’s en bij het naar aanleiding daarvan waar nodig nemen van weerbaarheidsverhogende maatregelen. Hierbij wordt digitale en fysieke weerbaarheid in zijn geheel bezien. Ketenafhankelijkheden worden daarbij beter in kaart gebracht, omdat vitale processen onderling sterk verweven zijn en sterk afhankelijk zijn van toeleveranciers.

Vraag 6

Hoeveel geld ontvangt Nederland jaarlijks uit het EU Resilience and Recovery Fund om te investeren in digitale innovaties? Hoe groot is dit bedrag ten opzichte van andere lidstaten? Op basis van welke voorwaarden wordt dit geld verdeeld onder lidstaten?

Nederland ontvangt naar verwachting € 5,96 mld. aan middelen uit de Recovery and Resilience Facility. Om aanspraak te maken op de RRF-middelen moet Nederland een Recovery and Resilience plan (RRP) indienen met ambitieuze hervormingen en investeringen die invulling geven aan de landspecifieke aanbevelingen die de Europese Commissie voor Nederland heeft geïdentificeerd. Deze middelen moeten ingezet worden voor het bevorderen van economisch herstel en het aanjagen van de groene en digitale transitie. Minstens 20% van de middelen moeten ten goede komen aan de digitale transitie. Hiernaast moet minstens 37% bijdragen aan de groene transitie. De middelen worden in tranches uitgekeerd op basis van het behalen van vooraf geformuleerde mijlpalen en doelen die voor 31 augustus 2026 moeten zijn afgerond. Dezelfde voorwaarden zijn van toepassing op andere lidstaten. Het staat lidstaten verder vrij om binnen de criteria uit de RRF-verordening meer focus te leggen op de digitale transitie in hun eigen RRP’s.
De allocaties uit de RRF worden op twee momenten vastgesteld. De allocatie voor 2021–2022 is gebaseerd op werkloosheidscijfers (2015–2019), de omvang van de bevolking (2019) en het bbp per capita (2019). Voor de allocatie in 2023 geldt een aangepaste verdeelsleutel waarbij de factor werkloosheid wordt vervangen door (in gelijke delen) het bbp-verlies in 2020 en het cumulatieve bbp-verlies over de periode 2020–21 op basis van de cijfers die eind juni 2022 beschikbaar zijn. Op de website van de Europese Commissie vindt u de allocatie van de RRF-middelen per lidstaat8. Lidstaten worden geacht een RRP in te dienen voor 100% van de verwachte allocatie. Naar aanleiding van de definitieve vaststelling kunnen lidstaten hun RRP’s wijzigen voor zover de definitieve allocatie is gewijzigd.

Vraag 7

Bent u het met de mening eens dat het voor Nederland, zowel uit veiligheids- als innovatieoogpunt van groot belang is dat wordt geïnvesteerd in Nederlandse technologie? Zo ja, hoe beoordeelt u het bedrag dat Nederland jaarlijks ontvangt uit het EU Resilience and Recovery Fund? Zo nee, waarom niet?

Ja, vanuit zowel veiligheids- als innovatieoogpunt is het van groot belang dat wij blijven investeren in technologische ontwikkeling. Het bedrag dat Nederland zal ontvangen vanuit de Resilience and Recovery Facility is een welkome aanvulling. De RRF-middelen betreft echter een incidentele impuls en is daarmee van beperkte meerwaarde voor de uitdagingen waar Nederland voor staat. Het is voor onze brede welvaart van groot belang dat wij ook structureel blijven investeren in het versterken van onze lange termijn verdienvermogen.

Vraag 8

Kunt u deze vragen binnen de gestelde termijn beantwoorden?

Ja.

Vraag 1

Bent u bekend met het artikel «Miljoenen liters diesel liggen bij de «groene» datacenters van Microsoft en Google in Hollands Kroon»?1

Ja.

Vraag 2

Klopt het dat er miljoenen liters diesel in Hollands Kroon zijn opgeslagen en dat dit mogelijk nog met miljoenen liters gaat toenemen?

Een mogelijke aanvraag voor het opslaan van meer diesel zal door het bevoegd gezag beoordeeld moeten worden. Het bevoegd gezag is aan zet om te toetsen aan wet- en regelgeving en hier eisen aan te stellen in de vergunning. Ik ben geen bevoegd gezag voor de vergunningverlening, en ken dus ook de inhoudelijke specificaties van dergelijke gevallen niet. Op 21 mei jl. heeft het college van de gemeente Hollands Kroon schriftelijke vragen van de Raad beantwoord die ingaan op deze berichtgeving en de dieselopslag. Ik verwijs u graag door naar deze antwoorden (zie afschrift in bijlage 1)2.

Vraag 3

Wie is verantwoordelijk voor de besluitvorming over het neerzetten van deze tientallen dieselaggregaten?

Het bevoegd gezag gaat over besluitvorming ten aanzien van een aanvraag. Hierbij toetst het bevoegd gezag aan wet- en regelgeving en neemt het een besluit over het wel of niet verlenen van een vergunning. Het college van gedeputeerde staten van de provincie Noord-Holland (GS) stelt zich op het standpunt dat zij bevoegd gezag is. De provincie Noord-Holland en de gemeente Hollands Kroon zijn hierover in overleg.

Vraag 4

Vindt u het ook opmerkelijk dat het college Hollands Kroon opnieuw besluitvorming neemt waartoe zij niet bevoegd is?

De aanwijzing van het bevoegd gezag is geregeld in het Besluit omgevingsrecht. Het is niet aan mij te beoordelen of besluitvorming door het college van burgemeester en wethouders van Hollands Kroon terecht is of niet. Het heeft altijd de voorkeur dat overheden in goed onderling overleg tot een gezamenlijk inzicht komen, bij een conflict is het uiteindelijk aan de rechter om er een oordeel over te vellen.

Vraag 5

Vindt u het ook onwenselijk dat de dieselaggregaten van deze datacenters eens per maand staan te ronken, waardoor stinkende dieselrook de lucht ingaat?

Bij het verstrekken van een vergunning zal in alle gevallen moeten worden voldaan aan relevante wet- en regelgeving. Het Ministerie van Infrastructuur en Waterstaat is stelselverantwoordelijke voor de milieuwetgeving, waaronder geur. Het is aan het bevoegd gezag om een integrale afweging te maken ten aanzien van de te vergunnen activiteit en om de vergunning al dan niet te verlenen. Bij deze afweging is geur één van de onderdelen die wordt meegenomen. De te ondernemen activiteiten moeten vervolgens passen binnen de verleende vergunning.

Vraag 6

Vindt u ook dat Google en Microsoft maatregelen dienen te nemen om deze vieze dieselrook voor omwonenden te verminderen?

Zie het antwoord bij vraag 5.

Vraag 7

Vindt u ook dat de claim van Google en Microsoft dat zij klimaatpositief wensen te worden niet strookt met het feit dat Google en Microsoft nu tussen grootvervuilers staan en bovendien een enorme CO2-uitstoot hebben?

De mogelijk bestaande wens van bedrijven om als klimaatpositief gezien te willen worden is een bedrijfsmatige afweging. Het is niet aan mij om hierover te oordelen.

Vraag 8

Hoe kan het zo zijn dat de brandweer nauwelijks informatie heeft over de machines en de opslagtanks? Vindt u het ook niet zorgwekkend dat de brandweer nauwelijks informatie over deze dieselaggregaten heeft en bovendien de Veiligheidsregio Noord-Holland Noord weinig risico’s ziet, terwijl diesel een zeer gevaarlijke stof met ontploffingsgevaar is?

Ik kan niet beoordelen over welke informatie de brandweer beschikt of zou moeten beschikken. Het is aan de veiligheidsregio om dat te beoordelen, die bovendien deskundig is op dit gebied. In beginsel moet de activiteit passen binnen de verleende vergunning. Bij het verlenen van een vergunning wordt een integrale afweging gemaakt waarin (externe) veiligheid wordt meegenomen.
Ik verwijs u door naar de eerder genoemde antwoorden op raadsvragen van het college van Hollands Kroon (zie mijn antwoord bij vraag 2). Deze stellen o.a. dat de brandweer en de veiligheidsregio goed op de hoogte zijn van de situatie, dat de berichtgeving onjuiste informatie bevatte en dat er geen onverantwoorde risico’s zijn. Daarbij is ook een factsheet bijgevoegd van de Veiligheidsregio Noord-Holland Noord die hier aanvullend op ingaat (zie afschrift in bijlage 2)3.

Vraag 9

In hoeverre is deze opslag van diesel een gevaar voor de bewoners van Wieringenmeer?

De specifieke afweging omtrent externe veiligheid in dit geval is mij niet bekend. Bij het verlenen van een dergelijke vergunning wordt door het bevoegd gezag hiervoor een afweging gemaakt waarin (externe) veiligheid wordt meegenomen. In algemene zin moeten activiteiten zoals de opslag van diesel passen binnen de verleende vergunningen en de relevante wet- en regelgeving. Zie verder ook het antwoord onder vraag 8.

Vraag 10

Vindt u met de enorme stroombehoeften, chemicaliën in het water en het enorme ruimtebeslag op het landschap het überhaupt wenselijk dat dit soort datacenters zich vestigen in Nederland?

In de Nationale Omgevingsvisie (NOVI) is opgenomen dat in beginsel decentrale overheden keuzes maken over de vestiging van bedrijven, waaronder datacenters. Het Rijk wil, gezien de impact op o.a. ruimte en energie, samen met decentrale overheden mede zorgdragen voor zorgvuldige vestigingslocaties van datacenters. De NOVI bevat daarvoor een aantal voorkeursrichtingen en zet daarbij in op selectieve groei aan de randen van Nederland. Onder coördinatie van de Minister van Binnenlandse Zaken en Koninkrijksrelaties worden daarover afspraken gemaakt met decentrale overheden in landsdelige bestuurlijke overleggen. De voortgangsbrief over de NOVI van begin juni 2021 gaat hier verder op in (Kamerstuk 34 682, nr. 83).

Vraag 11

Bent u daarom ook van mening dat er scherpere vestigingseisen, op het gebied van duurzaamheid, waterverbruik, beperking overlast, inpassing in het landschap en veiligheid moet worden gesteld aan deze techgiganten bij het bouwen van datacenters? Welke maatregelen gaat u daartoe nemen?

Er gelden voor de vestiging van datacenters diverse wettelijke milieuvereisten, onder andere op het gebied van waterverbruik, geur, luchtkwaliteit en externe veiligheid. Ook bestaat er op dit terrein beleid en regelgeving van decentrale overheden. Daarnaast is het, in lijn met de afspraken uit de NOVI, in beginsel aan het bevoegd gezag om een afweging te maken ten aanzien van de vestigingseisen. Verder verwijs ik hierbij naar de eerder genoemde afspraken voor zorgvuldige vestiging van datacenters die onder de NOVI worden gemaakt met decentrale overheden.

Vraag 1

Kent u het artikel «Belgische overheden getroffen door grote cyberaanval»?1

Ja.

Vraag 2

Hoe vaak is de Nederlandse overheid doelwit geweest van een cyberaanval, zoals een DDOS aanval?

Er is geen volledig beeld van het aantal aanvallen waarvan de Nederlandse overheid doelwit is geweest. In algemene zin is bekend dat Nederlandse instellingen, waaronder overheden, te kampen hebben met digitale aanvallen. Het jaarlijks gepubliceerde Cybersecuritybeeld Nederland (CSBN) geeft inzicht in de digitale dreiging in Nederland, waaronder tegen de overheid, en de belangen die daardoor kunnen worden aangetast.2
De meest gestructureerde statistieken die beschikbaar zijn over DDoS-aanvallen zijn afkomstig van de Nationale Beheersorganisatie voor Internet Providers (NBIP). NBIP rapporteert jaarlijks over de DDoS-aanvallen die gemeten zijn door de Nationale DDoS Wasstraat (NaWas).3 Ik verwijs u voor meer informatie hierover door naar de beantwoording van eerdere Kamervragen over DDoS gericht aan de Staatssecretaris van EZK.4

Vraag 3

Is Nederland voldoende weerbaar tegen cyberaanvallen, waaronder DDOS-aanvallen? Zo ja, waaruit blijkt dat? Zo nee, hoe verbeteren we de Nederlandse weerbaarheid tegen cyberaanvallen?

Het CSBN 2020 laat zien dat de weerbaarheid tegen digitale dreigingen nog niet overal op orde is.5 Cyberincidenten hebben de potentie om grote schade aan te richten en in uiterste gevallen maatschappelijke ontwrichting te veroorzaken.
De afgelopen jaren is daarom ingezet op het versterken van cybersecurity. De kabinetsbrede aanpak van cybersecurity is vastgelegd in de Nationale Cybersecurity Agenda (NCSA).6 De uitvoering daarvan wordt ondersteund met investeringen door het kabinet die oplopen tot 95 miljoen euro structureel. Om in te kunnen spelen op technologische en maatschappelijke ontwikkelingen, en actuele dreigingen en risico’s zijn de maatregelen uit de NCSA in de loop van de tijd verder uitgewerkt en versterkt. Dit is sinds de verschijning van de NCSA meerdere keren gebeurd.7, 8, 9, 10 De zeven ambities uit de NCSA blijven hierbij het uitgangspunt en over de voortgang op deze ambities wordt jaarlijks gerapporteerd aan uw Kamer. De NCSA is opgesteld onder leiding van en uitgevoerd onder coördinatie van het Ministerie van Justitie en Veiligheid en met de vakdepartementen vanuit hun eigen specifieke beleidsverantwoordelijkheden. De Minister van Justitie en Veiligheid is de coördinerend bewindspersoon op het gebied van cybersecurity.
Over het niveau van de digitale weerbaarheid in Nederland en de maatregelen die in dat kader zijn genomen, verwijs ik graag naar het CSBN 2021 en de begeleidende beleidsbrief die de Minister van Justitie en Veiligheid op korte termijn aan uw Kamer zal aanbieden.
Specifiek voor de overheid geldt de Baseline Informatiebeveiliging Overheid
(BIO) sinds eind 2018 als basisnormenkader voor informatiebeveiliging waaraan alle overheden zich moeten houden.11 Door implementatie van de BIO hebben overheidsorganisaties de basisbeveiliging op orde. Dit levert een bijdrage aan de weerbaarheid tegen cyberaanvallen, bijvoorbeeld door het verplicht minimaal jaarlijks testen op feitelijke veiligheid. Een voorbeeld hiervan is het uitvoeren van penetratietesten. Een penetratietest is een beveiligingscontrole die gericht is op een deel van het systeem. Bij een penetratietest wordt gekeken of het mogelijk is om kwetsbaarheden en risico's ook daadwerkelijk te gebruiken om de beveiliging op deze systemen te omzeilen, in te breken of te doorbreken.

Vraag 4

Is de Nederlandse overheid proactief op zoek naar kwetsbaarheden in de beveiliging? Zo nee, waarom niet?

Alle overheden hanteren de overheidsbrede BIO als basis voor de inrichting van hun digitale veiligheid. De baseline is erop gericht om de weerbaarheid van overheidsorganisaties ten aanzien van cyberdreigingen en incidenten te vergroten. Het proactief monitoren op kwetsbaarheden en waar nodig verhelpen van deze kwetsbaarheden is een van de relevante maatregelen daarbij. Zoals ik op 18 maart jl. aan uw Kamer heb gemeld in mijn voortgangsbrief over informatieveiligheid bij de overheid12, testen steeds meer overheden hun feitelijke veiligheid op verschillende manieren. Het overheidsbrede ondersteuningsprogramma BIO van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK), dat overheden sinds 2019 helpt met de implementatie van de BIO, besteedt ook aandacht aan het belang van testen. Eveneens vinden er bij de overheid ook verschillende cyberoefeningen plaats, die kwetsbaarheden in de beveiliging kunnen aantonen. De Nederlandse overheid is dus inderdaad proactief op zoek naar kwetsbaarheden in de beveiliging.
Specifiek voor het Rijk is geïnventariseerd bij de departementen op welke wijze het geautomatiseerd zoeken naar kwetsbaarheden gestalte krijgt. Uit deze inventarisatie blijkt dat dit breed wordt toegepast. In het kader van kennisdeling heeft het Ministerie van BZK in samenwerking met een groep experts binnen de rijksoverheid en de departementen een handreiking opgesteld en vastgesteld voor het inrichten van een doorlopende kwetsbaarhedenscan bij rijksoverheidsorganisaties. Daarnaast worden er door departementen diverse middelen ingezet om proactief naar kwetsbaarheden te zoeken, waaronder penetratietesten en red teaming oefeningen, en voert de Auditdienst Rijk in opdracht van de departementen en het Ministerie van BZK onderzoeken uit naar de feitelijke veiligheid van systemen en netwerken.
Een belangrijk uitgangspunt is dat iedere private en publieke organisatie primair zelf verantwoordelijk is voor zijn eigen digitale beveiliging.
De computercrisisteams (CSIRTS)13 van de overheden spelen een belangrijke rol om overheidsorganisaties te ondersteunen bij het voorkomen en verhelpen van digitale incidenten. Wel geldt voor organisaties die deel uitmaken van de rijksoverheid (en vitale aanbieders) dat het Nationaal Cybersecurity Centrum (NCSC) krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) tot taak heeft om hen bijstand te verlenen om hun digitale weerbaarheid te waarborgen en te versterken. Daarnaast deelt het NCSC in algemene zin informatie over kwetsbaarheden en daarbij behorende beveiligingsadviezen op zijn website.

Vraag 5

Is er een noodprotocol om de overheid te laten functioneren als de overheid te maken krijgt met een cyberaanval? Zo nee, vindt u het zinvol om een noodprotocol te ontwikkelen? Wilt u uw antwoord motiveren?

Alle overheden kennen herstel- en continuïteitsplannen voor wanneer er sprake is van digitale verstoring. Ook worden er diverse maatregelen getroffen om de continuïteit van de digitale overheid te kunnen waarborgen. Zo verplicht de BIO dat overheidsorganisaties hun informatiebeveiligingscontinuïteit plannen, implementeren, verifiëren, beoordelen en evalueren.14 Voor bedrijfskritische onderdelen in de bedrijfsvoering geldt de eis van herstel binnen een week. Op die manier voorzien overheden in de continuïteit van processen en systemen van de digitale overheid.
Voor situaties waarvan sprake is van maatschappelijke ontwrichting kan in het uiterste geval de nationale crisisstructuur in werking treden. Deze is door het kabinet vastgelegd in het Instellingsbesluit Ministeriële Commissie Crisisbeheersing en het Nationaal Handboek Crisisbesluitvorming. Het Nationaal Crisisplan Digitaal (NCP-Digitaal) is een specifieke uitwerking voor de aanpak van een crisis veroorzaakt in het digitale domein.15
Ten slotte wordt er ook geoefend bij de overheid. Omdat de ketenafhankelijkheid een gegeven is op de digitale snelweg, wordt er jaarlijks sinds 2019 geoefend met gesimuleerde hackaanvallen op processen en systemen van de overheid. Deze jaarlijkse Overheidsbrede Cyberoefening16 wordt georganiseerd door het Ministerie van BZK. Met alle overheden wordt het oefenscenario zo realistisch mogelijk uitgewerkt waarbij een digitale verstoring merkbaar zichtbaar is bij meerdere overheidslagen. Juist door ketens heen, interbestuurlijk en met een brede doelgroep (van IT-professional tot aan de bestuurder van een overheidsorganisatie).

Vraag 6

Heeft u contact gehad met uw Belgische ambtgenoot over de DDOS-aanval? Zo ja, wat is er besproken en wat heeft het gesprek opgeleverd?

Internationaal wordt op continue basis met partners op operationeel niveau zoveel als mogelijk informatie over dreigingen en incidenten uitgewisseld. Het NCSC heeft op dinsdag 4 mei en donderdag 6 mei jl. contact opgenomen met het Belgische Collectief Computer Security Incident Response Team (CSIRT), CERT-BE, voor het opvragen van technische details van de DDoS-aanval.
In EU-verband en bilateraal werkt Nederland overigens ook goed samen met België aan de versterking van cyberweerbaarheid. De Nederlandse ambassade in België heeft op dinsdag 4 mei jl. contact gehad met de Belgische federale overheid over de DDoS-aanval en de maatschappelijke impact hiervan. De ontvangen informatie is direct gedeeld met het Ministerie van Buitenlandse Zaken en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV).

Vraag 7

Welke lessen zijn er te leren aan de hand van de cyberaanvallen in België?

Digitale incidenten zijn niet gebonden aan landsgrenzen. Incidenten of dreiging daarvan in andere landen kunnen ook op organisaties in Nederland effect hebben. Internationale samenwerking is daarom van groot belang. Door snelle informatie-uitwisseling wordt bijvoorbeeld het NCSC in de gelegenheid gesteld organisaties binnen de doelgroep tijdig te waarschuwen en te informeren.
In Nederland wordt snelle informatie-uitwisseling over DDoS-aanvallen ook bevorderd door de Anti-DDoS-Coalitie.17 Dit is een samenwerkingsverband van publieke, private en wetenschappelijke partijen waarbinnen informatie en kennis over DDoS-aanvallen gedeeld kan worden om de weerbaarheid tegen aanvallen te verhogen.
In algemene zin tonen de cyberaanvallen in België wederom het belang van het op orde hebben van de digitale weerbaarheid aan.

Vraag 1

Hoe beoordeelt de Minister de conclusie van de Inspectie Leefomgeving en Transport (ILT) dat er een verhoogd – maar moeilijk te kwantificeren – risico aanwezig is op een cyberincident met mogelijke gevolgen voor de kwaliteit en/of de continuïteit van drinkwater?

Ik ga uit van het oordeel dat de ILT in het inspectierapport over de cyberweerbaarheid bij Waternet heeft gegeven. Er wordt op het gebied van cybersecurity niet voldaan aan de Wet beveiliging netwerk- en informatiesystemen (Wbni) en de Drinkwaterwet. Waternet staat daarom onder verscherpt toezicht. Het is de eerste keer in Nederland dat een drinkwaterbedrijf door de ILT onder verscherpt toezicht wordt geplaatst omdat de grip op de cyberweerbaarheid niet op orde is. Voor Waternet is het nu de opgave om er met prioriteit voor te zorgen dat de cyberverdediging weer op orde is. Hiertoe heeft Waternet op 29 april jl. een verbeterplan bij de ILT ingediend. Het is nu aan de ILT om in het kader van het verscherpt toezicht de uitvoering van het verbeterplan actief te bewaken.

Vraag 2

Taxeert de Minister dat dit risico aanvaardbaar is, hangende het verscherpte toezicht? En zo nee, wat gaat de Minister doen om de risico’s beter in beeld te krijgen en te beheersen?

Op dit moment doen zich voor zover mij bekend geen acute risico’s voor bij Waternet ten aanzien van de veiligstelling van de openbare drinkwatervoorziening die aanleiding zouden kunnen zijn tot verdere interventies. De ILT heeft tot op heden geen incidentmeldingen ingevolge de Wbni of Drinkwaterwet met betrekking tot de levering en kwaliteit van drinkwater ontvangen die kunnen worden gerelateerd aan het geconstateerde verhoogde risico voor cyberincidenten. In mijn Kamerbrief van 4 november 20201 heb ik toegelicht dat de eindverantwoordelijkheid voor cybersecurity bij Waternet (drinkwaterrelevante deel) primair bij het bestuur van de gemeente Amsterdam ligt. De ILT constateert dat het risicomanagement bij Waternet onvoldoende op orde is. Het is daarom in de eerste plaats aan het Stichtingsbestuur van Waternet en de gemeente Amsterdam om invulling te geven aan de bestuurlijke taxatie van de risicoacceptatie van de digitale beveiliging in relatie tot de bedrijfscontinuïteit. Dit overeenkomstig de bepalingen omtrent de risicogebaseerde aanpak in de bijlage bij artikel 3a, eerste lid, van het Besluit beveiliging netwerk- en informatiesystemen (Bbni).2
Waternet heeft op basis van de gesignaleerde tekortkomingen in het ILT-rapport een verbeterplan ingediend. De ILT zal beoordelen of de onderbouwing van de risicoacceptatie en daarbij gehanteerde systematiek (en prioriteit van te nemen risicobeheersingsmaatregelen) van Waternet voldoende is. Vervolgens moet Waternet de noodzakelijke risicobeheersingsmaatregelen treffen om de cybersecurity in voldoende mate op orde te krijgen. Daar kan ik nu niet op vooruit lopen.

Vraag 3

Wat is de Minister voornemens te doen om het tempo te verhogen van het implementeren van de door de ILT voorgestelde oplossingen?

In het verbeterplan dat door Waternet aan de ILT is aangeboden is voor alle in het ILT-rapport vermelde tekortkomingen aangegeven hoe en wanneer deze zijn opgelost, inclusief de stappen op weg daarnaartoe. Het is aan de ILT om te beoordelen of de planning en uitvoering van de voorgestelde maatregelen voldoet en de voortgang daarvan gedurende het verscherpte toezicht te bewaken.

Vraag 4

Wordt er in het verscherpte toezicht ook nader gekeken naar de organisatiestructuur en de besturing van de organisatie, en de bijdrage die dat volgens het ILT-onderzoek levert aan de tekortkomingen in de cybersecurity? Zo ja, op welke manier? Zo nee, waarom niet?

Ja. Het oplossen van de tekortkomingen in de besturing, zoals in het onderzoek aangegeven, maakt onderdeel uit van het verbeterplan van Waternet. Waternet pakt zaken op die op korte termijn verbeterd kunnen worden en evalueert de zaken waarvoor een meer structurele verandering noodzakelijk is die meer voorbereiding vraagt. Gedurende het onderzoek heeft Waternet al stappen gezet die bijdragen aan de verbetering van de cybersecurity, bijvoorbeeld door de aanstelling van een CIO (Chief Information Officer). Bij het verscherpt toezicht onderhoudt de ILT intensief contact met Waternet over de voortgang van de verbeteringen.

Vraag 5

Zijn er naast het verscherpte toezicht nog andere stappen die door u of de ILT worden gezet om te zorgen dat de cybersecurity bij Waternet structureel verbetert? Welke stappen worden er door de organisatie van Waternet zelf precies gezet en dragen die naar uw mening voldoende bij aan het voorkomen van cyberincidenten?

De ILT beoordeelt eerst het verbeterplan dat door Waternet is opgesteld. Waternet is nu aan zet om de gesignaleerde tekortkomingen te verbeteren. De ILT monitort de voortgang daarvan.
Voor wat betreft de andere stappen heb ik u in mijn brief van 2 april 20213 toegezegd om u ten behoeve van de commissievergadering Water en Wadden van 10 juni as. schriftelijk te informeren over de vervolgacties in het kader van het versterken van cybersecurity in watersector. De instrumenten die in het kader van dit programma worden ontwikkeld, zijn ook bedoeld voor de structurele verbetering van de cyberweerbaarheid van Waternet. Hierbij gaat het onder andere om de Ministeriële Regeling beveiliging netwerk- en informatiesystemen die voor alle AED’s van IenW per 1 juli as. in werking treedt en om de ontwikkeling van een brede cyberstandaard/handreiking voor de procesautomatisering als aanvulling op deze regeling en de Baseline Informatiebeveiliging Overheid (BIO). Daarnaast wordt specifiek voor de drinkwatersector een haalbaarheidsstudie gestart naar de samenwerkingsopties voor een security operations centre (SOC) en is een serious game op het gebied van cybersecurity, crisismanagement en operationele technologie ontwikkeld. Verder wordt een Red Team Blue Team training voor professionals in de watersector aangeboden, waaraan ook Waternet deelneemt.

Vraag 6

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.