Open Kamerbeta

Kamervragen

Titel
Status
Indiener (persoon)
Indiener (partij)
645 kamervragen gevonden
beantwoord onbeantwoord uitgesteld
Alle
8 maart 2021 - 29 maart 2021
Het bericht ‘Justitie deelt kritieke informatie over hacks niet met bedrijven.’
Dilan Yeşilgöz-Zegerius (VVD)
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)
1. Het Financieele Dagblad, 24 februari 2021, «Justitie deelt kritieke i…
  • Vraag 1

    Bent u bekend met het bericht «Justitie deelt kritieke informatie over hacks niet met bedrijven»?1

    Ja.

  • Vraag 2

    Bent u bekend met de betreffende brief van de Cyber Security Raad? Zo ja, hoe beoordeelt u de zorgwekkende analyse van de Cyber Security Raad? Kunt u dit toelichten?

    Ja, ik ben bekend met de adviesbrief van de Cyber Security Raad (CSR) inzake het versneld delen van incidentinformatie. Het Nationaal Cyber Security Centrum (NCSC) kan in het kader van analyses ten behoeve van de primaire taakuitoefening (informeren en adviseren van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid) ook gegevens over dreigingen en incidenten met betrekking tot de netwerk- en informatiesystemen van andere aanbieders verkrijgen. De CSR stelt terecht dat het voor het NCSC nog niet mogelijk is om deze gegevens telkens te doen toekomen aan die andere aanbieders. Zij zijn hierdoor niet altijd op de hoogte van deze dreigingen of incidenten. Ik deel de zorgen van de CSR hierover en ben van mening dat het zo veel als mogelijk delen van informatie over dreigingen en incidenten van groot belang is voor de Nederlandse digitale veiligheid en weerbaarheid. Ik werk daarom aan een wetsvoorstel om ervoor te zorgen dat meer van de hiervoor genoemde gegevens bij die andere aanbieders terecht kunnen komen.

  • Vraag 3

    Klopt het dat nog veel dreigingsinformatie blijft hangen bij het National Cyber Security Centrum (NCSC) omdat de wettelijke basis voor het delen van deze informatie met betrokkenen nog niet op orde is? Zo ja, in hoeveel gevallen zijn bedrijven slachtoffer geworden van cyberaanvallen, terwijl het NCSC wel over relevante cruciale informatie beschikte en deze vervolgens niet kon delen?

    In de Wet beveiliging netwerk- en informatiesystemen (Wbni) zijn de taken en bevoegdheden van het NCSC opgenomen. Op dit moment bestaat er nog niet in alle gevallen een wettelijke grondslag voor het NCSC om dreigings- en incidentinformatie over netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal, die is verkregen in het kader van de primaire taakuitoefening, aan of ten behoeve van deze aanbieders te verstrekken. Zoals ook aangeven in het antwoord op vraag 2, vind ik dit niet wenselijk en kom ik daarom met een wetsvoorstel om ervoor te zorgen dat deze aanbieders meer van de hiervoor genoemde informatie kunnen verkrijgen. Dit voorstel houdt in dat het NCSC ook aan organisaties die objectief kenbaar tot taak hebben om andere organisaties of het publiek te informeren (OKTT’s) vertrouwelijke herleidbare informatie over aanbieders kan verstrekken, zodat deze schakelorganisaties de niet-vitale aanbieders in hun doelgroep van relevante dreigings- en incidentinformatie kunnen voorzien (wijziging van artikel 20, tweede lid, van de Wbni). De verstrekking van deze gegevens is momenteel al mogelijk aan onder meer computercrisisteams.
    Daarnaast houdt dit voorstel in dat het NCSC in bijzondere gevallen informatie kan verstrekken aan individuele organisaties die geen deel uitmaken van de doelgroep Rijk en vitaal (wijziging artikel 3, tweede lid, van de Wbni).
    Het NCSC ontvangt dagelijks veel data uit verschillende (internationale) bronnen en analyseert deze in het kader van de uitoefening van de wettelijke taak ten behoeve van vitale aanbieders en organisaties die deel uitmaken van de rijksoverheid. Ik beschik niet over concrete cijfers over aantallen slachtoffers van cyberaanvallen buiten deze doelgroep.

  • Vraag 4

    Wordt er bij het NCSC actief gezocht naar alternatieven om toch cruciale dreigingsinformatie te kunnen delen met betrokkenen? Zo ja, op welke alternatieven wordt ingezet en op welke schaal? Zo nee, waarom niet en wat is de huidige status van het landelijk dekkend stelsel? Welke niet-vitale sectoren kunnen nog steeds geen dreigingsinformatie ontvangen?

    Het NCSC beziet voortdurend op welke manier zij het beste informatie en adviezen over digitale dreigingen en incidenten kan delen met de primaire doelgroep (vitale aanbieders, organisaties die deel uitmaken van de rijksoverheid) en andere organisaties in Nederland. Zo wordt er met inachtneming van de wettelijke kaders actief gewaarschuwd middels beveiligingsadviezen, nieuwsberichten op de website en berichten aan doelgroepen en andere partners.
    Ten behoeve van een zo breed mogelijke uitwisseling en verstrekking van voor aanbieders relevante dreigings- en incidentinformatie zet het kabinet sinds 2018 in op de ontwikkeling van het Landelijk Dekkend Stelsel (LDS) van cybersecurity samenwerkingsverbanden. Binnen dit LDS wordt informatie over cybersecurity breder, efficiënter en effectiever gedeeld tussen publieke en private partijen. Dit moet leiden tot een netwerk van schakelorganisaties die organisaties binnen hun onderscheidenlijke doelgroepen zo goed mogelijk kunnen adviseren en ondersteunen op het gebied van digitale veiligheid. Zoals aangegeven in de Kamerbrief van 3 februari jl.2 wordt, gebaseerd ook op aanbevelingen van het WODC, nog steeds gebouwd aan dit stelsel zodat zo veel mogelijk sectoren bereikt kunnen worden.
    Over de voortgang van het LDS zal uw Kamer worden geïnformeerd in de voortgangsrapportage over de Nederlandse Cybersecurity Agenda (NCSA).

  • Vraag 5

    Heeft het Digital Trust Center (DTC) inmiddels een OKTT-status (objectief kenbaar tot taak) mogen ontvangen zodat zij niet-vitale bedrijven kunnen voorzien van dreigingsinformatie? Zo nee, wat is de status, waarom is dit nog steeds niet gebeurd en wat zorgt voor de vertraging? Bent u het met de mening eens dat er snelheid gebaat is bij het toekennen van de OKTT-status aan het DTC, gezien de enorme veiligheidsrisico’s die bedrijven nu lopen?

    Het Digital Trust Center (DTC) van het Ministerie van EZK is op dit moment nog niet krachtens de Wbni als OKTT aangewezen. Door het Ministerie van EZK wordt momenteel gewerkt aan het laten voldoen van het DTC aan de voorwaarden voor die aanwijzing, waaronder het versterken van de juridische basis door middel van een wetsvoorstel. Na aanwijzing zal het DTC gaan beschikken over meer dreigings- en incidentinformatie die met het niet-vitale bedrijfsleven kan worden gedeeld.

  • Vraag 6

    Gelet op deze veiligheidsrisico’s voor duizenden ondernemers, wat is er op korte termijn (wettelijk) nodig om niet-vitale bedrijven toch te kunnen voorzien van dreigingsinformatie?

    De eigen digitale weerbaarheid is primair een eigen verantwoordelijkheid van bedrijven. Het DTC biedt informatie, advies en tools aan om niet vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Voor de stappen die het DTC verder zet, verwijs ik u naar de brief van de Staatsecretaris van EZK aan uw kamer van 16 december jl.3.
    Daarnaast kunnen niet vitale bedrijven ook kennisnemen van de algemene beveiligingsadviezen van het NCSC. Ook kunnen deze bedrijven ervoor kiezen om bijvoorbeeld een computercrisisteam in het leven te roepen, of zich bij een al bestaand computercrisisteam of andere schakelorganisatie aan te sluiten, die deze bedrijven voorziet van voor hen relevante dreigings- en incidentinformatie. Deze schakelorganisaties kunnen bijvoorbeeld ook krachtens de Wbni als computercrisisteam of OKTT worden aangewezen en daardoor informatie van het NCSC ontvangen. Het NCSC en het DTC werken bovendien nauw samen en zijn voortdurend, samen met de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV), telkens in gesprek over de mogelijkheden om binnen het LDS zo veel als mogelijk informatie te delen.
    Voorts werk ik, zoals ook aangegeven bij de antwoorden op de vragen 2 en 3, aan een wetsvoorstel om ervoor te zorgen dat de bevoegdheid van het NCSC om dreigings- en incidentinformatie over de beveiliging- en informatiesystemen van niet-vitale aanbieders aan of ten behoeve van die aanbieders te verstrekken wordt uitgebreid en wordt, zoals in het antwoord op vraag 5 gegeven, gewerkt aan het door het DTC voldoen aan de voorwaarden voor een aanwijzing krachtens de Wbni als OKTT.

  • Vraag 7

    Hoe staat het met de samenwerking tussen het NCSC en samenwerkingsverbanden met een OKTT-status zoals de Nationale Beheersorganisatie Internetproviders? In hoeveel gevallen heeft het NCSC al dreigingsinformatie gedeeld met bedrijven die onderdeel uitmaken van het Nationale Beheersorganisatie Internetproviders?

    Het NCSC deelt met organisaties met een OKTT-status binnen de wettelijke kaders, zoals eerder beschreven, gegevens over dreigingen en incidenten, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties in hun respectievelijke doelgroepen. Daarbij kan het in elk geval ook persoonsgegevens aangaande actoren betreffen, zodat organisaties aan de hand daarvan dreigingen beter kunnen detecteren in hun netwerken. Voor zover de te delen informatie, en in het bijzonder persoonsgegevens, vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de Nationale Beheersorganisatie Internetproviders (NBIP) momenteel niet mogelijk zonder toestemming van de betrokken aanbieders. Gelet hierop heeft de NBIP in de afgelopen periode tot nu toe in een aantal gevallen informatie over dreigingen en incidenten ontvangen.

  • Vraag 8

    Het bovenstaande overwegende, hoe beoordeelt u het huidige vermogen van de Nederlandse overheid om actief dreigingsinformatie te delen met Nederlandse bedrijven? Bent u het met de mening eens dat Nederland achterloopt op dit vlak wanneer wij kijken naar landen om ons heen zoals het Verenigd Koninkrijk?

    Voor het goed functioneren van het Nederlandse cybersecuritystelsel is – zoals ik ook heb aangegeven in voornoemde Kamerbrief van 3 februari jl. – een optimale uitwisseling van informatie over digitale dreigingen, kwetsbaarheden en incidenten tussen de overheid, vitale organisaties en niet-vitale organisaties van groot belang. De in voorgaande antwoorden genoemde wetswijziging zal hieraan bijdragen. Daarbij kijk ik ook steeds naar de wijze waarop andere landen, zoals het VK, hun cybersecuritystelsels hebben ingericht, met als doel lessen daarvan te leren, en te kijken hoe die zouden passen in de Nederlandse bestuurlijke context. In het WODC-rapport over het Landelijk Dekkend Stelsel, dat ik in november 2020 aan uw Kamer heb aangeboden, is bijvoorbeeld een landenstudie opgenomen, waarin is gekeken hoe andere landen informatiedeling hebben vormgegeven, waaronder het Verenigd Koninkrijk.4 Veel landen hebben ook, net als Nederland, documenten als hun nationale cyberstrategie openbaar beschikbaar gemaakt. Naast bilaterale contacten ben ik permanent met Europese lidstaten in gesprek over versterking van de digitale weerbaarheid o.a. in het kader van de besprekingen over de voorgenomen herziening van de richtlijn inzake de beveiliging van netwerk- en informatiesystemen en de Europese cybersecurity strategie. Indien daar aanleiding toe is, zal ik uw Kamer informeren over de bevindingen naar aanleiding van deze contacten.

  • Vraag 9

    Bent u het ook met de mening eens dat dit onacceptabel is gezien de serieuze veiligheidsrisico’s voor onze hoogontwikkelde kenniseconomie? Zo ja, bent u bereid om in gesprek te gaan met uw collega’s uit het Verenigd Koninkrijk? Zo ja, kunt u de Kamer op de hoogte houden van deze gesprekken?

    Zie antwoord vraag 8.

  • Vraag 10

    Bent u bereid om op de korte termijn, gezien de actuele en reële dreiging van cyberaanvallen, maatregelen te nemen die het delen van dreigingsinformatie tussen overheid en niet-vitale bedrijven mogelijk maakt? Zo nee, waarom niet? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

    Ik werk, zoals hierboven is vermeld, aan een wetsvoorstel tot wijziging van de Wbni, om ervoor te zorgen dat meer dreigings- en incidentinformatie met betrekking tot de netwerk- en informatiesystemen van andere aanbieders dan die in de doelgroep van Rijk en vitaal bij deze aanbieders terecht kan komen. Ik streef ernaar om dit voorstel rond de zomer in consultatie te brengen.

1 maart 2021 - 1 april 2021
Een explosieve toename hacks en datadiefstal
Attje Kuiken (PvdA)
Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD)
1. Autoriteit Persoonsgegevens, 1 maart 2021, «AP luidt noodklok: explos…
  • Vraag 1

    Kent u het bericht «AP luidt noodklok: explosieve toename hacks en datadiefstal»?1

    Ja.

  • Vraag 2

    Deelt u de mening dat het verontrustend is dat voor het tweede jaar op rij het aantal incidenten van hacking, phishing of malware om persoonsgegevens buit te maken sterk gestegen is? Zo nee, waarom niet?

    Zoals onder meer gemeld in de Kamerbrief van 9 oktober jl. (Kamerstukken 2019–2020, 26 643, nr. 715) zijn geregistreerde cybercrime (waaronder hacken) en gedigitaliseerde criminaliteit (waaronder online fraude en babbeltrucs) de afgelopen jaren beide gestegen. Sinds het begin van de coronacrisis zijn deze vormen van criminaliteit verder toegenomen. Dat is zorgelijk. Het is niet bekend in hoeveel gevallen er persoonsgegevens zijn overgenomen.

  • Vraag 3

    Heeft u een indicatie in hoeveel gevallen genoemde incidenten leiden tot misdrijven waaronder oplichting en identiteitsfraude?

    Uit de cijfers van de politie, het OM, de Fraudehelpdesk en het Centraal Meldpunt Identiteitsfraude is niet te herleiden welke specifieke hack of datadiefstal ook heeft geleid tot fraude. Ook de AP beschikt niet over informatie over misdrijven die het gevolg zijn van datalekken. Er zijn namelijk verscheidene manieren om aan informatie en persoonsgegevens te komen, denk hierbij aan phishing, het onderscheppen van de post en online gedrag op social media. Bij het plegen van fraude wordt ook vaak gebruik gemaakt van combinaties van meerdere datasets. Bijvoorbeeld wordt een dataset die is gestolen via phishing gecombineerd met de dataset die is gestolen door middel van hacken. Ook kan er veel tijd zitten tussen het moment dat de gegevens worden gestolen en de mogelijke gevolgen, waardoor een direct verband moeilijk aan te tonen is. Daarnaast hebben slachtoffers vaak zelf geen zicht op hoe de fraudeur aan de gegevens is gekomen, waardoor het niet herleidbaar is.

  • Vraag 4

    Deelt u de mening van de voorzitter van de Autoriteit Persoonsgegevens dat organisaties waar mensen hun persoonsgegevens aan toevertrouwen daar niet altijd zorgvuldig mee omgaan? Zo ja, hoe komt dat en hoe gaat u er aan bijdragen dat dat verbeterd gaat worden? Zo nee, waarom niet?

    De AP rapporteert in haar datalekkenrapportage dat 2020 een toename met 30% kende van het aantal hacks dat gericht is op het buitmaken van persoonsgegevens. Die toename kan verschillende oorzaken hebben, waaronder onzorgvuldigheid. De AVG verplicht tot het nemen van technische en organisatorische maatregelen om persoonsgegevens te beveiligen en het verlies van persoonsgegevens te voorkomen. De verbetering hiervan is in belangrijke mate een kwestie van bewustwording. De voorlichtende rol met betrekking tot de AVG ligt primair bij de AP. Daarnaast is vergroting van het privacybewustzijn een van de voornemens uit de Agenda horizontale privacy, waarover ik uw Kamer bij brief van 5 februari jl. (Kamerstukken 2020–21, 34 926, nr. 11) informeerde.

  • Vraag 5

    Bij hoeveel datalekken is de Autoriteit Persoonsgegevens bij gebrek aan capaciteit niet in de staat om daar actie tegen te ondernemen?

    In 2020 ontving de AP 23.976 meldingen van datalekken. Uit de rapportage Datalekken 2020 van de AP blijkt dat de AP in 1.736 gevallen actie heeft ondernomen. Dit kan naar aanleiding van datalekmeldingen zijn, maar ook als de AP een datalek vermoedt door klachten, tips of andere datalekmeldingen.
    Het is niet mogelijk om aan te geven of het niet oppakken van gemelde datalekken te wijten is aan capaciteitsgebrek. Het is immers niet zo dat elke melding automatisch om ingrijpen van de AP vraagt. De AP beoordeelt na binnenkomst van een melding of actie nodig is, waarbij de ernst van het datalek het zwaarstwegende criterium is.

  • Vraag 6

    Deelt u de mening, zoals die mede verwoord is door de Kamer in het debat over het datalek bij de GGD, dat de Autoriteit Persoonsgegevens als de toezichthouder moet meegroeien met de toename van het aantal risico’s waardoor de bescherming van persoonsgegevens steeds meer onder druk komt te staan? Zo ja, hoe gaat u hier en op welke termijn concreet gevolg aan geven? Zo nee, waarom niet?

    In de rapportage Datalekken 2020 van de AP wordt een toename van het aantal meldingen van hacking en malware gemeld van 271 meldingen. Het totaal aantal datalekmeldingen neemt echter af met 2.980 meldingen. Dit impliceert dat niet meer capaciteit nodig is, maar een herprioritering van de bestaande capaciteit. Het is aan de AP om haar capaciteit risico-gestuurd in te zetten.
    Het vergroten van de opdracht aan de AP door toekenning van meer middelen op bijvoorbeeld dit specifieke punt of in totaliteit, zoals is verzocht in de motie van het lid Hijink c.s., vraagt om investeringen en fundamentele beleidskeuzes die aan een volgend kabinet zijn. Zoals ik per brief van 1 maart aan uw Kamer heb laten weten, is het gelet op de demissionaire status van dit kabinet thans niet mogelijk om toezeggingen te doen over de verhoging van het budget van de AP.

18 februari 2021 - 21 juli 2021
Het naleven van de Europese privacyregels van de Algemene verordening gegevensbescherming (AVG) bij (uitvoerings)instanties
Kees Verhoeven (D66)
Ank Bijleveld (minister defensie) (CDA), Wouter Koolmees (minister sociale zaken en werkgelegenheid, viceminister-president ) (D66), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD), Stientje van Veldhoven (staatssecretaris infrastructuur en waterstaat) (D66), Wopke Hoekstra (minister financiën) (CDA), Ankie Broekers-Knol (staatssecretaris justitie en veiligheid) (VVD), Mona Keijzer (staatssecretaris economische zaken) (CDA), Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA), Kajsa Ollongren (viceminister-president , minister binnenlandse zaken en koninkrijksrelaties) (D66)
1. https://nos.nl/artikel/2368185-440-000-euro-boete-voor-olvg-vanwege-o…
2. https://www.tweedekamer.nl/kamerstukken/kamervragen/detail?id=2021Z00…
  • Vraag 1

    Kent u het het bericht «440.000 euro boete voor OLVG vanwege onvoldoende beveiliging medische dossiers»?1

    Ja.

  • Vraag 2

    Bent u bekend met de nog niet beantwoorde schriftelijke vragen van het lid Verhoeven over het niet naleven van de wet en het grootschalig onrechtmatig verzamelen van persoonsgegevens door overheidsinstanties zoals de Belastingdienst, het Centraal Orgaan opvang Asielzoekers (COA), de politie, Defensie, de Inlichtingendiensten en het Uitvoeringsinstituut Werknemersverzekeringen (UWV)?2

    Deze vragen zijn bij brief van 9 april 2021, met kenmerk 2021Z00730, beantwoord.

  • Vraag 3

    Kunt u toelichten of (uitvoerings)instantie Dienst Uitvoering Onderwijs (DUO) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG)? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Dienst Uitvoering Onderwijs (DUO) voert diverse wettelijke taken uit. Voor de uitvoering van deze taken is het noodzakelijk om persoonsgegevens van met name onderwijsdeelnemers, inburgeraars en burgers met een uitstaande studielening te verwerken. De bescherming van die persoonsgegevens staat voor DUO buiten kijf. Met de opdrachtgevende beleidsdepartementen werkt DUO voortdurend samen om te zorgen dat de uitvoering van privacywet- en regelgeving wordt nageleefd. Eind 2016 is DUO gestart met een project om de organisatie per 25 mei 2018 in control te laten zijn ten aanzien van de AVG. Het project is eind 2018 afgerond en de resultaten zijn geïmplementeerd in de dagelijkse uitvoering. DUO is ten aanzien van de privacywetgeving in control op basis van een risicogerichte aanpak en weet wat er gebeuren moet om aan de regels te voldoen. Naleving van de AVG vraagt voortdurend aandacht en inspanning van zowel de eigen organisatie als de opdrachtgevende departementen. Een voorbeeld hiervan is de aanpassing van de wetgeving omtrent het register onderwijsdeelnemers.3
    DUO verricht deze inspanning ook door de processen in de uitvoering regelmatig te herijken op basis van interne en externe signalen. DUO werkt daarbij constructief samen met externe toezichthouders zoals de Autoriteit Persoonsgegevens, de Algemene Rekenkamer en de Audit Dienst Rijk. Daarnaast heeft DUO de afgelopen jaren geïnvesteerd in mensen en middelen om de continue aandacht voor en de ontwikkeling van compliancy aan wet- en regelgeving te borgen. DUO heeft daartoe een privacyorganisatie ingericht en heeft invulling gegeven aan vereisten van de AVG zoals het in dienst hebben van een functionaris gegevensbescherming als interne toezichthouder, het bijhouden van een verwerkingsregister, het melden van datalekken, een Data Protection Impact Assessmentproces en het waarborgen van de rechten van betrokkenen.

  • Vraag 4

    Kunt u toelichten of (uitvoerings)instantie het Centraal Bureau Rijvaardigheidsbewijzen (CBR) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Het Centraal Bureau Rijvaardigheidsbewijzen (CBR) handelt overeenkomstig de beginselen van de Algemene verordening gegevensbescherming (AVG). De taken, verantwoordelijkheden en bevoegdheden zijn formeel vastgelegd in het privacybeleid en in privacyprocessen. Het CBR heeft een functionaris gegevensbescherming die adviseert over en toezicht houdt op de toepassing en naleving van de AVG. Deze functionaris rapporteert rechtstreeks aan de directie. Daarnaast wordt de organisatie ondersteund door een privacyofficer en vijf informatiemanagers die adviseren over en uitvoering geven aan de processen rondom privacy.
    In het privacystatement informeert het CBR de betrokkene over de gegevensverwerking. Een betrokkene kan een beroep doen op het recht van inzage, vernietiging en rectificatie. Verzoeken worden centraal afgehandeld en de betrokkene ontvangt een voor bezwaar en beroep vatbaar besluit. De verwerkingen zijn opgenomen in een register van verwerking. Om de compleetheid en actualiteit van het register te borgen zijn de benodigde processen ingericht. Het CBR heeft op alle verwerkingen die mogelijk een hoog privacyrisico opleveren voor de betrokkene een Data Protection Impact Assessment (DPIA) uitgevoerd. Om te borgen dat voor nieuwe verwerkingen die mogelijk een hoog privacyrisico opleveren een DPIA wordt uitgevoerd, zijn processen ingericht. Ook als de verwerking minder risicovol is, wordt deze getoetst aan de beginselen uit de AVG.
    De privacyrisico’s worden opgenomen in een risicoregister en over de opvolging van maatregelen wordt periodiek aan de directie gerapporteerd. Ook bewustwording onder medewerkers heeft de continue aandacht. Door middel van e-learning, training en gerichte bewustwordingscampagnes wordt de aandacht voor de privacybescherming van klanten onder medewerkers levend gehouden.

  • Vraag 5

    Kunt u toelichten of (uitvoerings)instantie de Sociale Verzekeringsbank (SVB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Sociale Verzekeringsbank (SVB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De SVB heeft binnen haar organisatie een privacystelsel met privacyofficers, een functionaris gegevensbescherming (FG) en privacybeleid ingesteld. Twee processen zijn nog in ontwikkeling en dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Het betreft: 1) het «pseudonimiseren van testdata» en 2) «het bewaren en vernietigen van persoonsgegevens in data van applicaties en in ongestructureerde data». Het voorgaande heeft onder meer te maken met de implementatie van een nieuw Document Management Systeem en met de overgang van testfase naar het in productie nemen van vernietigingsfunctionaliteiten in de systemen van de primaire processen van de SVB.
    De SVB voert op verzoek van het Ministerie van SZW enkele verwerkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. De SVB waarborgt in deze gevallen dat de toestemming kan worden beschouwd als een vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting. Daar waar twijfel kan ontstaan of de grondslag toestemming voldoende is, zal voor de SVB een wettelijke grondslag gecreëerd worden.

  • Vraag 6

    Kunt u toelichten of (uitvoerings)instantie Stichting Inlichtingenbureau persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Het Inlichtingenbureau verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG).

  • Vraag 7

    Kunt u toelichten of (uitvoerings)instantie Translink persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Translink verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De reiziger wordt via het privacystatement geïnformeerd over welke gegevens worden opgeslagen en kunnen worden gedeeld met andere partijen. Conform de eisen van de AVG heeft Translink het privacystatement gepubliceerd op zijn website.
    Translink heeft privacyfunctionarissen aangesteld die toezicht houden op de naleving van de AVG in de organisatie. Er is een verwerkingsregister opgesteld met daarin benoemd de verwerking van gegevens waar Translink verantwoordelijk voor is. Tevens is een protocol voor het melden van datalekken. Nieuwe ontwikkelingen waarbij persoonsgegevens worden verwerkt, worden onderworpen aan een Data Protection Impact Assessment. Het privacybeleid wordt daarnaast jaarlijks besproken met de directie.

  • Vraag 8

    Kunt u toelichten of (uitvoerings)instantie Rijksdienst Wegverkeer (RDW) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Dienst Wegverkeer (RDW) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Er is binnen de RDW een goed functionerende privacyorganisatie ingericht, bestaande uit een team van privacyprofessionals, waaronder een functionaris gegevensbescherming. Samen dragen zij er zorg voor dat zorgvuldig wordt omgegaan met persoonsgegevens. Vast element in de werkwijze van de RDW is het periodiek onderwerpen van verwerkingen aan privacyquickscans en Data Protection Impact Assessments om ervoor te zorgen dat de AVG wordt nageleefd. Er is in de organisatie structureel aandacht voor privacy en transparantie. De rechten van burgers op inzage van eigen gegevens wordt gewaarborgd en gefaciliteerd door bijvoorbeeld het vergemakkelijken van het inzagerecht middels een burgerportaal.
    De RDW laat jaarlijks een onderzoek uitvoeren door een onafhankelijke externe organisatie om vast te stellen of de RDW (nog steeds) voldoet aan de wettelijke privacyregelgeving. Deze externe organisatie heeft recent voor het Basiskentekenregister (BKR), het Centrale Rijbewijzen en Bromfietscertificatenregister (CRB) en het Nationaal Parkeer Register (NPR) geoordeeld dat de RDW opnieuw het keurmerk «Privacy-audit-proof» zal worden verstrekt.

  • Vraag 9

    Kunt u toelichten of (uitvoerings)instantie Immigratie- en Naturalisatiedienst (IND) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Immigratie- en Naturalisatiedienst (IND) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Hiertoe heeft de IND de normen uit de AVG geïmplementeerd met een Privacy Compliance Programma (PCP). Resultaat van dit PCP is een ingericht Privacy Compliance Raamwerk om de normen uit de AVG structureel en in overeenstemming met de governance in de bedrijfsvoering van de IND te borgen. Daarbij is het voldoen aan de AVG, net zoals het voldoen aan veel andere verordeningen en wetten, een doorlopend proces waar de IND iedere dag mee bezig is. De IND is zich ervan bewust dat door de combinatie van reikwijdte van dit proces en menselijk handelen zich continu risico’s kunnen voordoen. De IND stelt echter alles in het werk om de risico’s daarop te beheersen, onder meer door daar via het Raamwerk zicht op te houden en adequate maatregelen te nemen.
    Om ook binnen het primaire processysteem van de IND, INDiGO, te voldoen aan de eisen gesteld door de AVG, is een programma Toegang gestart. Dit programma is eind 2021 afgerond, waarna ook alle technische maatregelen zijn afgerond.

  • Vraag 10

    Kunt u toelichten of (uitvoerings)instantie Dienst Justitiële Inrichtingen (DJI) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Voor de uitvoering van onze wettelijke taken en overeengekomen doelen verzamelt de Dienst Justitiële Inrichtingen (DJI) persoonsgegevens van in- en externe medewerkers, justitiabelen, bezoekers en personen die bijvoorbeeld incidentele werkzaamheden verrichten in de gebouwen van de DJI. De persoonsgegevens, behoudens die van justitiabelen, worden verzameld en verwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Persoonsgegevens van justitiabelen worden verwerkt conform de Wet justitiële en strafvorderlijke gegevens.
    Het borgen van privacy in een organisatie is een continu, cyclisch proces van signaleren, acteren en evalueren. Een organisatie is in control als deze wijze van privacyborging structureel is ingebed in een organisatie. Dat is ook wat de AVG van organisaties vraagt. Bij DJI is dat het geval. DJI is in control ten aanzien van de AVG en de andere vigerende privacywetten, omdat DJI risico's en tekortkomingen monitort en opneemt in een zogenaamde privacyroadmap. Met deze roadmap worden de relevante acties ten aanzien van privacy geprioriteerd en krijgen ze de juiste opvolging in de organisatie. In dat verband zijn bij DJI in de afgelopen jaren zo’n 670 Data Protection Impact Assessments verricht op bestaande en op nieuwe verwerkingen, waarbij vervolgens wordt bezien of en welke beheersmaatregelen getroffen moeten worden. Door middel van het ingerichte privacymanagementsysteem borgt DJI de continuïteit van het in control zijn. Privacyrisico's en -bedreigingen zullen er altijd zijn en in die zin is DJI nooit «klaar» met de AVG of andere privacywetgeving, maar de risico's en de bedreigingen worden door de gehanteerde werkwijze op structurele wijze beheerst en passend gemitigeerd. Op die wijze wordt voldaan aan de vigerende privacywetgeving.

  • Vraag 11

    Kunt u toelichten of (uitvoerings)instantie de Rijksdienst voor Identiteitsgegevens (RvIG) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Rijksdienst voor Identiteitsgegevens (RvIG) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De RvIG verzamelt en verwerkt persoonsgegevens voor verschillende doeleinden waarvoor de juridische grondslag is verankerd in de Wet basisregistratie personen, de Wet algemene bepalingen burgerservicenummer, de Paspoortwet, de Wet basisadministratie persoonsgegevens BES en de AVG zelf.
    Privacy is binnen de RvIG structureel geborgd middels een continue proces van implementatie, monitoring, evaluatie en bijsturing, Voor alle processen en/of systemen en applicaties zijn Data Protection Impact Assessments uitgevoerd als onderdeel van het risicomanagementproces. Dit proces is eveneens cyclisch ingericht.
    Het incident dat aanleiding vormt voor de vraag gaat over informatiebeveiligingsbeleid. De RvIG volgt de verplichtingen die daarover vanuit de Baseline Informatiebeveiliging Overheid en de AVG worden gesteld.

  • Vraag 12

    Kunt u toelichten of (uitvoerings)instantie Raad voor de Kinderbescherming persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Raad voor de Kinderbescherming (RvdK) heeft wettelijke taken en doelen en daartoe worden persoonsgegevens verwerkt. Het betreft persoonsgegevens van cliënten, informanten en medewerkers. De RvdK verzamelt en verwerkt deze gegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacygegevens (AVG).
    De AVG vraagt om structurele borging van privacy in de organisatie. Dat is een continu proces van implementeren, monitoren, evalueren en bijsturen om compliant te zijn. In april 2021 is het beveiligd e-mailen (via Zivver) geïntroduceerd. Door de RvdK wordt een Data Protection Impact Assessments gedaan bij veranderingen in een werkproces, samenwerkingsverband of verandering van ICT-systeem waarbij persoonsgegevens verwerkt worden. Hiermee heeft de RvdK inzicht in de stand van zaken en de te nemen beheersmaatregelen en sluit hij waar nodig nieuwe verwerkingsovereenkomsten af.
    Beheersmaatregelen zijn in een risicomatrix opgenomen en de opvolging daarvan wordt gemonitord in een interne stuurgroep Beveiliging, Integriteit en Privacy. Deze werkwijze zorgt ervoor dat privacyrisico’s in beeld zijn, en de juiste maatregelen getroffen en opgevolgd worden om aan de AVG te blijven voldoen.

  • Vraag 13

    Kunt u toelichten of (uitvoerings)instantie Reclassering Nederland persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Reclassering Nederland verzamelt en verwerkt voor de uitvoering van haar taken persoonsgegevens van haar cliënten, medewerkers en van de personen met wie zij samenwerkt conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). Dit doet zij onder meer door het opstellen van Data Protection Impact Assessments (DPIA’s). Daar waar verbeteringen nodig blijken, worden deze opgepakt, zoals een herziening van het gegevensbeschermingsbeleid. Reclassering Nederland heeft hierbij te maken met een complexe uitvoeringspraktijk.
    Reclassering Nederland vindt gegevensbescherming van haar cliënten van uitermate groot belang. In de uitvoering van haar taken voor een veiliger Nederland binnen de strafrechtketen wordt in toenemende mate een beroep op de reclassering gedaan om persoonsgegevens van haar cliënten met andere instanties te delen, al dan niet in samenwerkingsverbanden zoals in de Zorg- en Veiligheidshuizen. Er is wetgeving in voorbereiding die recht doet aan de bijzondere rol van Reclassering Nederland in de strafrechtketen en waardoor persoonsgegevens van cliënten niet meer onder werkingssfeer van de AVG zullen vallen, maar onder de werkingssfeer van de Europese Richtlijn gegevensbescherming politie en justitie.
    Een belangrijke factor in de gegevensbescherming is het menselijk handelen. Reclassering Nederland heeft de afgelopen jaren daarom naast het treffen van technische en organisatorische maatregelen, onder meer geïnvesteerd in bewustwording en training van haar medewerkers.

  • Vraag 14

    Kunt u toelichten of (uitvoerings)instantie Centraal Administratie Kantoor (CAK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Het Centraal Administratie Kantoor (CAK) verzamelt en verwerkt persoonsgegevens grotendeels conform de Europese privacyregels zoals vastgelegd in de Algemene verordening privacyregels (AVG). De juiste toepassing van de AVG is ingebed in de bedrijfsvoering. Het CAK beschikt over een actueel register van verwerkingen, een PIA-register, een werkende datalekprocedure en verwerkingsovereenkomsten met leveranciers. Het CAK heeft verder organisatorische maatregelen getroffen, zoals de aanstelling van een (onafhankelijke) functionaris gegevensbescherming als interne toezichthouder, de aanstelling van een coördinerend Privacy Officer en de inrichting van een privacygilde. Op het gebied van accesmanagement (toegang tot data) voldoet het CAK nog niet volledig aan de AVG en kunnen verbeteringen worden doorgevoerd. Logging en monitoring zijn momenteel nog niet ingericht. De invulling van genoemde onderwerpen staat voor 2021 geagendeerd.

  • Vraag 15

    Kunt u toelichten of het openbaar ministerie (OM) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Het openbaar ministerie (OM) verwerkt voor de uitvoering van zijn wettelijke taken een grote hoeveelheid gegevens. Het OM heeft daarbij naast de Algemene verordening gegevensbescherming (AVG) te maken met de Wet politiegegevens en de Wet justitiële en strafvorderlijke gegevens. Binnen het OM zijn verscheidene processen en procedures ingericht waarmee uitvoering wordt gegeven aan de vereisten van deze privacywetgeving en om hierin inzicht te verkrijgen en behouden. Zo worden door het OM Data Privacy Impact Assessments (DPIA’s) uitgevoerd, waarmee vooraf risico’s van een gegevensverwerking in kaart zijn gebracht om risico’s in de systemen te mitigeren, en zijn organisatorische en technische vereisten opgesteld ten behoeve van de gegevensbescherming. Hier is bij het ontwerp uitgegaan van privacy by design en default, en deze uitgangspunten zijn vervolgens geïmplementeerd in de onderliggende ICT-systemen. Hoewel reeds een groot aantal veranderingen in werking is gesteld en er nieuwe processen en handvatten zijn ontwikkeld, is het een omvangrijke opgave om volledig inzicht te verkrijgen en te behouden. Het OM zet zich ervoor in dat daar continue aandacht voor blijft bestaan. Met name de grote hoeveelheid (gevoelige) gegevens die verwerkt wordt binnen het OM en die inherent is aan het primaire proces van de strafrechtspleging (en de andere toebedeelde wettelijke taken), maakt dat dit een voortdurend proces is.

  • Vraag 16

    Kunt u toelichten of (uitvoerings)instantie Centraal Justitieel Incassobureau (CJIB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Algemene verordening gegevensbescherming (AVG) is bij het Centraal Justitieel Incassobureau (CJIB) van toepassing op een klein deel van de verwerkingen, waarvoor het CJIB ook niet altijd zelf verwerkingsverantwoordelijk is. Alleen voor de bedrijfsvoeringsprocessen en de verwerkingen in het kader van de Wet administratiefrechtelijke handhaving verkeersvoorschriften is het CJIB zelf verantwoordelijk. Voor de overige verwerkingen treedt het CJIB slechts op als verwerker.
    De verzameling en verwerking waarvoor het CJIB zelf verwerkingsverantwoordelijk is, geschiedt conform de Europese privacyregels zoals vastgelegd in de AVG. De grootste uitdaging op het gebied van privacy is het in kaart brengen en houden van de risico’s die verwerkingen met zich meebrengen. Op dit onderwerp is het CJIB in control doordat er doorlopend Data Privacy Impact Assessments (DPIA’s) worden uitgevoerd, zowel op nieuwe verwerkingen als op reeds bestaande verwerkingen. In het kader van nieuwe verwerkingen kent het CJIB een Privacy by Design proces. Dit is een bestaand proces dat ook onderhavig is aan doorontwikkeling op basis van geleerde lessen. De DPIA’s op bestaande verwerkingen zijn uitgevoerd en worden periodiek herijkt om de actuele risico’s in kaart te houden.
    Voor de verwerkingen waarvoor het CJIB als verwerker is aan te merken, heeft het CJIB te voldoen aan de eisen die de verwerkingsverantwoordelijke stelt. Het CJIB voldoet aan de opdrachten die door de verwerkingsverantwoordelijke worden gegeven. Deze opdrachten moeten conform de Europese privacyregels zoals vastgelegd in de AVG worden gegeven.

  • Vraag 17

    Kunt u toelichten of de (uitvoerings)instantie Fiscale Opsporingsdienst (FIOD) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De werkzaamheden van de Fiscale inlichtingen- en opsporingsdienst (FIOD) als bijzondere opsporingsdienst vallen in beginsel onder de werking van de Wet politiegegevens. Slechts enkele werkzaamheden vallen onder de werking van de Algemene verordening gegevensbescherming (AVG).
    De FIOD verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de AVG. Afgezien van verwerking vanwege een gerechtvaardigd belang (bijvoorbeeld in het kader van de bedrijfsvoering of in hoedanigheid als werkgever) gebeurt dat ter ondersteuning van de wettelijke taken van de Belastingdienst zoals het registreren van aanmeldingen van strafrechtelijke signalen, het verwerken van signalen van grensoverschrijdende btw-fraude, het verwerken van gegevens omtrent mogelijke integriteitsschendingen en de informatievoorziening ten behoeve van toezicht en opsporing.
    De verwerkingen die binnen samenwerkingsverbanden worden uitgevoerd en die onder gezamenlijke verwerkingsverantwoordelijkheid plaatsvinden staan (nog) niet opgenomen in het AVG-register van de FIOD. Dit wordt op korte termijn aangepast.

  • Vraag 18

    Kunt u toelichten of (uitvoerings)instantie Waternet persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Het verzamelen en verwerken van persoonsgegevens door Waternet en het toezien of deze organisatie voldoet aan de Algemene verordening gegevensbescherming (AVG) behoort niet tot de systeemverantwoordelijkheid of ministeriële verantwoordelijkheid van de Minister van Infrastructuur en Waterstaat in het kader van de Wet beveiliging netwerk en informatiesystemen (Wbni), de Drinkwaterwet of de Waterwet.

  • Vraag 19

    Kunt u toelichten of (uitvoerings)instantie het Kadaster persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    Het Kadaster verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Het is een onderwerp dat continu de aandacht van het Kadaster heeft. De privacyorganisatie binnen het Kadaster bestaat naast de functionaris gegevensbescherming en privacyofficers ook uit AVG-ambassadeurs. Door de toenemende mate van het kennis- en bewustzijnsniveau onder de medewerkers van het Kadaster worden datalekken snel herkend en gemeld. Verzoeken van betrokkenen met betrekking tot hun rechten op grond van de AVG worden door de juridische afdeling behandeld.
    De Data Protection Impact Assessments (DPIA’s), die in 2018 en 2019 op grond van artikel 35 AVG verplicht zijn opgesteld, zijn in 2020 en 2021 opnieuw uitgevoerd voor het Kadaster. Daarnaast worden alle nieuwe en huidige diensten/processen en systemen met persoonsgegevens verwerkingen binnen het Kadaster, standaard voorzien van een Quick scan DPIA en indien nodig een uitgebreide DPIA. Hierdoor kan tijdig Privacy by Design en Default worden toegepast en worden de persoonsgegevensverwerkingen beoordeeld op het in lijn zijn met de beginselen van de AVG.
    De gegevens van de Quick scan DPIA en uitgebreide DPIA worden automatisch overgenomen in het Register van Verwerkingen zodat bij wijzigingen het Register wordt geactualiseerd. Alle risico’s die in de DPIA’s zijn geconstateerd worden opgenomen in het risicomanagementproces en zijn onderdeel van de rapportage- en monitoringcyclus.
    Bij het verstrekken van persoonsgegevens aan derden wordt naast de relevante wetgeving, het verstrekkingsbeleid van het Kadaster gevolgd. Per aanvraag wordt getoetst of voldaan wordt aan de beginselen van de AVG, zoals grondslag, doelbinding en dataminimalisatie.

  • Vraag 20

    Kunt u toelichten of (uitvoerings)instantie Raad voor Rechtsbijstand persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Raad voor Rechtsbijstand (RvR) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). Zo verwerkt en verzamelt de RvR persoonsgegevens in het kader van de wettelijke taken die de RvR opgedragen heeft gekregen. De RvR houdt zich ook aan alle overige relevante wet- en regelgeving op het gebied van gegevensbescherming. De RvR werkt vanuit de visie «hart voor de burger», hetgeen naadloos aansluit bij de doelstelling van de AVG waarin de bescherming van de rechten van betrokkenen centraal staat.
    In 2019 is bij het Ministerie van Justitie en Veiligheid gemeld dat de RvR het AVG-implementatietraject heeft afgerond en compliant is aan de AVG. Via de reguliere P&C-cyclus rapporteert de RvR het ministerie onder meer over de stand van zaken met betrekking tot de AVG. Meerdere onafhankelijke oordelen (extern door accountancy audit en intern door het jaarverslag van de functionaris gegevensbescherming) ondersteunen het beeld van het compliant zijn.
    Omdat er continu ontwikkelingen zijn die privacyaspecten hebben, zijn er altijd verbeter- en ontwikkelmogelijkheden. Bij de RvR zijn de belangrijkste ontwikkelingen in het kader van de AVG met name gelegen op het gebied van gegevensuitwisselingen en het actueel houden van afspraken met ketenpartners, de ontwikkelingen met betrekking tot het snel veranderende digitale landschap en de beoogde veranderingen in het rechtsbijstandsstelsel.

  • Vraag 21

    Kunt u toelichten of De Nederlandsche Bank (DNB) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Nederlandse Bank (DNB) verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG). De verwerking van persoonsgegevens door DNB geschiedt dan ook met grote zorgvuldigheid. Dat betekent onder meer dat DNB niet meer persoonsgegevens verwerkt dan nodig voor het gestelde doel. Ook beveiligt DNB persoonsgegevens goed. Daartoe treft DNB fysieke maatregelen (bijvoorbeeld door documenten op te slaan in afgesloten kasten), logische maatregelen (bijvoorbeeld door de toegang tot persoonsgegevens te beperken), technische maatregelen (bijvoorbeeld versleuteling) en procedurele maatregelen (bijvoorbeeld door bewustwordingsprogramma’s voor medewerkers over zorgvuldige omgang met informatie).
    DNB heeft daarnaast een functionaris gegevensbescherming aangesteld van wie de verantwoordelijkheden en bevoegdheden als onafhankelijke interne privacytoezichthouder in een statuut zijn vastgelegd en die eenmaal per kwartaal verslag uitbrengt aan de directie. Ook heeft DNB een privacybeleid gedocumenteerde processen voor het behandelen van datalekken en beantwoorden van onder andere inzageverzoeken. Tevens wordt er een register bijgehouden van de verwerkingsactiviteiten die onder de verantwoordelijkheid van DNB plaatsvinden.

  • Vraag 22

    Kunt u toelichten of de (uitvoerings)instantie Kamer van Koophandel (KvK) persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Kamer van Koophandel (KVK) beheert het handelsregister en is ten aanzien van de verwerkingen van persoonsgegevens ten behoeve van dit register verwerkingsverantwoordelijke.
    De registratie, openbaarheid en verstrekking van gegevens zijn primair geregeld in de Handelsregisterwet en het Handelsregisterbesluit. Het beleid ten aanzien van registratie, openbaarheid en verstrekking van gegevens is om te beginnen een kwestie voor de nationale wetgever, maar wordt daarnaast sterk beïnvloed door Europese regelgeving zoals de Algemene verordening gegevensbescherming (AVG) maar ook door de Digitaliseringsrichtlijn, de Witwasrichtlijn en de Richtlijn inzake hergebruik van overheidsinformatie. De Europese regelgeving bevat steeds meer verplichtingen omtrent openbaarheid en ontsluiting van gegevens. De KVK wordt zodoende als uitvoeringsorganisatie geraakt door een veelheid aan regelgeving gerelateerd aan de diverse doelen die worden gediend met de in het Handelsregister geregistreerde gegevens en de verschillende belangen die worden gediend met beschikbaarheid of juist afscherming daarvan.
    Voor de naleving van de wettelijke regels voor bescherming van persoonsgegevens valt de KVK onder het toezicht van de Autoriteit Persoonsgegevens (AP). KVK behandelt de persoonsgegevens die zij verwerkt met grote zorgvuldigheid en neemt daarbij de beginselen van de AVG in acht. Eind 2019 heeft de AP aangegeven een positieve indruk te hebben van het door KVK ingezette proces om de privacy van ingeschrevenen van het Handelsregister te waarborgen. Uw Kamer is destijds geïnformeerd over de uitkomsten van dit traject4 dat heeft geleid tot de sindsdien gevolgde bestendige werkwijze.

  • Vraag 23

    Kunt u toelichten of de Koninklijke Marechaussee persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    De Koninklijke Marechaussee verzamelt en verwerkt persoonsgegevens conform de Europese privacyregels zoals vastgelegd in de Algemene verordening gegevensbescherming (AVG) of de Wet Politiegegevens (Wpg). Welk wettelijk kader gevolgd dient te worden, is afhankelijk van de uit te voeren taak. Wanneer bij gegevensverwerkingen mogelijk sprake is van een hoog privacyrisico voor betrokkenen, voert de Koninklijke Marechaussee daarop Data Protection Impact Assessments (DPIA’s) uit. Dat laatste blijft een doorlopend proces.

  • Vraag 24

    Kunt u toelichten of het Uitvoeringsinstituut werknemersverzekeringen persoonsgegevens verzamelt en verwerkt conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoet de organisatie nog niet?

    In de uitvoeringstoets Algemene verordening gegevensbescherming (AVG) van 15 september 2017 heeft het Uitvoeringsinstituut werknemersverzekeringen (UWV) aangegeven nog niet direct en volledig te kunnen voldoen aan de AVG bij invoering op 25 mei 2018. Dit is aan uw Kamer gemeld in de stand van de uitvoering van juli 2018. Vorig jaar is aan uw Kamer gemeld dat het systeem SONAR niet aan de AVG voldoet en vervangen moet worden. Het UWV werkt hard om aan de AVG te voldoen. De aanpassing en vervanging van systemen die niet privacy by design en privacy by default zijn, vergt echter de nodige tijd. Inzet op aanpassing van ICT-systemen volgens AVG-richtlijnen zal daarbij in samenhang moeten worden gezien met het implementeren van andere noodzakelijke maatregelen gericht op stabiliteit, continuïteit, vernieuwing en de implementatie van nieuwe of veranderde wet- en regelgeving.
    Het UWV voert op verzoek van het Ministerie van SZW enkele verstrekkingen in het kader van dienstverlening uit op basis van de verwerkingsgrondslag toestemming. Deze toestemming moet volledig vrijelijk gegeven kunnen worden. Door de (gepercipieerde) machtsverhouding tussen overheid en burger is het gebruik van toestemming twijfelachtig en soms zelfs ontoereikend. Uw Kamer is hierover geïnformeerd via de Stand van de Uitvoering van juni 2020. Zodoende zal voor deze gevallen een wettelijke grondslag gecreëerd worden. In het belang van de continuïteit van de dienstverlening aan cliënten van het UWV zal het UWV de verstrekkingen op grond van toestemming blijven uitvoeren totdat een wettelijke grondslag gecreëerd is.

  • Vraag 25

    Kunt u toelichten of woningcorporaties persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

    Woningcorporaties zijn zelfstandige, private organisaties die in het kader van hun wettelijke taken op grond van de Woningwet en ter uitvoering van huurovereenkomsten persoonsgegevens verwerken. Indien woningcorporaties persoonsgegevens verwerken of doen verwerken zijn zij als zelfstandige organisatie verwerkingsverantwoordelijke op grond van de Algemene verordening gegevensbescherming (AVG), zodat zij zelf moeten voldoen aan de normen die volgen uit de AVG en de UAVG. De Minister van Binnenlandse zaken en Koninkrijksrelaties houdt daarop geen toezicht, omdat het gaat om private organisaties. Dit toezicht is belegd bij de Autoriteit Persoonsgegevens.

  • Vraag 26

    Kunt u toelichten of zorginstellingen persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

    Zorginstellingen zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet gegevensbescherming (AVG). Dit betekent dat het de verantwoordelijkheid van de zorginstelling is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de AVG. De Autoriteit Persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door de zorginstellingen.

  • Vraag 27

    Kunt u toelichten of zorgverzekeraars persoonsgegevens verzamelen en verwerken conform de Europese privacyregels zoals vastgelegd in de AVG? Zo nee, op welke onderdelen voldoen deze organisaties nog niet?

    Zorgverzekeraars zijn zelfstandig verwerkingsverantwoordelijk in de zin van de Algemene wet persoonsgegevens (AVG). Dit betekent dat het de verantwoordelijkheid van de zorgverzekeraar is om ervoor te zorgen dat de verwerking van persoonsgegevens voldoet aan de privacywetgeving. De Autoriteit persoonsgegevens is belast met het toezicht op de naleving van de privacywetgeving door zorgverzekeraars.

  • Vraag 28

    Bent u het ermee eens dat de «Wet Gegevensverwerking Samenwerkingsverbanden» (WGS) tot doel heeft dat in de toekomst grote hoeveelheden persoonsgegevens worden verzameld en gedeeld tussen en met een groot aantal instanties in een viertal samenwerkingsverbanden (het Financieel Expertise Centrum (FEC), infobox voor Crimineel en Onverklaarbaar Vermogen (iCOV), de Regionaal Informatie en Expertise Centra (RIEC’s) en de ZVH’s), en dat dus alle betrokken organisaties vóór een eventuele inwerkingtreding van de Wet gemeentelijke schuldhulpverlening (WGS) eerst moeten voldoen aan de privacyregels van de AVG omdat één zwakke schakel de hele keten in gevaar brengt? Zo nee, waarom niet?

    Elke gegevensverwerking door samenwerkingsverbanden onder de WGS moet voldoen aan de AVG. De waarborgen van de AVG, zoals rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimale gegevensverwerking, juistheid, opslagbeperking, integriteit en vertrouwelijkheid, zijn onverkort van toepassing. In aanvulling daarop bevat de WGS specifieke bepalingen (met name 1.8 e.v.) over waarborgen. Op grond hiervan kunnen bij AMvB nadere voorwaarden en beperkingen worden gesteld aan verwerkingen van gegevens. Bij die AMvB zullen aspecten als kwaliteit en betrouwbaarheid van de gegevens een plek krijgen. Overigens zijn onder het wetsvoorstel de deelnemers aan een samenwerkingsverband gezamenlijk verwerkingsverantwoordelijk, zodat elke deelnemer op grond van artikel 82 AVG aansprakelijkheid draagt wanneer een verwerking inbreuk zou maken op de AVG.

17 februari 2021 - 18 maart 2021
De telefonische bereikbaarheid in Overijssel.
Hilde Palland (CDA), Joba van den Berg-Jansen (CDA)
Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 810
  • Vraag 1

    Deelt u de mening dat in heel Nederland, dus ook in de buitengebieden, de internetdekking en telefonische bereikbaarheid optimaal dienen te zijn?

    Ja. In de Nota Mobiele Communicatie is dit ook benoemd, evenals de uitdagingen bij het realiseren van mobiele netwerkdekking.1

  • Vraag 2

    Herinnert u nog dat de leden van de CDA-fractie in het algemeen overleg Telecommunicatie (11 juni 2020), het verslag van het algemeen overleg Telecommunicatie (29 oktober 2020) en in schriftelijke Kamervragen (15 oktober 2020)1 aandacht hebben gevraagd voor de telefonische bereikbaarheid in Overijssel, in het bijzonder in en om de dorpen Vilsteren en Hoge Hexel?

    Ja.

  • Vraag 3

    Wat is de stand van zaken omtrent de plaatsing van een opstelpunt met mast bij Hoge Hexel door KPN, waarvan u op vraag negen van voornoemde Kamervragen antwoordde dat hiervoor een vergunning is afgegeven en dat dit opstelpunt «naar verwachting ergens in de komende maanden zal worden geplaatst»?

    Ik heb van KPN begrepen dat zij voornemens is om aan het einde van het tweede kwartaal van dit jaar het opstelpunt realiseren.

  • Vraag 4

    Wat is de stand van zaken omtrent de situatie en ontwikkelingen in Vilsteren, waarvan u in antwoord op vraag negen van voornoemde Kamervragen aangaf dat u nog in afwachting was van respons van de gemeente Ommen?

    Ik heb over de situatie in Vilsteren contact gehad met zowel mobiele netwerkaanbieders als de gemeente Ommen. Er wordt (h)erkend dat de dekking in Vilsteren niet optimaal is. Mogelijke oorzaken hiervan zijn het licht glooiende terrein rond Vilsteren en de aanwezige bebossing. Ik heb in mijn contact met de gemeente Ommen gewezen op de handleiding van Agentschap Telecom.3 Die is onder meer bedoeld om gemeenten handvatten te geven bij het verbeteren van mobiele netwerkdekking. Ik heb begrepen dat de gemeente Ommen met mobiele netwerkaanbieders een plaatsingsplangesprek heeft gevoerd zoals ook wordt genoemd in voornoemde handleiding van Agentschap Telecom en het Antenneconvenant.4 Het verbeteren van de dekking heeft de aandacht van mobiele operators. De plannen zijn vooralsnog echter niet zo concreet als met betrekking tot Hoge Hexel.

16 februari 2021 - 17 mei 2021
Snel internet voor iedereen.
Joba van den Berg-Jansen (CDA)
Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 810
2. Kamerstuk 24 095, nr. 434
3. Dialogic, 16 december 2019 «Notitie Outlook Digitale Infrastructuur N…
  • Vraag 1

    Deelt u de mening dat het in de digitale toekomst belangrijk is dat iedereen digitaal mee kan doen, dat in heel Nederland de internetdekking optimaal en de digitale voorzieningen voor iedereen betaalbaar en bereikbaar moeten zijn?

    Ja.

  • Vraag 2

    Wanneer ontvangt de Kamer de actualisatie van de breedbandkaart, waarvan u in de beantwoording van eerdere Kamervragen1 aangaf dat dit «in het eerste kwartaal van 2021» of «eerder indien mogelijk» zou zijn?

    De geactualiseerde breedbandkaart is inmiddels gepubliceerd en is te benaderen via de website overalsnelinternet.nl. De nieuwe kaart toont de beschikbaarheid van snel vast internet in Nederland in 2020. In een Kamerbrief die gelijktijdig met de beantwoording van deze vragen aan de Kamer is gestuurd, wordt nader ingegaan op de laatste stand van zaken aangaande de beschikbaarheid van snel vast internet.

  • Vraag 3

    Acht u «nauwlettend monitoren», zoals u op vraag 8 van eerdergenoemde vragen antwoordt, voldoende om te bewerkstelligen dat conform de gewijzigde motie Van den Berg2 eind 2023 tenminste 99,5 procent maar uiteindelijk 100 procent van de adressen in Nederland kan beschikken over snel internet van ten minste 100 megabit per seconde (Mbps)?

    Naast het nauwlettend monitoren van de voortgang van de uitrol van snel vast internet met een snelheid van ten minste 100 Mbps, faciliteer ik ook in de kennisuitwisseling tussen provincies en sta ik samen met het Ministerie van BZK en Europa Decentraal de lokale overheden bij in advies over de Europese staatssteunkaders. Ik ben in overleg getreden met provincies over de voortgang van de uitrol van snel internet in de verschillende buitengebieden. Daarbij zijn de resultaten uit de 2020 inventarisatie naar vaste breedbanddekking en de prognose richting 2023 besproken en zijn onderling kennis en ervaringen uitgewisseld. Met de provincies is afgesproken dat we tenminste op kwartaalbasis met elkaar in gesprek blijven. Daarbij zal ik waar nodig en wenselijk ondersteunen door middel van het inbrengen van specifieke kennis en advies.

  • Vraag 4

    Zou in plaats van alleen «nauwlettend monitoren» een aanjagende houding niet wenselijker zijn om de doelstelling van snel internet voor daadwerkelijk iedereen op tijd te halen? Waarom wel of niet?

    De inzet is om de connectiviteitsdoelstelling te behalen en iedereen van snel internet te voorzien. Onlangs informeerde ik uw Kamer in mijn brief van 6 mei jl.4 over de recente marktstudie van de ACM5 naar de uitrol van glasvezel in Nederland die laat zien dat in 2020 aanzienlijk meer glasvezel naar woningen is uitgerold dan in voorgaande jaren. In de afgelopen jaren is gebleken dat de markt in staat is om op basis van commerciële modellen grote delen van de buitengebieden in Nederland van snel vast internet te voorzien. Dit komt ook naar voren in de marktstudie van de ACM. De uitrol in het buitengebied door marktpartijen vindt momenteel nog steeds plaats, ook in (een deel van) de buitengebieden die door bureau Dialogic in haar prognose uit 2019 als uitdagend werden aangemerkt. Tegelijkertijd zijn er ook (delen van) buitengebieden waar de aanleg aanvankelijk was aangekondigd of gestart, maar waar de uitrol is gestaakt omdat ontsluiting van het gebied toch te kostbaar of ingewikkeld is gebleken. De uitrol door de markt bleek dus in de praktijk enerzijds gunstiger dan gedacht, maar anderzijds ook weerbarstiger. Deze combinatie van meevallers en tegenvallers maakt nog eens duidelijk dat het van belang is extra aandacht te blijven besteden aan de uitdagende buitengebieden en dat de ontsluiting daarvan veelal lokaal maatwerk vraagt.
    Er lopen op dit moment bij diverse provincies acties om al dan niet met behulp van praktische dan wel financiële steun, de adressen in de moeilijke buitengebieden alsnog van snel internet te voorzien. Daar waar de markt de uitrol uiteindelijk niet oppakt, bestaat er de mogelijkheid voor lokale overheden om staatssteun te verlenen. Zoals benoemd, gaat het bij de ontsluiting van de overgebleven gebieden veelal om lokaal maatwerk, waarbij de geschikte oplossing onder meer afhankelijk is van de kosten van aanleg en de reeds aanwezige infrastructuur waar al dan niet op aangekoppeld kan worden. Dit was reeds in 2010 al door de Taskforce Next Generation Networks benoemd, alsmede het advies dat waar de markt het niet oppakt, er een rol ligt voor lokale overheden om de uitrol van snel internet te bevorderen.
    Ik heb afgesproken met provincies om de voortgang en resultaten van die acties in de periodieke overleggen met elkaar te bespreken, om zo na te gaan welke aanpakken succesvol blijken en eventueel bruikbaar zijn in andere provincies. Daarbij merk ik wel op dat de brede toepasbaarheid van een bepaalde aanpak kan worden bemoeilijkt, vanwege lokale maatwerkaspecten, Waar nodig en wenselijk, zal ik provincies ondersteunen door middel van het inbrengen van specifieke kennis en advies.

  • Vraag 5

    In hoeverre is en blijft het uiteindelijk de marktdynamiek die bepaalt waar en op welke termijn snel internet wordt aangelegd? Wat en hoe groot kan en mag de rol van de overheid in uw ogen zijn, zowel landelijk als lokaal?

    Zie antwoord vraag 4.

  • Vraag 6

    Denkt u dat de gebieden waarvan onderzoeks- en adviesbureau Dialogic eind 2019 aangaf dat deze lastig te ontsluiten zijn (circa 1.200 woonadressen in Zuid-Limburg, 7.000 woonadressen in Zeeland, 4.000 woonadressen op de Zuid-Hollandse eilanden en 1.300 woonadressen op de Hollandse kusten)3 alsnog gebaat zouden kunnen zijn bij overheidsinterventie wanneer uitrol van snel internet daar niet van de grond komt?

    Zie antwoord vraag 4.

  • Vraag 7

    Op welke manier(en) zouden gemeentes kunnen worden geholpen bij het creëren van de juiste randvoorwaarden tegen welke snel internet overal in een gemeente kan worden aangelegd, wetende dat Dialogic concludeerde dat «er specifieke lokale redenen zijn waarom uitrol in deze (moeilijker te ontsluiten) gebieden lastig is»? Gaat het hier voornamelijk om budget of bijvoorbeeld ook om kennis en kunde?

    Er kunnen inderdaad specifieke lokale redenen zijn die de uitrol in de lastig te ontsluiten buitengebieden bemoeilijken. In haar prognose noemt Dialogic de aanwezigheid van bepaalde natuurlijke eigenschappen, zoals grondsoort of eilandenstructuur, die de aanleg van snel vast internet in die gebieden minder rendabel maken dan andere buitengebieden. In haar beleidsaanbevelingen noemen de onderzoekers dat lokale overheden de uitrol in deze gebieden kunnen bevorderen door bijvoorbeeld marktpartijen te faciliteren in de uitrol door het hanteren van kostendekkende en uniforme tarieven voor leges en graaf- en herstelwerkzaamheden en te bezien of slimme totaalafspraken kunnen worden gemaakt over graafdiepte, coördinatie van werkzaamheden en toezicht. De ACM noemt in haar glasvezelmarktstudie ook het belang van uniforme gemeentelijke voorwaarden, die ervoor zorgt dat marktpartijen hun uitrol beter kunnen plannen en uitbreiden. Via een werkgroep «vaste connectiviteit» wordt reeds samengewerkt tussen Rijk, gemeenten en marktpartijen aan concrete acties rond graafwerkzaamheden, ter bevordering van de soepele uitrol van telecomnetwerken op lokaal niveau. Mocht blijken dat de markt de uitrol in deze lastige gebieden niet door de markt worden opgepakt, dan bestaat er de mogelijkheid voor lokale overheden om staatssteun te verlenen, waarbij ik hen waar nodig en wenselijk van specifieke kennis en advies kan voorzien.

  • Vraag 8

    Wanneer is dit onderwerp voor de laatste keer besproken met de Vereniging Nederlandse Gemeenten, het Interprovinciaal Overleg en/of markpartijen? Bent u bereid het op korte termijn opnieuw te agenderen gelet op het belang van snel internet voor bijvoorbeeld online (thuis)werken en online (thuis)onderwijs krijgen tijdens de coronacrisis?

    Medio februari ben in overleg getreden met provincies over de voortgang van de uitrol van snel internet in de verschillende buitengebieden. Daarbij was, namens een groot deel van de marktpartijen, ook branchevereniging NLConnect aanwezig. Volgend op dat overleg heb ik begin maart in kleiner comité met een aantal provincies doorgepraat over de specifieke situatie in hun provincies. Verder staan er voor dit jaar nog 3 overleggen met provincies op de agenda, waarvan de eerstvolgende in juni zal plaatsvinden. Met de VNG ben ik, via diverse overlegstructuren, doorlopend in gesprek over de soepele uitrol van snel internet op lokaal niveau. Bijvoorbeeld via de werkgroep «vaste connectiviteit», zoals genoemd in het antwoord op de vorige vraag.

15 februari 2021 - 19 april 2021
Kwetsbaarheden in de cybersecurity van scanners in de Rotterdamse haven
Kathalijne Buitenweg (GL)
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)
1. NRC Handelsblad, 12 februari 2021, «Scanners in Rotterdamse haven broos voor Chinese spionage»
2. Financieele Dagblad, 11 februari 2021, «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»
  • Vraag 1

    Bent u bekend met het bericht «Scanners in Rotterdamse haven broos voor Chinese spionage»?1

    Ja.

  • Vraag 2

    Bent u voorts bekend met het bericht «Veiligheidsdiensten slaan alarm wegens Chinese cyberdreiging»?2

    Ja.

  • Vraag 3

    Wat is uw appreciatie van de gezamenlijke waarschuwing van de AIVD, MIVD en de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) in het FD artikel dat digitale spionage uit China een onmiddellijke dreiging vormt voor de Nederlandse economie en dat de vitale infrastructuur regelmatig doelwit is van cyberaanvallen? Deelt u deze zorgen?

    Digitale spionage is een belangrijke dreiging voor de nationale veiligheid, zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA)3. Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen4. Onderdeel van deze aanpak is dat zowel op nationaal als op EU-niveau maatregelen worden genomen om de weerbaarheid van de vitale infrastructuur te versterken. In het Dreigingsbeeld Statelijke Actoren en de genoemde Kamerbrief komt deze dreiging, en de maatregelen die we hier tegen nemen, uitgebreid aan bod.

  • Vraag 4

    Klopt het dat de helft van de grote scanners in de Rotterdamse haven zijn geleverd door het Chinese bedrijf Nuctech? Zo ja, hoe verhoudt dit gegeven zich tot uw antwoord op vraag 3?

    Ja, in de Rotterdamse haven zijn zeven grote ladingscanners geïnstalleerd, waaronder vier van Nuctech. Douane Nederland (hierna: de Douane) besteedt structureel – ongeacht welke leverancier scan apparatuur levert – aandacht aan de bescherming en beveiliging van gegevens. Tevens laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. De opdracht voor dit onderzoek is in september geïnitieerd nadat de Douane signalen ontving over de Nuctech scanners en het onderzoek zal in maart starten. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Verwacht wordt dat de resultaten van het onderzoek in de zomer beschikbaar zijn. Daarnaast wordt in samenspraak met andere relevante overheidspartijen aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.

  • Vraag 5

    Vindt u het wenselijk om in de vitale infrastructuur gebruik te maken van Chinese leveranciers? Zo ja, welke veiligheidswaarborgen zijn er om Chinese leveranciers te screenen?

    Een open economie, een open wetenschappelijk klimaat en vrijhandel liggen sinds jaar en dag aan de basis van het Nederlandse verdienvermogen en onze sterke positie. Nederland profiteert van de kansen en mogelijkheden die dit biedt; hierdoor kan Nederland gebruik maken van hoogwaardige materialen, technologie en kennis die in het buitenland – waaronder in China – wordt ontwikkeld.
    Ook voor de vitale infrastructuur is het wenselijk dat gebruik wordt gemaakt van kwalitatief hoogwaardige producten en diensten. Aangezien geen land beschikt over alle kennis en productiemiddelen om technologisch onafhankelijk te opereren, is een afhankelijkheid van buitenlandse technologie dan ook een gegeven. Naast de genoemde kansen, bestaat echter ook het risico dat met technologische toeleveringen de digitale spionage- en sabotagemogelijkheden toenemen5.
    Om de weerbaarheid tegen deze dreiging te vergroten werkt de Minister van Justitie en Veiligheid samen met partners binnen en buiten de overheid aan de aanpak statelijke dreigingen, waarover uw Kamer op 3 februari j.l. de laatste stand van zaken heeft ontvangen6. Bij elke casus moet worden bezien hoe risico’s voor de nationale veiligheid beheersbaar kunnen worden gemaakt. Dit vergt een gedetailleerde analyse van de te beschermen belangen, de dreiging en de (huidige) weerbaarheid.
    Met betrekking tot het door uw Kamer genoemde vraagstuk is specifiek het overheidsbeleid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit ten aanzien van nationale veiligheidsrisico’s verscherpt inkoop en aanbestedingsbeleid is eind 2018 geïmplementeerd voor de rijksoverheid.
    Ter ondersteuning van dit beleid is instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het nemen van mitigerende maatregelen. Behoeftestellende partijen zijn zelf verantwoordelijk voor de toepassing van dit instrumentarium en het meewegen van nationale veiligheidsrisico’s. Het instrumentarium is ter beschikking gesteld binnen de rijksoverheid en medeoverheden, alsmede aan organisaties die onderdeel zijn van de vitale processen.

  • Vraag 6

    Wordt er, in navolging van het beleid rond het 5G-netwerk, ook in andere sectoren, zoals die van beveiligingsapparatuur, gewerkt met lijsten van onbetrouwbare leveranciers? Zo ja, op welke manier wordt dit vormgegeven? Zo nee, waarom niet?

    Voor de telecomsector is een structureel proces ingericht waarin samen met relevante stakeholders bekeken wordt op welke manier de telecomnetwerken ook in de toekomst weerbaar kunnen blijven tegen veranderingen in het dreigingsbeeld en technologische ontwikkelingen. De focus ligt hierbij op het doen van risicoanalyses, het inzichtelijk maken van afhankelijkheden, en het in kaart brengen waar adaptieve maatregelen mogelijk zijn. De komende periode wordt in kaart gebracht wat er nodig is om deze structurele aanpak op telecom te verbreden naar andere vitale processen.
    Bij de beoordeling van risico’s ten aanzien van spionage, beïnvloeding of sabotage door statelijke actoren of andere partijen bij (digitale) producten hanteert het kabinet de overwegingen die zowel bij c20007 als bij de veiligheid van de telecomnetwerken8 zijn gebruikt:
    Deze risico’s worden op een zeer zorgvuldige en case-by-case-basis bezien.

  • Vraag 7

    Hoe beoordeelt u de uitspraak van de directeur van de Nederlandse tak van Nuctech dat de Chinese overheid zich niet met Nuctech bemoeit? Vindt u dit geloofwaardig, ook gezien het feit dat het staatsbedrijf China National Nuclear Corporation (CNNC) een van de aandeelhouders is?

    In algemene zin kan worden gesteld dat de Chinese overheid nauw betrokken is bij het Chinese bedrijfsleven, zowel via staatsbedrijven als private bedrijven, en dat er sprake is van nauwe verwevenheid tussen civiele en militaire sectoren in China. Dit wordt ook beschreven in de beleidsnotitie «Nederland-China: een nieuwe balans»9. Specifiek zien we dat het CNNC 21% aandeel heeft in de voornaamste aandeelhouder van Nuctech (Tongfang Co. Ltd., met een aandeel van 76%). Het CNCC heeft daarmee dus indirect 15,96% aan aandelen in Nuctech.

  • Vraag 8

    Wat is uw reactie op klachten van concurrenten dat Nuctech onder de kostprijs levert dankzij Chinese staatssteun? Heeft u signalen die deze klachten ondersteunen? Hoe staat het in dit kader met het voorstel voor eenlevel playing field instrument dat het Nederlandse kabinet heeft ingebracht bij de Europese Commissie? Welke mogelijkheden zijn er momenteel voor aanbestedende diensten om mogelijk ongeoorloofde staatssteun mee te nemen in de aanbestedingsprocedure?

    Zoals ook aangegeven in het antwoord op vraag 7, is het niet uit te sluiten dat er (indirecte) invloed is vanuit de Chinese overheid op dit bedrijf. In bredere zin zijn er al langere tijd zorgen over bedrijven die op de interne markt concurreren met staatssteun uit derde landen. Daarom heeft de Staatssecretaris van Economische Zaken in 2019 het voorstel voor een level playing field instrument gedaan, voor het realiseren van een gelijk speelveld op de interne markt om in te kunnen grijpen bij verstorende effecten van subsidies van derde landen. Mede op basis hiervan heeft de Europese Commissie in de zomer van 2020 een witboek gepresenteerd over het gelijktrekken van het speelveld op de interne markt in relatie tot overheidssubsidies uit derde landen. Zie in dit verband ook de kabinetsreactie op het Commissievoorstel COM (2020 253 – Witboek over buitenlandse subsidies op de interne markt)10. Een concreet wetgevend voorstel wordt verwacht in het tweede kwartaal van 2021.
    De Europese aanbestedingsrichtlijnen bieden aanbestedende diensten mogelijkheden voor omgang met inschrijvingen met een abnormaal lage prijs. In Nederland zijn die richtlijnen omgezet in de Aanbestedingswet 2012. Aanbestedende diensten moeten op basis van artikel 2.116 van die wet bij een inschrijving die abnormaal laag lijkt, nader onderzoek doen door de betreffende onderneming te vragen om uitleg over hoe de prijs tot stand is gekomen. Wanneer een inschrijver het lage niveau van de voorgestelde prijs niet goed kan onderbouwen met bewijsmateriaal, kan de aanbestedende dienst deze inschrijving ter zijde leggen. Abnormaal lage inschrijvingen als gevolg van niet-naleving van verplichtingen op het gebied van milieu, sociaal en arbeidsrecht moeten zelfs door de aanbestedende dienst ter zijde worden gelegd. Dit geldt voor alle inschrijvingen, ongeacht het land van herkomst van de inschrijver. Dit draagt bij aan een gelijk speelveld voor ondernemers. De Europese richtlijnen bieden aanbestedende diensten momenteel geen mogelijkheden om ongeoorloofde staatssteun uit derde landen mee te nemen in de aanbestedingsprocedure. In het witboek stelt de Commissie een mogelijke toekomstig instrument voor, dat voorziet in een meldplicht voor ondernemingen die mogelijk overheidsondersteuning uit een derde land genieten wanneer zij op de interne markt inschrijven op een aanbesteding.

  • Vraag 9

    Deelt u de mening van de experts waar NRC mee sprak dat, ondanks de toezegging van de douane dat de scans in eigen beheer worden geëxploiteerd op een gesloten datanetwerk, de beveiliging van de Nuctech scanners toch kwetsbaar is? Zo nee, waarom niet?

    In algemene zin valt te zeggen, dat een maatregel zoals het afsluiten van het netwerk altijd onderdeel is van een breed pakket van beheersmaatregelen die zowel preventie, detectie als (incident) response omvatten.
    Zoals bij vraag 4 is aangegeven, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Het doel van het onderzoek is om inzicht te verschaffen in het niveau van de informatiebeveiliging van de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting. Ook wil de Douane geïnformeerd worden over mogelijke risico’s en advies over eventuele mitigerende maatregelen. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen.

  • Vraag 10

    Klopt het dat monteurs van defecte scanners in principe een mobiele dataverbinding met het hoofdkantoor kunnen opzetten om zo de problemen snel te verhelpen? Zo ja, bent u bereid om de deze mogelijkheden stop te zetten?

    In geval van software storingen wordt bij scanners die hierover beschikken gebruik gemaakt van een remote verbinding. Dit betreft ongeveer een derde van de storingen op deze scans. Monteurs kunnen hierbij een storing met behulp van een beveiligde verbinding op afstand oplossen om de storing zo snel mogelijk te verhelpen.
    Zoals ook vermeld bij de beantwoording van vraag 4 en 9, laat de Douane een externe audit uitvoeren op de scan- en detectiesystemen en daaraan gerelateerde IT-inrichting, om te verzekeren dat de scan- en detectieprocessen zo veilig mogelijk zijn ingericht. Daarnaast wordt in samenspraak met andere relevante overheidspartijen een aanvullend onderzoek uitgevoerd, waarin de resultaten van deze externe audit worden meegenomen. De remote verbinding voor onderhoud wordt in afwachting van het extern onderzoek niet stilgezet, omdat het opheffen hiervan het risico met zich meebrengt dat scanapparatuur langdurig in storing blijft staan. Als dat gebeurt kent het scanproces geen voortgang en nemen de risico’s op de invoer van verdovende middelen toe.

  • Vraag 11

    Deelt u de mening van de aangehaalde experts dat het feit dat de servers van verschillende scannerfabrikanten in één ruimte zijn gehuisvest een kwetsbaarheid met zich meebrengt? Zo ja, bent u bereid om de servers van elkaar te scheiden? Zo nee, waarom niet?

    Deze mogelijke kwetsbaarheid is eerder gesignaleerd en daarom is het initiatief gestart om de beveiliging van deze servers te optimaliseren. In 2021 wordt de ruimte waarin de verschillende servers staan omgebouwd naar een computerruimte met alle bijbehorende aanvullende veiligheidsmaatregelen. Als het externe onderzoek van de Douane daartoe aanleiding geeft, zullen tevens aanvullende aanpassingen worden verricht.

  • Vraag 12

    Hoe is het toegangsbeheer tot de scanners, zowel tot die van Nuctech als tot die van andere leveranciers, geregeld?

    Monteurs hebben zelfstandig toegang tot de scanapparatuur. De monteur staat altijd geregistreerd bij de Douane bij onderhoud aan de scanners. Bij preventief (gepland) onderhoud zijn de bezoeken contractueel vastgelegd, in overleg met de Douane en de containerterminal. Als de monteur correctief (ongepland) onderhoud bij een storing moet uitvoeren, wordt er een werkvergunning bij de containerterminal aangevraagd. In beide gevallen vindt het onderhoud plaats in afstemming met medewerkers van Douane. Tevens zijn bij alle scans op de containerterminals camera’s geïnstalleerd waarmee de systeemoperator van de Douane zicht heeft op de scanapparatuur. In het geval dat de monteur in de serverruimte van het Douanekantoor Maasvlakte moet zijn, moet de monteur zich altijd melden bij de systeemoperator van Douane. Die verleent de monteur toegang aan de serverruimte.

  • Vraag 13

    Klopt het dat een Verklaring Omtrent het Gedrag (VOG) volstaat om toegang te krijgen tot de scanners in de haven, terwijl de toegang tot gevoelige apparatuur op Schiphol een Verklaring van Geen Bezwaar (VGB) vereist? Zo ja, wat is de reden voor dit verschil?

    Er zijn geen uniforme eisen aan de toegang tot apparatuur voor havens en luchthavens. Onder andere op basis van de locatie en de toepassing van apparatuur wordt aan de hand van het risico vastgesteld wat voor restricties er gelden voor fysieke toegang tot de apparatuur en wat er nodig is om informatie te beveiligen.

  • Vraag 14

    Klopt het ook dat de aanbestedingseisen op het gebied van cybersecurity voor ict-apparatuur op de luchthavens strenger zijn dan die voor ict-apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de aanbestedingseisen voor de havens aan te scherpen?

    Zoals genoemd in het antwoord op vraag 5 is het beleid van de rijksoverheid dat nationale veiligheidsoverwegingen worden meegewogen bij de inkoop en aanbesteding van producten en diensten relevant. Bij de aanschaf van gevoelige apparatuur zal volgens dit beleid bij aanschaf en implementatie rekening gehouden worden met zowel eventuele risico’s in relatie tot de leverancier, als met het concrete gebruik van de systemen, bijvoorbeeld waar het gaat om de toegang tot systemen door derden. Dit geldt zowel voor de apparatuur van de rijksoverheid op havens als op luchthavens.
    Voor bedrijven worden geen specifieke eisen gesteld vanuit de overheid ten aanzien van de aanbesteding voor de aanschaf van ICT-apparatuur op havens en luchthavens. Het in het antwoord op vraag 5 genoemde instrumentarium dat organisaties ondersteunt in het meewegen van nationale veiligheidsrisico’s bij inkoop en aanbesteding is ter beschikking gesteld aan organisaties die onderdeel vormen van de vitale processen.

  • Vraag 15

    Klopt het dat beveiligingsprotocollen met betrekking tot het testen van apparatuur en het valideren van updates voor apparatuur op de luchthavens verregaander zijn dan die voor apparatuur in de havens? Zo ja, wat is de reden voor dit verschil? Bent u bereid om de beveiligingsprotocollen voor apparatuur in de havens aan te scherpen?

    Er is geen uniform protocol voor havens of luchthavens ten aanzien van de beveiliging van netwerk- en informatiesystemen. De inhoud van een beveiligingsprotocol hangt sterk af van de te beschermen bedrijfsprocessen en de specifieke risico’s die daarbij een rol spelen. Aanscherping van een beveiligingsprotocol in de havens vraagt om maatwerk van de bedrijven in havens zelf. De overheid controleert het proces waarmee havens en luchthavens risico’s in kaart brengen en maatregelen vaststellen om mogelijke risico’s te beheersen.

9 februari 2021 - 18 maart 2021
Berichten die bij de SP-fractie zijn binnengekomen over compensatie voor vergunninghouders radiofrequenties
Frank Futselaar (SP)
Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. N.a.v. berichten die bij de SP-fractie zijn binnengekomen over compensatie voor vergunninghouders radiofrequenties, lijst met afzenders onderhands meegezonden
  • Vraag 1

    Kunt u een overzicht geven van het onderzoek naar de mogelijkheid om voor vergunninghouders van landelijke, regionale en lokale FM-frequenties, ter compensatie van de coronacrisis, de vergunning te verlengen met tenminste twee jaar?1

    In de motie Van den Berg c.s.2 wordt de regering verzocht om in overleg met de sector te komen tot een verlenging van de bestaande FM-licenties voor commerciële radiostations. In mijn brief aan uw Kamer van 11 november 20203 heb ik u laten weten dat in reactie op deze motie overga tot een tijdelijke (nood)verlenging van de bestaande commerciële radiovergunningen voor FM met een termijn van minimaal twee jaar tot 1 september 2024. Deze termijn kan oplopen tot drie jaar indien na onderzoek duidelijk wordt dat een dergelijke termijn proportioneel is in verhouding tot het gestelde doel.
    Een van de elementen die voor de verlenging van de bestaande vergunningen noodzakelijk is, is de berekening van de verlengingsprijzen. Ik heb daartoe aan SEO Economisch Onderzoek te Amsterdam (SEO) opdracht verstrekt. De verwachting is dat in april, begin mei er meer duidelijkheid ontstaat over de hoogte van de verlengingsprijzen en de vergunningen voor welke deze prijzen moeten gaan gelden. Het gaat hierbij conform de motie om bestaande FM-vergunningen voor landelijk en regionaal gebruik met daaraan gekoppeld spectrum voor digitale radioomroep.

  • Vraag 2

    Kunt u aangeven of het klopt dat deze compensatie geen tegemoetkoming biedt voor vergunninghouders met een vergunning voor Laagvermogen Middengolf (LM)? Zo nee, kunt u aangeven op welke wijze vergunninghouders met een LM-vergunning worden gecompenseerd? Zo ja, bent u bereid te onderzoeken op welke wijze deze vergunninghouders wel kunnen worden gecompenseerd?

    De radiosector heeft zelf aangegeven dat zij in plaats van overheidssteun in de vorm van geld graag hun bestaande FM-vergunningen verlengd wilde hebben4. De sector heeft aangegeven dat het op deze wijze makkelijker wordt om additionele financiering rond te krijgen om daarmee de coronacrisis door te komen.
    Zoals hierboven reeds aangegeven heb ik aan de wens van de sector en uw Kamer gehoor gegeven en wordt er uitvoering gegeven aan de motie Van den Berg c.s. teneinde tijdig de noodzakelijke verlengbaarheidsbesluiten te kunnen publiceren.
    De vergunningen voor Laagvermogen Middengolf (LM) zijn op volgorde van binnenkomst uitgegeven voor een termijn van vijf jaar en worden normaliter op grond van artikel 3.17 van de Telecommunicatiewet na afloop van de vergunningstermijn van rechtswege met een periode van vijf jaar verlengd5. Aangezien voor deze vergunningen een ander wettelijk regime van toepassing is, is hiervoor geen afzonderlijk verlengbaarheidsbesluit noodzakelijk en zal er ook geen verlengingsprijs in rekening worden gebracht. Het onderzoek van SEO strekt zich dan ook niet uit tot deze vergunningen.
    De vergunninghouders van LM kunnen dus van hun vergunningen gebruik blijven maken. Daarnaast kunnen alle radiopartijen -waaronder de vergunninghouders van LM – gebruik maken van het bestaande pakket aan steunmaatregelen. Het steun- en herstelpakket voor economie en arbeidsmarkt is op 21 januari 20216 verder verruimt om bedrijven zoveel mogelijk te ondersteunen in deze moeilijke tijden. Ik zie dan ook geen redenen om deze categorie vergunninghouders op een afzonderlijke wijze te compenseren.

  • Vraag 3

    Kunt u aangeven of, en zo ja op welke wijze, ook lokale vergunninghouders van Digital Audio Broadcasting (DAB) worden meegenomen bij het onderzoek naar de mogelijkheid deze te compenseren voor de gevolgen van de coronacrisis?

    Conform het advies van de Taskforce Radio is om vooruitlopend op de afronding van de internationale onderhandelingen een gedeelte van de digitale laag 6 tijdelijk uit te gegeven voor lokaal gebruik. Het uitgeven van laag 6 (of gedeeltes daarvan) vooruitlopend op de definitieve resultaten van de internationale frequentiecoördinatie heeft wel als consequentie dat het onzeker is of hetgeen tijdelijk aan frequentierechten wordt uitgegeven, overeenstemt met het uiteindelijke resultaat van de onderhandelingen. Er is daarom gekozen voor een tijdelijke uitgifte tot en met uiterlijk 31 augustus 2022. Na deze termijn zal de beschikbare frequentieruimte opnieuw worden uitgegeven onder nieuwe voorwaarden conform de resultaten van de internationale onderhandelingen. Dit betekent dat na 31 augustus 2022 de lokale commerciele digitale vergunningen niet verlengd kunnen worden. Deze vergunningen maken derhalve evenmin onderdeel uit van het door SEO uitgevoerde onderzoek naar de verleningsprijzen.

  • Vraag 4

    Deelt u de mening dat ook kleine vergunninghouders (LM & DAB) worden getroffen door teruglopende inkomsten als gevolg van de coronacrisis? Zo nee, waarom niet?

    De coronacrisis is inmiddels verworden tot ook een langlopende economische crisis, waarbij veel ondernemers en werkenden hard zijn getroffen, zo ook de kleine vergunninghouders (LM & DAB). Ook het kabinet blijft zich daarom in deze moeilijke fase in de bestrijding van het coronavirus onverminderd inspannen om baanbehoud en bedrijvigheid te ondersteunen. Het is om deze reden dat het kabinet besloten heeft het steunpakket voor banen en economie banen en economie fors uit te breiden7.

  • Vraag 5

    Deelt u de mening dat, omdat de LM-vergunningen in principe al verlengd worden en een verlenging voor lokale DAB-frequenties wellicht onmogelijk is omdat het misschien in 2028 stopt, er een andere vorm van compensatie nodig is? Zo nee, waarom niet?

    Op 5 oktober 20208 heeft het onafhankelijk Adviescollege «Toekomstbeleid Commerciële Radio» advies uitgebracht. De verschillende vraagstukken in het radiodossier, waaronder het toepasselijk verdeelinstrument, zijn in samenhang met elkaar door dit college onderzocht. Ook lag bij dit college de vraag voor wanneer afschakeling van frequentieruimte voor commerciële analoge radio aan de orde is. Het college constateert dat de toekomst van radiodistributie onmiskenbaar in het digitale domein lig. Conform het advies van de Taskforce Radio ben ik overgegaan tot de uitgifte van een extra landelijke digitale laag (laag 7) en zal in 2022 ook de digitale laag 6 – die beter geschikt is voor lokaal gebruik – definitief worden uitgegeven. Op deze wijze zal de transitie van analoge naar digitale radioomroep geleidelijk vorm worden gegeven. Belangstellenden voor een vergunning voor digitale radio met lokaal bereik kunnen bij de start van de aanvraagperiode in 2022 een aanvraag indienen en hebben op deze wijze de mogelijkheid om een vergunning voor een langere periode te verkrijgen. Bij de tijdelijke uitgifte van de lokale DAB frequenties tot 1 september 2022 is hierover duidelijk gecommuniceerd richting partijen. Het toekennen van compensatie – al dan niet op basis van de coronacrisis – is niet in lijn hiermee.

  • Vraag 6

    Bent u bereid deze vergunninghouders een alternatieve vorm van compensatie te bieden, bijvoorbeeld door een tijdelijke vrijstelling van de kosten voor het Commissariaat voor de Media en het Agentschap Telecom? Zo nee, waarom niet?

    Ook deze vergunninghouders kunnen gebruik maken van het bestaande pakket aan steunmaatregelen dat nog doorloopt tot het tweede kwartaal van 2021. Een tijdelijke vrijstelling van de (toezichts)kosten verschuldigd aan Agentschap Telecom is daarom niet aan de orde. Voor vrijstelling van de kosten voor het Commissariaat voor de Media moeten partijen zich wenden tot de Minister voor Basis- en Voortgezet Onderwijs en Media.

26 januari 2021 - 8 april 2021
De uitrol van 5G
Chris Stoffer (SGP)
Tamara van Ark (minister zonder portefeuille volksgezondheid, welzijn en sport) (VVD), Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. J.W. Frank, 19 januari 2021, Electromagnetic fields, 5G and health: w…
  • Vraag 1

    Heeft u kennisgenomen van het essay van prof. John Wiliam Frank in de Journal of Epidemiology & Community Health waarin hij pleit voor betere toepassing van het voorzorgsprincipe bij de uitrol van 5G?1

    Ja, daar heb ik kennis van genomen.

  • Vraag 2

    Deelt u zijn constatering dat er steeds meer bewijs is dat blootstelling aan hoogfrequente elektromagnetische velden behorend bij de uitrol van 5G mogelijk negatieve biologische effecten heeft?

    De conclusies en adviezen in dit artikel komen niet overeen met die van de collectieven van wetenschappelijke experts (zoals de WHO, ICNIRP en de Gezondheidsraad) die de onderzoeksliteratuur systematisch beoordelen en die ik voor de beleidsvorming als uitgangspunt neem.

  • Vraag 3

    Hoe waardeert u de constatering dat de advisering door en de richtlijnen van de International Commission on Non-Ionizing Radiation Protection/World Health Organization zich ten onrechte beperken tot de thermische effecten van elektromagnetische straling?

    De stelling dat de onafhankelijke internationale wetenschappelijke organisatie «bewijzen voor niet-thermische effecten negeert» is onjuist. Om gezondheidsschade van sterke elektromagnetische velden te voorkomen heeft ICNIRP, de door de WHO erkende internationale commissie die zich bezighoudt met de bescherming tegen mogelijke gezondheidseffecten van niet-ioniserende straling, blootstellingslimieten opgesteld voor radiofrequente elektromagnetische velden. Deze limieten beschermen (ruim) tegen opwarmingsschade aan het lichaam door een te hoge blootstelling aan radiofrequente elektromagnetische velden.2 De blootstellingslimieten zijn vijftig keer lager dan het niveau waarbij in onderzoek gezondheidseffecten optraden.3 De limieten zijn door ICNRIP vastgesteld op basis van alle beschikbare wetenschappelijke onderzoeken naar allerlei denkbare mogelijke gezondheidseffecten van blootstelling aan elektromagnetische velden. Alleen de schadelijke effecten op de gezondheid als gevolg van overmatige opwarming worden als voldoende bewezen geacht om daarvan blootstellingslimieten af te leiden. De blootstellingslimieten van ICNIRP zijn overgenomen in de aanbevelingen door de Raad van de Europese Unie met het oog op de beperking van blootstelling van de bevolking aan elektromagnetische velden4 en worden ook toegepast bij het voldoen aan de productveiligheidseisen voor apparatuur die in de handel wordt gebracht.5 Nederland hanteert, net als veel andere EU-lidstaten, deze blootstellingslimieten. De website van ICNIRP vermeldt dat zij wordt gefinancierd door nationale en publieke instellingen en een streng beleid van transparantie en onafhankelijkheid hanteert. Alle financiën van ICNIRP, inclusief donaties, zijn openbaar, evenals de persoonlijke belangen van de leden.6
    ICNIRP doet uitvoerig meta-onderzoek op het gebied van elektromagnetische velden en gezondheid.7 In maart 2020 zijn deze limieten laatstelijk bevestigd en gepreciseerd op basis van de actuele stand van de wetenschap.8 ICNIRP heeft in de nieuwe blootstellingslimieten extra rekening gehouden met het gebruik van hogere frequenties ten behoeve van nieuwe technologieën (zoals 5G) en heeft om de gezondheidsbescherming verder te borgen nieuwe eisen toegevoegd ter limitering van de temperatuurstijging in het lichaam.9 Uit zeer uitvoerige meta-analyse van ICNIRP blijkt dat er geen wetenschappelijke basis is om te concluderen dat er bij blootstelling aan deze elektromagnetische velden met veldsterktes ónder deze limieten gezondheidsschade optreedt.10 ICNIRP heeft daarbij rekening gehouden met de wetenschappelijke kwaliteit en de onzekerheden van de door hen beoordeelde onderzoeken. De Gezondheidsraad adviseert om de nieuwste ICNIRP-richtlijnen in Nederland te gebruiken als basis voor het blootstellingsbeleid. Op 25 mei 2020 oordeelde de rechtbank dat het Nederlandse telecombeleid gebaseerd is op deugdelijke én actuele onderzoeken van deskundigen. De rechtbank concludeerde bovendien dat de gehanteerde strenge blootstellingslimieten en het toezicht daarop in orde zijn en dat de Staat het zogenoemde voorzorgsbeginsel naleeft.11

  • Vraag 4

    Hoe waardeert u zijn pleidooi om eerst meer onafhankelijk onderzoek te doen naar de gezondheidseffecten alvorens het 5G-netwerk met hoogfrequente elektromagnetische velden uit te rollen?

    Zoals aangegeven in de kabinetsreactie12 op het Gezondheidsraadadvies komt de Gezondheidsraad in zijn rapport tot de conclusie dat het beschikbare wetenschappelijke onderzoek laat zien dat een verband tussen frequenties die voor 5G gebruikt (zullen) worden en ziekten niet is aangetoond en ook niet waarschijnlijk is. Frequenties zoals de 700 MHz-band en de 3,5 GHz-band zijn al jaren in gebruik voor de huidige telecommunicatiesystemen of andere toepassingen zoals WiFi, zonder dat dit heeft geleid tot bewezen gezondheidsschade. Uit wetenschappelijke onderzoeken zijn geen bewijzen gevonden voor negatieve effecten op de gezondheid onder de internationaal gehanteerde blootstellingslimieten. Volgens de WHO, Europese Commissie en ICNIRP is er op dit moment geen aanleiding om te veronderstellen dat het gebruik van de 26 GHz-band bij blootstelling onder de limieten negatieve gezondheidseffecten oplevert.13 Zoals eerder aangegeven heeft ICNIRP in de nieuwe blootstellingslimieten extra rekening gehouden met het gebruik van hogere frequenties ten behoeve van nieuwe technologieën.14 Ook bij het gebruik van 5G-technieken dient de blootstelling onder de geldende blootstellingslimieten te blijven. Agentschap Telecom houdt toezicht op de blootstellingslimieten en doet veldsterktemetingen door het gehele land om te controleren of de blootstellingslimieten niet worden overschreden.15 De werkelijk gemeten blootstelling door AT ligt over het algemeen een factor 10 onder de blootstellingslimieten. Dit geldt ook voor metingen aan 5G-systemen.16
    Het kabinet zal zoals geadviseerd door de Gezondheidsraad inzetten op meer onderzoek. De komende jaren worden meer onderzoeksresultaten verwacht, bijvoorbeeld van het internationale epidemiologisch onderzoeksproject COSMOS17 waaraan Nederland deelneemt. Dit betreft een zeer groot internationaal cohortonderzoek waarin enkele honderdduizenden mensen gevolgd worden, met als doel lange termijn gezondheidseffecten te achterhalen. Dit zogeheten COSMOS-project loopt in ieder geval tot 2023. Daarnaast wordt in 2022 een uitgebreide wetenschappelijke analyse van de WHO verwacht. In navolging van de aanbevelingen in het advies van de Gezondheidsraad, beziet het kabinet op dit moment hoe het een extra bijdrage kan leveren aan (internationaal) onderzoek dat zich richt op gezondheidseffecten van blootstelling aan elektromagnetische velden in de 26 GHz-band en scenariostudies om de blootstelling van individuen als gevolg van draadloze communicatiesystemen (3G, 4G en 5G) zichtbaar te maken.
    Het kabinet houdt de vinger aan de pols en blijft de nieuwste wetenschappelijke resultaten volgen. Het Kennisplatform EMV en organisaties zoals het RIVM, Gezondheidsraad en GGD’en spelen een belangrijke rol in de advisering en ontsluiting van kennis op het gebied van EMV. In het Kennisplatform EMV18 werken RIVM, TNO, DNV GL, GGD GHOR Nederland, Agentschap Telecom en ZonMw samen om wetenschap te duiden en kennis te ontsluiten voor burgers, professionals, werknemers en lagere overheden.

  • Vraag 5

    Gaat u zorgen voor meer onderzoek naar de gezondheidseffecten – thermische en niet-thermische – van hoogfrequente elektromagnetische straling bij de verwachte blootstelling in de toekomst? Zo ja, hoe?

    Zie antwoord vraag 4.

  • Vraag 6

    Wat betekent het genoemde onderzoek voor de uitrol van het 5G-netwerk in Nederland?

    Zie antwoord vraag 4.

15 januari 2021 - 9 april 2021
Het bericht dat Huawei in technologie investeert voor de etnische profilering van Oeigoeren
Kathalijne Buitenweg (GL), Tom van den Nieuwenhuijzen-Wittens (GL)
Mona Keijzer (staatssecretaris economische zaken) (CDA), Sigrid Kaag (minister zonder portefeuille buitenlandse zaken) (D66), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)
1. https://www.volkskrant.nl/nieuws-achtergrond/onderzoeksbureau-chinese…
  • Vraag 1

    Heeft u kennisgenomen van het bericht «Onderzoeksbureau: Chinese techbedrijven bezig met etnisch profileren, Oeigoeren zijn doelwit», in de Volkskrant van 14 januari 2020?1

    Ja.

  • Vraag 2

    Klopt het dat Huawei en andere Chinese tech-bedrijven investeren in technologie om Oeigoeren te kunnen identificeren op foto’s en videobeelden?

    In algemene zin is bekend dat China inzet op het verkrijgen van hoogwaardige kennis en technologie. Zoals ook opgenomen in het Dreigingsbeeld Statelijke Actoren kan deze kennis en technologie worden ingezet voor ongewenst eindgebruik, bijvoorbeeld voor militaire of surveillancetoepassingen.

  • Vraag 3

    Vindt u het acceptabel dat bedrijven investeren in technologie die specifiek is gericht op het identificeren van bepaalde etnische groepen? Is dit naar uw mening verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen?

    Discriminatie op basis van etniciteit, of welke grond dan ook, is niet verenigbaar met mensenrechten en maatschappelijk verantwoord ondernemen. Er zijn vanuit diverse mensenrechtenorganen zorgen geuit over het gebruik van biometrische data die noodzakelijk zijn voor de ontwikkeling en inzet van gezichtsherkenningssoftware, en de impact daarvan op, bijvoorbeeld, het recht op een persoonlijke levenssfeer en non-discriminatie.
    Met betrekking tot het gebruik van gezichtsherkenningssoftware waarbij dit wordt ingezet ter herkenning van gezichten van bepaalde bevolkingsgroepen, dient opgemerkt te worden dat op grond van internationale mensenrechtenverdragen het niet is toegestaan een onderscheid te maken op basis van bijvoorbeeld, ras2, afkomst of etniciteit.
    Indien er derhalve bij de inzet van gezichtsherkenning, en bij het gebruik van de gegevens die hierbij verzameld kunnen worden, door bedrijven onderscheid gemaakt wordt op grond van etniciteit of gezichtsherkenningssoftware wordt ingezet die enkel gericht is op de specifieke herkenning van gezichten van bepaalde etnische groeperingen, dan is dat in strijd met internationale mensenrechtenverdragen.

  • Vraag 4

    Welke verbanden ziet u tussen het gebruik van surveillance technologie en de onderdrukking van Oeigoeren in China?

    Online censuur is een gegeven waar Chinese internetgebruikers dagelijks mee te maken hebben. Maar ook m.b.v. het gebruik van big data, camera’s met gezichtsherkenning en grootschalige, onvrijwillige afname van vingerafdrukken, irisscans en DNA van personen tussen de 12 en 65 jaar, lijken Chinese autoriteiten in toenemende mate controle na te streven onder meer over de Oeigoerse minderheid.

  • Vraag 5

    Bent u bereid om opheldering te vragen bij Huawei Nederland en hen te verzoeken om publiekelijk afstand te nemen van technologie gericht op de identificatie van etnische kenmerken, en van het gebruik van surveillancetechnologie bij de onderdrukking van Oeigoeren?

    Huawei heeft zijn positie in deze kwestie gecommuniceerd via een verklaring op de website van Huawei Nederland.3 Het bedrijf stelt onder andere dat «de applicatie niet geïmplementeerd [is] in de praktijk» en dat «onze technologieën niet [zijn] ontworpen om etnische groepen te identificeren». Het kabinet kan deze uitleg van Huawei op basis van eigen informatie niet bevestigen. Het Ministerie van Buitenlandse Zaken heeft het onderwerp van het mogelijke misbruik van de gezichtsherkenningssoftware aan de orde gesteld tijdens een recent gesprek met het bedrijf. Huawei heeft daarbij aangegeven dat dit ingaat tegen het beleid van het bedrijf. Medewerkers van het Ministerie van Buitenlandse Zaken gaan over dit onderwerp op korte termijn nog uitgebreider in gesprek met Huawei. Daarbij zullen ook de zorgen van het kabinet worden overgebracht.

  • Vraag 6

    In hoeverre worden gezichtsherkenningscamera’s van Chinese tech-bedrijven gebruikt in Nederland? Vindt u het gebruik daarvan wenselijk?

    Hoewel er vanuit diverse mensenrechtenorganisaties zorgen zijn geuit over het gebruik van biometrische data, zoals wordt verzameld bij gezichtsherkenningssoftware, en het effect dat een dergelijke technologie kan hebben op, bijvoorbeeld, het recht op privacy, hoeft het gebruik van gezichtsherkenningstechnologie op zichzelf geen schending van internationale mensenrechten te betekenen.
    De Minister voor Rechtsbescherming heeft recent benadrukt dat gezichtsherkenning in horizontale relaties in beginsel niet is toegestaan. De Algemene Verordening Gegevensbescherming biedt namelijk zeer beperkte ruimte voor de inzet van gezichtsherkenning in relaties tussen burgers onderling, of tussen burgers en bedrijven.4 Uit onderzoek blijkt dat gezichtsherkenningstechnologie in horizontale relaties nog niet breed wordt ingezet.5 Het is niet mogelijk om een algemene uitspraak te doen over het aantal gezichtsherkenningscamera’s van Chinese tech-bedrijven in Nederland. Deze kunnen in principe zowel aan bedrijven als particulieren worden verkocht.

  • Vraag 7

    In hoeverre spelen de patenten van Chinese tech-bedrijven een rol bij het vastleggen van standaarden voor surveillancetechnologie binnen de International Telecommunications Union (ITU)? Welke risico’s ziet u daarbij in het licht van de genoemde berichtgeving en hoe kunnen die risico’s worden ondervangen?

    Binnen de ITU worden op technisch niveau aanbevelingen gedaan over normen en standaarden op het gebied van telecom en het radiospectrum. Het vastleggen van standaarden wordt in belangrijke mate bepaald door ITU comités, welke zijn opengesteld voor alle leden van de ITU. De ITU kijkt naar de technische aspecten van nieuwe technologieën, en ziet niet toe op hoe deze in de praktijk worden toegepast, noch verleent ITU patenten. Bedrijven die gepatenteerde kennis inbrengen bij het opstellen van een standaard zijn eraan gehouden dit vooraf kenbaar te maken. Bovendien committeren zij zich eraan om toegang te verlenen onder redelijke en non-discriminatoire voorwaarden tot de gepatenteerde kennis die in een standaard is opgenomen, zodat elke andere partij de standaard kan duiden en later zo nodig kan implementeren.
    Het is bekend dat China steeds assertiever wordt ten aanzien van de ontwikkeling en vaststelling van technische productstandaarden. Een land of een handelsblok dat erin slaagt de internationale technische standaarden te bepalen, kan de eigen economie een groot concurrentievoordeel geven. Nederland zet dan ook in op een innovatief Europa dat zich richt op de ontwikkeling van (digitale) sleuteltechnologieën. Het bereikte akkoord over het Meerjarig Financieel Kader (MFK) 2021–2027 waarin digitalisering, onder meer met de fondsen Horizon Europe en het Digital Europe programma, belangrijke onderdelen zijn, draagt daaraan bij. Daarnaast bepleit Nederland in de EU dat zij haar vermogen om standaarden te creëren moet blijven verdedigen, deze slimmer dient te benutten en daarin nauw moet samenwerken met gelijkgezinde landen om de EU’s hoge ethische normen en aandacht voor de omgang met en bescherming van data te behouden. Nederland zet zich, in EU verband en met gelijkgezinde derde landen, ook binnen de ITU in om in gevallen waarin standaardisatievoorstellen deze normen geweld aandoen of dreigen aan te doen, de voorstellen tegen te houden.

  • Vraag 8

    Welke acties zouden Nederland en de Europese Unie kunnen ondernemen richting Chinese tech-bedrijven die betrokken zijn bij de onderdrukking van Oeigoeren? Bent u bereid om zich voor dergelijke acties in te spannen?

    Nederland spreekt in individuele gevallen bedrijven aan, zie het antwoord op vraag 5.
    In december jl. is het EU-mensenrechtensanctieregime aangenomen. Dit thematische sanctieregime kan worden ingezet tegen individuele mensenrechtenschenders en entiteiten, ongeacht waar de schending plaatsvindt. Zoals reeds eerder aan uw Kamer gemeld zijn de voorbereidingen om te komen tot voorstellen voor eerste listings onder het EU-mensenrechtensanctieregime in beslotenheid in gang gezet in verscheidene hoofdsteden. Zorgvuldige besluitvorming acht het kabinet hierbij van groot belang. Het kabinet neemt in dit proces ook de moties Sjoerdsma c.s. (21 501-20, nr. 1596), Ploumen (35 570 V, nr. 43) en Kuzu (35 570 V, nr. 53) mee.

  • Vraag 9

    In hoeverre is het huidige exportcontrolebeleid in staat om uit te sluiten dat de export van Nederlandse of Europese technologie bijdraagt aan de ontwikkeling van technologie door Chinese bedrijven die is gericht op het identificeren van etnische groepen?

    De juridische basis voor het EU exportcontrolebeleid voor dual-use goederen is de EU Dual Use Verordening. Controle vindt plaats op basis van een lijst van dual-use goederen die in deze EU-verordening is bijgevoegd. Deze controlelijst wordt jaarlijks geactualiseerd op basis van internationale afspraken in exportcontroleregimes over te controleren goederen en technologie. Nederlandse bedrijven zijn verplicht een exportvergunning aan te vragen als zij goederen of technologie op deze EU-controlelijst willen exporteren buiten de EU. De EU dual-useverordening voorziet niet in controle op technologie die gericht is op het identificeren van etnische groepen. In het geval van vergunningplichtige dual-use goederen, wijst de Nederlandse regering een vergunning af indien het risico bestaat dat de goederen bijdragen aan mensenrechtenschendingen.
    Inzet van Nederlandse technologie voor het onderdrukken van bevolkingsgroepen of het schenden van mensenrechten acht het kabinet in alle gevallen onwenselijk. Nederlandse bedrijven die inspelen op de Chinese vraag naar geavanceerde technologie dienen zich te allen tijde rekenschap te geven van mogelijk ongewenste toepassingen van geleverde producten door Chinese afnemers. Bedrijven dienen, als onderdeel van due diligence, na te gaan of Chinese afnemers een aandeel hebben in de totstandkoming van surveillancesystemen die de vrijheid van Chinese burgers beperkt. Ook zet het kabinet in op een verplichting voor bedrijven om gepaste zorgvuldigheid toe te passen in lijn met de internationale richtlijnen (due diligence), bij voorkeur op Europees niveau.

25 november 2020 - 8 januari 2021
Het bericht dat de Verenigde Naties datacentra in China gaat neerzetten.
Martijn van Helvert (CDA)
Stef Blok (minister buitenlandse zaken) (VVD)
1. Aanhangsel Handelingen, vergaderjaar 2020–2021, nr. 786
2. Kamerstuk 35 207, nr. 1
  • Vraag 1

    Herinnert u zich uw antwoorden op de schriftelijke vragen van het lid Van Helvert over de beoogde bouw van VN-datacentra in China?1

    Ja.

  • Vraag 2

    Kunt u iets uitgebreider ingaan op de taken van het UN Geospatial and Innovation Center en het International Research Center of Big Data en uiteenzetten welke data zullen worden ondergebracht in deze VN-datacentra?

    Het United Nations Global Geospatial Knowledge and Innovation Centre in de Chinese stad Deqing is bedoeld om te functioneren als een multilaterale kennis- en innovatiehub die ertoe dient om capaciteiten ten aanzien van ruimtelijke en geografische informatie te bevorderen, gezamenlijke kennis te ontwikkelen, en om ruimtelijke en geografische informatie op nationaal niveau te verbeteren om ontwikkelende landen te helpen bij het realiseren van de Duurzame Ontwikkelingsdoelstellingen (SDG’s). Het centrum valt onder het United Nations Department of Economic and Social Affairs (UNDESA).
    Naast het United Nations Global Geospatial Knowledge and Innovation Centrein Deqing zijn op regionaal niveau drie regionale hubs opgericht, namelijk in China (Hangzhou), Rwanda en de Verenigde Arabische Emiraten. Een vierde regionale hub wordt opgericht in Rio de Janeiro. De regionale hubs ondersteunen het werk van het VNGlobal Platform, dat is opgericht door de VN Global Working Group on Big Data. Het hoofddoel van de regionale hub in China is het faciliteren van internationale samenwerking bij de ontwikkeling van officiële statistieken met behulp van nieuwe gegevensbronnen (big data) en innovatieve methoden om landen te helpen bij het meten van de SDG's. Naast het ontwikkelen en delen van kennis over nieuwe methodes, algoritmes en tools, wordt er ook geïnvesteerd in het geven van trainingen in het gebruik van big data voor de gemeenschap van statistici. De regionale hubs zijn gericht op de desbetreffende regio’s, de hub in Hangzhou richt zich met name op Zuidoost Azië en de Pacific.
    Het gaat hierbij dus om technische samenwerking met activiteiten gericht op het gezamenlijk ontwikkelen van innovatieve statistische methodologie. Hierbij worden geen vertrouwelijke data (zoals persoonsgegevens) gedeeld. De data die mogelijk gebruikt worden bestaan uit vrij beschikbare gegevens, zoals bijvoorbeeld scheepvaart trackinggegevens (AIS) of geografische gegevens (OpenStreetMap).

  • Vraag 3

    Welke Nederlandse data komen bij de VN-databases in China terecht?

    Buiten het mogelijke gebruik van vrij beschikbare gegevens komen er geen vertrouwelijke Nederlandse data (zoals persoonsgegevens) bij de VN-databases in China terecht.

  • Vraag 4

    Deelt u de mening dat de plaatsing van VN-datacentra in China, een systeemrivaal, het land aanzienlijk veel kennis geeft over alle sociale, economische en technologische activiteiten in de wereld en dat dit een absoluut onwenselijke situatie is?

    Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp ondersteunt het kabinet het zorgvuldig gebruik van data en onderzoek dat kan bijdragen aan verbetering van het werk van de VN, de implementatie van de SDG’s en de samenwerking tussen VN-lidstaten. Tegelijkertijd brengt het concentreren van wereldwijde datastromen over topografie, infrastructuur en menselijk gedrag in een enkel land mogelijk kwetsbaarheden met zich mee. Technologische ontwikkelingen, bijvoorbeeld op het gebied van big data, spelen immers een rol in de machtsbalans tussen landen. In algemene zin acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens.
    In het geval van de genoemde VN-datacentra in China ligt de focus op internationale samenwerking met als doel mogelijkheden te ontwikkelen die de doelstellingen van de VN ten goede komen. Het Centraal Bureau voor de Statistiek (CBS) en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.

  • Vraag 5

    Klopt het dat er intentieverklaringen zijn getekend tussen de Chinese overheid en de VN Department of Economic and Social Affairs, zonder dat er duidelijke en controleerbare afspraken zijn gemaakt over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens? Deelt u de mening dat dit een vreemde gang van zaken is?

    In april 2019 hebben UNDESA en de Chinese overheid een intentieverklaring getekend om de regelingen en modaliteiten voor de oprichting van het centrum in Deqing verder te ontwikkelen. Op dit moment wordt er nog gewerkt aan de verdere ontwikkeling van een memorandum van overeenstemming (MoU) en een gastlandovereenkomst (HCA) tussen de VN en de regering van China. Met betrekking tot de regionale hub in Hangzhou tekenden UNDESA en het Chinese Nationaal Bureau voor de Statistiek in juni 2019 een intentieverklaring, het MoU werd getekend op 7 december 2020.
    Het kabinet erkent het belang van duidelijke en controleerbare afspraken over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. De bestaande intentieverklaringen tussen UNDESA en de Chinese overheid zijn algemene voorbereidende documenten, die een raamwerk bieden voor samenwerking, waarbij de noodzakelijke zorgvuldigheidsvereisten in acht worden genomen.

  • Vraag 6

    Is het besluit om de datacentra in China te plaatsen definitief? Zo ja, hoe is de VN tot dit besluit gekomen? Zo nee, in hoeverre kunnen de VN-lidstaten nog voor een andere locatie kiezen?

    Zoals aangegeven in de antwoorden op de vorige Kamervragen van het lid Van Helvert over dit onderwerp heeft de VN de besluiten bevestigd. Deze zijn m.b.t. het Geospatial Knowledge and Innovation Centre genomen door alle VN-lidstaten onder begeleiding van het VN Committee of Experts on Global Geospatial Information Management (UN-GGIM), dat valt onder ECOSOC en m.b.t. de regionale hub door de VN Global Working Group on Big Data, een intergouvernementele werkgroep waaraan 30 landen en 16 internationale organisaties aan deelnemen, waaronder Nederland. De VN Global Working Group on Big Data valt onder de auspiciën van de VN Statistical Commission, die op zijn beurt onder de ECOSOC valt.

  • Vraag 7

    Herinnert u zich de beleidsnotitie Nederland-China: Een nieuwe balans, waarin u het volgende aangeeft: «In de samenwerking met China blijkt het lastig om bijvoorbeeld vrijheid van meningsuiting en respect voor eigendom en data overeind te houden. De Nederlandse overheid zal daarom beheersmaatregelen nemen, waar mogelijk in EU-kader of via multilaterale afspraken»? Hoe past de plaatsing van VN-datacentra in China binnen deze probleemstelling?2

    Zoals aangegeven in het antwoord op de vorige Kamervragen van het lid Van Helvert acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Het CBS en UNDESA hebben aangegeven dat de data die worden verzameld geen Nederlandse persoonsgegevens bevatten. Door de goede contacten met UNDESA en gelijkgezinde landen is het kabinet in staat om eventuele zorgpunten te signaleren en aan te kaarten, mocht daar in de toekomst sprake van zijn.
    Op dit moment voorziet het kabinet in dit verband geen problemen omdat er vooral sprake is van technische samenwerking, er geen vertrouwelijke Nederlandse data worden gebruikt en er nauw contact is met de betrokken partijen. Het kabinet blijft de ontwikkelingen uiteraard nauwgezet volgen.

  • Vraag 8

    Heeft Nederland bij de VN, in het licht van bovenstaande uitspraak, geprobeerd de plaatsing van deze datacentra in China te voorkomen? Zo nee, waarom niet?

    Nee. Het kabinet beschikt op dit moment niet over de indicatie dat er zwaarwegende redenen zijn om de plaatsing van deze centra in China te voorkomen.

  • Vraag 9

    Welke andere beheersmaatregelen bent u bereid te nemen om te voorkomen dat Nederlandse (big-)data in China terechtkomt? Bent u bereid bij de VN aan te geven dat Nederland geen data zal delen met de VN indien de VN-datacentra in China worden neergezet?

    Zoals aangegeven in het antwoord op vraag 3 komen er geen vertrouwelijke Nederlandse data bij de VN-databases in China terecht. Het kabinet hecht veel waarde aan bescherming van persoonsgegevens en privacybescherming en werkt nauw samen met EU-partners ter uitvoering van de Algemene verordening gegevensbescherming (AVG). Het Centraal Bureau voor Statistiek (CBS), dat in Nederland over deze data beschikt, levert nooit herkenbare gegevens aan derden, ook niet aan andere overheidsinstellingen. Ook in samenwerking met de VN en andere landen, waaronder China, waarborgt het deze standaard.

  • Vraag 10

    Bent u bereid om bij de eerstvolgende Raad Buitenlandse Zaken en NAVO-bijeenkomst deze kwestie op de agenda te plaatsen en te pleiten voor een gemeenschappelijke stellingname tegen de plaatsing van de VN-datacentra in China?

    Zoals aangegeven in het antwoord op vraag 7 beschikt het kabinet op dit moment niet over de indicatie dat er sprake is van vergaande problematische ontwikkelingen. Het kabinet blijft de ontwikkelingen echter nauwgezet volgen en zal in de toekomst de optie open houden dit onderwerp te agenderen mocht daarvoor een concrete aanleiding zijn.

4 november 2020 - 13 november 2020
Het beoogd VN-datacentrum in China
Martijn van Helvert (CDA)
Stef Blok (minister buitenlandse zaken) (VVD)
1. Wall Street Journal, 7 oktober 2020, «China uses the U.N. to Expand I…
  • Vraag 1

    Heeft u kennisgenomen van het bericht «China uses the U.N. to Expand Its Surveillance Reach»?1

    Ja.

  • Vraag 2

    Kunt u bevestigen dat de Verenigde Naties van plan is om een «Global Geospatial Knowledge and Innovation Center» en een «International Research Center of Big Data for Sustainable Development Goals» in China neer te zetten?

    De Verenigde Naties (VN) hebben bevestigd dat er voorbereidingen worden getroffen voor het oprichten van een UN Global Geospatial Knowledge and Innovation Centre in Deqing, China. Daarnaast heeft de VN bevestigd dat in Hangzhou, eveneens in China, een regionale hub is gecreëerd ter ondersteuning van het VN Global Platform als onderdeel van de VN Global Working Group on Big Data. Naast de hub in Hangzhou zijn er regionale hubs gecreëerd in Rwanda, de Verenigde Arabische Emiraten en wordt er gewerkt aan een vierde hub in Brazilië.

  • Vraag 3

    Hoe beoordeelt u deze berichtgeving?

    Het kabinet ondersteunt het zorgvuldig gebruik van data en onderzoek dat kan bijdragen aan verbetering van het werk van de VN, de implementatie van de Sustainable Development Goals en de samenwerking tussen VN-lidstaten. Tegelijkertijd brengt het concentreren van wereldwijde datastromen over topografie, infrastructuur en menselijk gedrag in een enkel land mogelijk kwetsbaarheden met zich mee. Technologische ontwikkelingen, bijvoorbeeld op het gebied van big data, spelen immers een rol in de machtsbalans tussen landen. Daarom acht het kabinet het van belang dat er duidelijke en controleerbare afspraken komen over de beschikbaarheid, integriteit en vertrouwelijkheid van gegevens. Vooralsnog heeft het kabinet geen indicatie dat de data ook persoonsgegevens bevatten. Het kabinet volgt de ontwikkelingen nauwgezet.

  • Vraag 4

    Welke landen financieren de bouw van deze data-centra in China?

    Het VN Geospatial Knowledge and Innovation Centre is een initiatief ontwikkeld door alle VN-lidstaten onder begeleiding van het VN Committee of Experts on Global Geospatial Information Management (UN-GGIM), dat valt onder ECOSOC. Het centrum wordt opgericht door het VN Department of Economic and Social Affairs (UNDESA).
    De regionale hub die is gecreëerd ter ondersteuning van het VN Global Platform is onderdeel van de VN Global Working Group on Big Data. De VN Global Working Group on Big Data is een intergouvernementeel orgaan waaraan 30 landen en 16 internationale organisaties aan deelnemen, waaronder Nederland.

  • Vraag 5

    Is er contact geweest met de Verenigde Naties over de bouw van deze data-centra? Zo ja, heeft de Verenigde Naties de berichtgeving bevestigd? Zo nee, kunt u de Verenigde Naties om toelichting vragen?

    Ja, zie antwoord op vraag 2.

  • Vraag 6

    Zou u deze vragen voor de begrotingsbehandeling van het Ministerie van Buitenlandse Zaken willen beantwoorden?

    Deze vragen zijn zo snel als mogelijk beantwoord.

15 oktober 2020 - 16 november 2020
Het bericht 'Termunten is slecht bereik zat: 'We moeten op de dijk staan om te kunnen bellen''
Anne Kuik (CDA), Joba van den Berg-Jansen (CDA)
Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. RTV Noord, 13 oktober 2020 «Termunten is slecht bereik zat: «We moete…
  • Vraag 1

    Bent u bekend met het bericht «Termunten is slecht bereik zat: «We moeten op de dijk staan om te kunnen bellen»»?1

    Ja.

  • Vraag 2

    Klopt het dat in Termunten en in Termunterzijl het mobiel telefoonbereik dusdanig slecht is, dat inwoners, bedrijven, thuiszorgmedewerkers en alarmnummer 112 regelmatig niet bereikbaar zijn?

    Dat is mij niet bekend. Ook bij Agentschap Telecom zijn hierover geen meldingen bekend.
    Op verzoek van mijn ministerie hebben TNO en Agentschap Telecom in 2014–2015 onderzoek gedaan naar de mobiele bereikbaarheid van het alarmnummer 112 buitenshuis. Uit het onderzoek komt naar voren dat het percentage geslaagde testoproepen in Nederland rond de 99% ligt.2 Dit komt mede door het feit dat mobiele noodoproepen voorrang krijgen ten opzichte van al het andere mobiele telefoonverkeer. Noodoproepen kunnen ook door andere beschikbare (Nederlandse of buitenlandse) netwerken afgehandeld worden op het moment dat het eigen mobiele netwerk niet beschikbaar is. Ook bij een goede dekking kunnen overigens mislukte noodoproepen optreden. Meerdere factoren zijn van invloed op de slagingskans van een mobiele oproep, zoals netwerkdekking, het type toestel, het gedrag van de beller, maar ook factoren als weersinvloeden, vegetatie en bebouwing. Dit maakt dat zelfs bij een optimale dekking de slaagkans van 100% niet wordt bereikt.
    In het kader van technische ondersteuning heeft het agentschap in februari en maart 2016 twee onderzoeken uitgevoerd naar de mobiele bereikbaarheid van alarmnummer 112 in de provincie Groningen. Tijdens dit onderzoek heeft het agentschap drivetests uitgevoerd op een wegtraject van circa 100 kilometer dat loopt van Ter Apel – via de grens met Duitsland – tot aan Delfzijl. Termunten en Termunterzijl zijn hierbij ook aangedaan. Uit het onderzoek komt naar voren dat het percentage geslaagde 112-testoproepen op dit traject boven de 99,5% lag. Hoewel Agentschap Telecom nadien geen 112-bereikbaarheidsmetingen meer heeft verricht in de provincie, acht zij de kans groot dat door de inzet van lagere frequentiebanden en nieuwe netwerktechnieken de mobiele oproepbaarheid van het alarmnummer eerder is verbeterd dan verslechterd.
    Ik vind het belangrijk om verder te vermelden dat mensen zelf ook de kans op een geslaagde mobiele noodoproep naar het alarmnummer 112 kunnen vergroten. Op de website van het Ministerie van Veiligheid en Justitie staan hiervoor diverse tips vermeld.3 Eén van de tips is het aanhouden van een vaste lijn, waarmee ook naar 112 kan worden gebeld.

  • Vraag 3

    Deelt u de mening dat anno 2020 iedereen in Nederland over snel internet en mobiele netwerkdekking moet kunnen beschikken, ongeacht waar men woont, omdat dit van belang is voor onder andere veiligheid, leefbaarheid en economische activiteiten?

    In onder meer de Nota Mobiele Communicatie heeft het kabinet aangegeven dat mobiele communicatie een basisbehoefte is geworden. Zoals daar beschreven: «Zoals in de Nota Frequentiebeleid 2016 en het Actieplan Digitale Connectiviteit beschreven is draadloze communicatie een onmisbare grondstof geworden voor de Nederlandse samenleving. De maatschappelijke afhankelijkheid van draadloze communicatie neemt hierdoor toe. Ze is een randvoorwaarde voor economische groei in Nederland met sterke positieve effecten op de economie. Ze is de smeerolie voor de ontwikkeling van nieuwe producten en diensten en voor de innovatie van bestaande producten en diensten. Deze ontwikkelingen illustreren dat er sprake is van een basisbehoefte».4

  • Vraag 4

    Wat is de precieze reden van het slechte mobiele telefoonbereik in Termunten en in Termunterzijl? Komt dit door ligging van deze plaatsen in een grensgebied, onvoldoende netwerkdekking door onvoldoende masten of spelen ook oorzaken als isolatie en weeromstandigheden een rol?

    Op grond van gesprekken met de gemeente, de mobiele netwerkaanbieders, en de beschikbare informatie kan ik niet slechts één reden aanwijzen voor het enigszins beperkte mobiele netwerkbereik. Elk van de door u genoemde factoren speelt in de praktijk waarschijnlijk een rol.

  • Vraag 5

    Welke factoren stonden en staan een snelle oplossing van het bereikbaarheidsprobleem in Termunten en Termunterzijl in de weg?

    Ik heb contact gehad met de gemeente Delfzijl en de drie mobiele netwerkaanbieders. Ik begrijp dat er momenteel gesprekken lopen met één mobiele netwerkaanbieder. Die wil graag een opstelpunt creëren om de bestaande dekking van diens netwerk te verbeteren. Er wordt momenteel door de gemeente en deze partij gezocht naar geschikte plekken voor dat opstelpunt. Zodra die gevonden zijn, kan het noodzakelijk blijken om ook vergunningen te verkrijgen. Bijvoorbeeld voor de werkzaamheden die moeten worden verricht om de benodigde infrastructuur aan te leggen. Op dat moment kunnen belanghebbenden nog bezwaar maken tegen de afgifte van die vergunningen. Vooralsnog is er naar mijn mening echter geen reden om te denken dat een oplossing niet binnen een redelijke termijn kan worden gevonden.

  • Vraag 6

    Bent u bereid Agentschap Telecom te vragen om met de gemeente Delfzijl, telecomproviders en andere betrokken partijen in overleg te gaan ten behoeve van een spoedige oplossing voor dit probleem?

    Zoals in de beantwoording van vraag 5 aangegeven is er een constructieve samenwerking tussen een mobiele netwerkaanbieder en de gemeente Delfzijl. Er is vooralsnog geen reden om aan te nemen dat dit niet gaat leiden tot een oplossing. Ik zie dan ook geen noodzaak om partijen (ongevraagd) met elkaar aan tafel te zetten.

  • Vraag 7

    In hoeverre is de situatie ten aanzien van het mobiel telefoonbereik in Termunten en Termunterzijl exemplarisch voor die in andere Nederlandse plaatsen? In hoeveel en in welke andere Nederlandse gemeenten is de mobiele bereikbaarheid in bepaalde delen momenteel nog niet op orde? Welke acties lopen er om die te verbeteren?

    De mobiele netwerkdekking in Nederland behoort tot de absolute wereldtop. Er zijn nog maar heel weinig plekken in Nederland waar mobiel telefoneren of internetten moeilijk of zelfs onmogelijk is. Om dat zo te houden en zelfs voor een verdere verbetering te zorgen heb ik bij de afgelopen verdeling van de 700 MHz-vergunningen een dekkings- en snelheidseis gesteld. Deze houdt in dat – behoudens een beperkt aantal uitzonderingen – de winnaars van die 700 MHz-vergunningen per medio 2022 op 98% van het geografisch grondgebied van elke gemeente dekking moeten bieden die een minimale snelheid van 8 Megabit per seconde («Mbps») mogelijk maakt. Genoeg om diensten zoals browsing, audiostreaming, videostreaming (in een gemiddelde kwaliteit), en bellen, mogelijk te maken. Vanaf medio 2026 moet dat zelfs 10 Mbps zijn.5
    Het is echter onvermijdelijk dat er plekken in Nederland zijn en blijven waar de mobiele netwerkdekking niet volledig is en dat misschien wel nooit zal worden. Zie bijvoorbeeld hetgeen daarover opgemerkt in de Nota Mobiele Communicatie: «Deze dekkingseis betekent niet dat er straks in 100% van de tijd en in 100% van Nederland een mobiel signaal beschikbaar is. Een dergelijke dekkingsgraad is als gevolg van natuurkundige beperkingen niet haalbaar. Omgevingsfactoren als gebouwen, het weer en begroeiing zorgen hier voor beperkingen. (...) Daarnaast wordt met deze eis inpandige dekking, zoals bij mensen thuis of in een ondergrondse parkeergarage, niet altijd gegarandeerd. Door moderne isolatienormen die het energieverbruik van huizen verlagen kan het mobiele netwerksignaal niet door alle muren of ramen dringen».

  • Vraag 8

    Hoe verloopt de uitvoering van de op 27 maart 2018 aangenomen motie-Van den Berg, die de regering verzoekt de deadline waarvoor heel Nederland kan beschikken over snel internet (minimaal 100 megabit per seconde, conform de Europese ambitie) te vervroegen naar uiterlijk 2023 (Kamerstuk 24 095, nr. 434)? Ligt de uitrol van dit snelle internet op schema? Zo nee, bent u bereid extra stappen te zetten? Wanneer ontvangt de Kamer de eerstvolgende Voortgangsrapportage Actieplan Digitale Connectiviteit?

    In het Algemeen Overleg Telecommunicatie op 17 oktober 2018 heb ik toegezegd de Kamer jaarlijks te informeren over de doelstelling dat in 2023 iedereen kan beschikken over een vaste verbinding van tenminste 100 Megabit per seconde (Mbps).6 Ik heb de Kamer geïnformeerd met de Voortgangsrapportage Actieplan Digitale Connectiviteit van 19 december 2019.7 In 2019 kon 97% van de huishoudens hierover beschikken. Uitgaande van de huidige uitrol en de openbaar aangekondigde uitrolplannen heeft Dialogic becijferd dat naar verwachting voor eind 2023 nog eens circa 2,5 procent van de adressen in Nederland zal worden aangesloten op snel internet. Daarmee zou eind 2023 tenminste 99,5% van de adressen in Nederland kunnen beschikken over snel internet. Ik blijf dit nauwlettend monitoren. Zoals aangegeven in de brief van 19 december 2019, wordt de breedbandkaart jaarlijks geactualiseerd en wordt de Kamer voortaan over de voortgang van de doelstelling geïnformeerd als jaarlijks terugkerend onderdeel van de rapportage over de Nederlandse Digitaliseringsstrategie (NDS).8 De volgende NDS wordt in het tweede kwartaal van 2021 verwacht. De actualisatie van de breedbandkaart wordt op dit moment uitgevoerd, echter is er bij verschillende partijen vertraging opgelopen waardoor het informeren van de Kamer in december naar alle waarschijnlijkheid niet haalbaar is. De Kamer zal in het eerste kwartaal van 2021 worden geïnformeerd of eerder indien mogelijk.

  • Vraag 9

    Wanneer ontvangt de Kamer de brief die toegezegd is in het algemeen overleg Telecommunicatie op 11 juni 2020 over de telefonische bereikbaarheid in Overijssel (waaronder Vilsteren en Hoge Hexel)?

    Evenals ik heb gedaan voor de situatie in Termunten en Termunterzijl heb ik voor de beantwoording van deze vraag contact gehad met de gemeente Wierden (Hoge Hexel), de gemeente Ommen (Vilsteren), en de mobiele netwerkaanbieders.
    Erkend werd dat de dekking in en om Hoge Hexel verbeterd kan worden. Gelukkig is er recentelijk een vergunning afgegeven aan KPN om een opstelpunt bij Hoge Hexel te plaatsen. Dit opstelpunt zal naar verwachting ergens in de komende maanden worden geplaatst.9 Dit zal tot een verbetering leiden van de dekking van in ieder geval KPN. KPN heeft laten weten dat zij voornemens is om op dat opstelpunt een mast te plaatsen waar ook andere mobiele netwerkaanbieders hun antennes en apparatuur nog kunnen bijplaatsen. Ook de dekking van de overige netwerken kan daarmee op termijn worden verbeterd als zij dat noodzakelijk of wenselijk achten.
    Met betrekking tot Vilsteren heb ik inmiddels contact gehad met de mobiele netwerkaanbieders en de gemeente Ommen. Ik wil echter wachten op een respons van de gemeente Ommen voordat ik u definitief informeer over de situatie en de ontwikkelingen daar. Om de beantwoording van uw overige vragen niet nog langer te vertragen heb ik besloten daar niet op te wachten en u alvast deze beantwoording te sturen. Ik beoog u hier definitief over te informeren in het kader van het aankomende AO Telecomraad zoals voorlopig gepland op 7 december 2020.

9 oktober 2020 - 30 november 2020
Het bericht 'Providers gaan bedrijven waarschuwen voor beveiligingslekken'
Dilan Yeşilgöz-Zegerius (VVD), Thierry Aartsen (VVD)
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. https://fd.nl/ondernemen/1358912/providers-gaan-bedrijven-waarschuwen…
2. https://www.ed.nl/eindhoven/cyberaanval-op-vdl-bedrijf-afgeweerd-brai…
  • Vraag 1

    Bent u bekend met bovenstaand bericht?1

    Ja.

  • Vraag 2

    Klopt het dat de Nationale Beheersorganisatie Internetproviders (NBIP) binnenkort meldingen van het Nationaal Cyber Security Centrum (NCSC) kan gaan ontvangen over dreigingsrisico’s omdat het NBIP als samenwerkingsverband is aangemerkt als objectief kenbaar tot taak (OKTT)? Zo ja, bent u bereid om de Kamer halfjaarlijks op de hoogte te houden van de uitbreidingen van het landelijk dekkend stelsel? Zo nee, waarom niet?

    Het klopt dat de Nationale Beheersorganisatie Internetproviders (NBIP) eerder krachtens de Wet beveiliging netwerk- en informatiesystemen (Wbni) is aangewezen als organisatie die objectief kenbaar tot taak heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid (OKTT). Dit maakt het voor het Nationaal Cyber Security Centrum (NCSC) mogelijk om de NBIP, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de NBIP te verstrekken, die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling (bijstand aan vitaal en Rijk, etc.). Zie het antwoord op vraag 7 voor een nadere toelichting op de verstrekking van deze informatie. Meer in het algemeen publiceert het NCSC op haar website publiekelijke informatie over bekende kwetsbaarheden, beveiligingsadviezen en andere adviezen waarmee organisaties hun weerbaarheid kunnen vergroten. De inzet op de uitbreiding van het Landelijk Dekkend Stelsel (LDS) vindt plaats binnen de kaders van de Nederlandse Cyber Security Agenda (NCSA).2 Over de voortgang van de NCSA, inclusief initiatieven die plaatsvinden in het kader van het LDS, wordt jaarlijks aan uw Kamer gerapporteerd. De volgende rapportage zal zijn voor de zomer 2021. Ik realiseer mij dat er nog veel werk moet worden verricht om te komen tot een daadwerkelijk LDS. Vandaar dat ik het WODC heb gevraagd onderzoek te doen naar de stand van zaken en de verbeterpunten van dit stelsel. Uw Kamer is hierover geïnformeerd op 17 november jl.

  • Vraag 3

    Vanaf wanneer wordt voorzien dat de NBIP meldingen van het NCSC kan gaan ontvangen over dreigingsinformatie?

    Zoals in het antwoord op vraag 2 aangegeven, kan het NCSC reeds aan de NBIP, een krachtens de Wbni als OKTT aangewezen organisatie, dreigings- en incidentinformatie, verstrekken met betrekking tot netwerk- en informatiesystemen van hun doelgroep. In verband met eerder gesignaleerde belemmeringen wordt thans onderzocht welke mogelijkheden tot informatiedeling binnen de bestaande wettelijke kaders nog verder ontwikkeld zouden kunnen worden.

  • Vraag 4

    Deelt u de mening dat ondernemers die niet zijn aangesloten bij brancheorganisaties met een OKTT-status of een sectoraal expertisecentrum voor cybersecurity (CERT) adequate hulp moeten kunnen krijgen van het Digital Trust Center (DTC)? Zo ja, kunt u toelichten waarom het NBIP als OKTT wel binnenkort meldingen kan ontvangen van het NCSC terwijl het Digital Trust Center, waarvan meer dan een miljoen ondernemers in hun informatievoorziening afhankelijk zijn, dat nog steeds niet kan? Zo nee, waarom niet?

    De digitale weerbaarheid is primair een eigen verantwoordelijkheid, ook van bedrijven. Het DTC biedt informatie, advies en tools aan om niet-vitale bedrijven in staat te stellen invulling te geven aan deze eigen verantwoordelijkheid. Daarnaast kan eenieder en dus ook niet-vitale bedrijven, zoals in antwoord 2 aangegeven, via de website, kennisnemen van algemene beveiligingsadviezen van het NCSC. Het NCSC en het DTC werken bovendien vanuit hun onderscheidenlijke taken nauw samen waar het gaat om afstemming in externe overheidscommunicatie. Ook wisselen het NCSC en het DTC als kenniscentra zo veel als wettelijk mogelijk informatie en kennis(producten) uit.
    Zoals aangegeven in de beantwoording op vraag 2, is het voor het NCSC mogelijk om, met inachtneming van de wettelijke kaders, informatie over dreigingen en incidenten met betrekking tot systemen van de doelgroep van de OKTT aan een organisatie te verstrekken. Dit indien deze organisatie is aangewezen als organisatie die objectief kenbaar tot taak (OKTT) heeft andere organisaties of het publiek te informeren over dreigingen en incidenten met betrekking tot andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid. Hierbij gaat het om informatie die het NCSC heeft verkregen bij analyses in het kader van de primaire taakvervulling en die betrekking heeft op andere netwerk- en informatiesystemen dan die van vitale aanbieders of de rijksoverheid.
    Het NCSC en het DTC werken nauw samen en zijn ook voortdurend, samen met de NCTV, in gesprek over de mogelijkheden om binnen het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden informatie te delen. Waar mogelijk, verbinden zij hier, voor de betrokken organisaties, handelingsperspectief aan. Alleen dan wordt de digitale weerbaarheid van Nederland immers daadwerkelijk verhoogd. Onderdeel van de samenwerking tussen het NCSC en het DTC is ook het binnen de wettelijke kaders optimaliseren van de onderlinge informatie-uitwisseling. In het kader daarvan wordt ook een aanwijzing krachtens de Wbni van het DTC als OKTT bezien. Momenteel wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan, voor overheidsorganisaties vanwege de AVG meer strenge, voorwaarden waardoor het krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven. Het DTC zou dan de bedrijven over de dreigingsinformatie kunnen informeren. Het Ministerie van EZK is bezig met de voorbereidende werkzaamheden hiervoor. Het streven is dat deze nieuwe dienstverlening begin volgend jaar kan starten.

  • Vraag 5

    Deelt u de mening dat het voor de digitale veiligheid van Nederland van essentieel belang is dat zowel vitale als niet-vitale organisaties worden geïnformeerd over dreigingsinformatie? Zo ja, wat is de laatste stand van zaken omtrent het DTC te voorzien van een OKTT-status? Zijn er wettelijke barrières die voorkomen dat het DTC van deze status kan worden voorzien?

    Ik deel de mening dat het de digitale veiligheid van Nederland vergroot als zowel vitale als niet-vitale organisaties worden geïnformeerd over relevante dreigingen, incidenten en kwetsbaarheden. Om die reden zijn algemene beveiligingsadviezen van het NCSC via de website openbaar beschikbaar en werkt het kabinet aan de totstandkoming van een landelijk dekkend stelsel (LDS) waarin, met inachtneming van de wettelijke kaders, relevante informatie breder, efficiënter en effectiever gedeeld kan worden. Binnen dat LDS spelen het NCSC en het DTC een belangrijke rol.
    Zoals in het antwoord op vraag 4 is aangegeven, wordt door het Ministerie van EZK gewerkt aan het laten voldoen van het DTC aan de voorwaarden waardoor het DTC krachtens de Wbni aangewezen zou kunnen worden als organisatie waaraan, onder de bij de beantwoording van vraag 4 benoemde voorwaarden, het NCSC concrete dreigingsinformatie kan delen die betrekking heeft op het niet-vitale bedrijfsleven.

  • Vraag 6

    Zijn er de afgelopen tijd gesprekken gevoerd om te werken aan een OKTT-status voor het DTC? Zo ja, wat waren de uitkomsten van deze gesprekken? Zo nee, waarom niet? Kunt u de Kamer informeren over de voortgang van deze gesprekken?

    Zie antwoord vraag 5.

  • Vraag 7

    Gelet op het feit dat vitale bedrijven, zoals KPN en VodafoneZiggo die ook onderdeel uitmaken van het NBIP, al informatie krijgen van het NCSC, kunt u aangeven welk type niet-vitale bedrijven voortaan dreigingsinformatie krijgen via het NBIP? Welke meldingen zal het NCSC wel of niet gaan doorsturen naar het NBIP? Wordt hierin, ondanks dat het NBIP een OKTT-status heeft ook nog onderscheid gemaakt tussen informatie voor vitale en niet-vitale bedrijven gezien het aantal niet-vitale bedrijven dat onderdeel is van het NBIP?

    Het NCSC kan, binnen de wettelijke mogelijkheden, gegevens over dreigingen en incidenten delen met de NBIP, voor zover deze gegevens betrekking hebben op en relevant zijn voor netwerk- en informatiesystemen van organisaties uit de doelgroep van NBIP. Daarbij kan het in elk geval persoonsgegevens aangaande kwaadwillende actoren betreffen, zodat organisaties door tussenkomst van de NBIP aan de hand daarvan bijvoorbeeld dreigingen kunnen detecteren in hun netwerken. Voor zover de te delen informatie (tevens) vertrouwelijke herleidbare gegevens met betrekking tot een aanbieder betreffen, is verstrekking hiervan aan een OKTT zoals de NBIP, vanwege de toepasselijkheid van de Wbni3, niet mogelijk. In de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»4 is als een van de verschillende maatregelen opgenomen dat wordt geïnventariseerd welke wettelijke bevoegdheden de overheid heeft bij digitale crisissituaties, zodat kan worden bezien waar eventuele aanvullingen nodig zijn. Het type niet-vitale bedrijven dat dreigingsinformatie kan ontvangen via de NBIP zijn de bedrijven die behoren tot de achterban van de NBIP.
    Als organisaties in de doelgroep van de NBIP eveneens vitale aanbieders zijn, zullen zij informatie die relevant is voor de netwerk- en informatiesystemen die de vitale dienstverlening betreffen, direct van het NCSC ontvangen. Het kan dus zijn dat een vitale aanbieder ook (algemene) informatie via organisaties zoals de NBIP ontvangt als deze informatie relevant is voor vitaal en niet-vitaal.

  • Vraag 8

    Overwegende dat het NBIP een informatiestatus heeft dat aansluit op het uitganspunt van het realiseren van een landelijk dekkend stelsel en dat ook recent het Cyber Weerbaarheidscentrum Brainport Eindhoven informatie mag ontvangen van het NCSC2, kan worden toegelicht welke sectoren er nu wel zijn afgedekt via OKTT’s en andere sectorale cybersecurity expertisecentra en welke nog niet? Kunt u een overzicht geven van het huidige landelijk dekkend stelsel? Zo nee, waarom niet?

    Het landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden heeft tot doel om ervoor te zorgen dat, met inachtneming van de wettelijke kaders, informatie over cybersecurity zo breed, effectief en efficiënt mogelijk wordt gedeeld. De totstandkoming van een landelijk dekkend stelsel en het aansluiten van steeds meer sectoren is een verantwoordelijkheid van de verschillende vakdepartementen. Daarnaast zijn het NCSC en de NCTV in contact met sectoren om hen te stimuleren zich te organiseren.
    De organisaties binnen het landelijk dekkend stelsel, bijvoorbeeld het NCSC en het DTC, hebben diverse samenwerkingsverbanden, zoals onder andere Information Sharing and Analysis Centers (ISAC’s), computercrisisteams en andere sectorale- en brancheorganisaties, waar ze in het kader van de vervulling van hun onderscheidenlijke taken mee samen werken. Bij het DTC zijn inmiddels al 30 samenwerkingsverbanden van bedrijven uit niet-vitale sectoren aangesloten en dit aantal zal verder toenemen. Dit landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden is jong, divers, dynamisch en voortdurend in ontwikkeling. Een overzicht hiervan, zoals gevraagd, is daardoor al snel ofwel incompleet en achterhaald, ofwel groot en complex. Mede daarom heb ik via het WODC onderzoek laten doen naar de stand van zaken en de verbeterpunten voor dit stelsel. Dit onderzoek schetst ook een overzicht van het huidige stelselUw Kamer is hierover op 17 november jl. geinformeerd.

  • Vraag 9

    Bent u bereid om zich de komende maanden, gezien de reële en actuele dreiging van cybercriminaliteit, in te zetten voor het versneld uitbreiden van het landelijk dekkend stelsel? Zo ja, kunt u de Kamer zo spoedig mogelijk informeren over de te nemen stappen en het bijbehorende tijdspad? Zo nee, waarom niet?

    De digitale dreiging die uitgaat van criminelen, maar ook van statelijke actoren heeft volgens het Cybersecuritybeeld Nederland 2020 een permanent karakter.6 Deze dreiging wordt het hoofd geboden langs de prioriteiten zoals uiteengezet in de NCSA en recente Kamerbrieven waarin de versterkte aanpak cybersecurity wordt beschreven,7 de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting»8 en de beleidsreactie op het CSBN 2020, die tevens de voortgangsrapportage over de NCSA bevat.9 Bij de beleidsreactie op het WODC-rapport over Cybersecurity informatie-uitwisseling zoals genoemd onder vraag 8 zal ik u nader informeren over recente ontwikkelingen binnen het landelijk dekkend stelsel.

  • Vraag 10

    Bent u bereid deze vragen te beantwoorden voorafgaande aan de behandeling van de begroting van Justitie en Veiligheid?

    Ja.

8 oktober 2020 - 16 november 2020
Wederom een datalek in de jeugdzorg
Maarten Hijink (SP), Martin Wörsdörfer (VVD), Rens Raemakers (D66)
Paul Blokhuis (staatssecretaris volksgezondheid, welzijn en sport) (CU)
1. RTL Nieuws, 1 oktober 2020 (https://www.rtlnieuws.nl/nieuws/nederland…
2. https://www.rtlnieuws.nl/tech/artikel/4672826/jeugdzorg-datalek-dossi…
3. Inspectie Gezondheidszorg en Jeugd – Extra aandacht nodig voor ICT in de jeugdzorg – juni 2020
4. Kamerstuk 31 839, nr. 737
5. Kamerstuk 31 839, nr. 676
  • Vraag 1

    Bent u bekend met het artikel «Groot datalek bij Jeugdriagg: medische dossiers kwetsbare kinderen gelekt»?1

    Ja.

  • Vraag 2

    Had dit specifieke datalek volgens u voorkomen kunnen worden, kijkend naar een eerder datalek in april 2019 en het recent uitgebrachte rapport van de IGJ «Extra aandacht nodig voor ICT in de jeugdzorg»?2 3

    Het datalek bij Kenter is op een vergelijkbare wijze ontstaan als een eerder datalek in april 2019. Dat het weer mogelijk was om op vergelijkbare wijze toegang tot persoonsgegevens te krijgen is zorgelijk. Naar aanleiding van het datalek in 2019 bij SAVE Utrecht heeft Z-CERT een domein naam check gedaan en JZNL heeft jeugdhulpaanbieders opgeroepen zelf een check te doen op oude domeinnamen. De oude domeinnamen van Kenter waren in 2015 voor 5 jaar afgekocht en verliepen op 1 januari 2020 en ontliepen daarmee onder andere de Z-CERT check in 2019. Het niet afsluiten van een oude domein naam kan eenvoudig worden voorkomen.

  • Vraag 3

    Hoe is de aangenomen motie van de leden Raemakers en Hijink van 2 juli 2020 uitgevoerd waarin de regering verzocht wordt om met branches in gesprek te gaan over ICT-problemen in de jeugdzorg om jeugdzorgorganisaties uiterlijk 1 oktober te helpen met het beveiligen van de aan hen toevertrouwde data van jongeren en hun ouders?4

    Naar aanleiding van de motie Raemakers en Hijink uit 2019 en 2020 zijn gesprekken gevoerd met Jeugdzorg Nederland en Z-CERT. In samenwerking met Jeugdzorg Nederland is Deloitte in staat gesteld penetratietesten uit te voeren. Daarnaast heeft Jeugdzorg Nederland zijn achterban geïnformeerd over het risico van niet goed afgesloten domeinnamen. De in de BGZJ verzamelde branches hebben dit in een breder kader gedaan. Naar aanleiding van de pentesten uit 2019 hebben de zes gepenteste aanbieders hun beleid aangepast. Op basis van de genomen maatregelen wordt een handreiking geschreven, met aandacht voor de implementatie van de wettelijk verplichte NEN 7510 norm, die in december 2020 wordt verwacht, waarna deze nog beter kan worden geïmplementeerd.

  • Vraag 4

    Wanneer wordt jeugdzorgaanbieders eindelijk de mogelijkheid geboden om zich aan te sluiten bij Z-CERT conform de aangenomen motie-Raemakers en Hijink van 25 juni 2019, aangezien Z-CERT in het genoemde artikel meldt dat de meeste incidenten nog steeds plaatsvinden omdat de basis niet op orde is?5

    Datalekken hebben vaak een systeem- en een menselijke component. Voor de systeem component kan Z-CERT, als de ICT brandweer, ondersteuning bieden bij een crisis en informatie delen en ter voorkoming van cyber incidenten informatie delen over relevante dreigingen en kwetsbaarheden van gebruikte systemen inzake dataveiligheid. Z-CERT is dan ook binnen deze context in gesprek met Jeugdzorg Nederland over wat zij voor elkaar kunnen betekenen. Door de risico gestuurde aanpak van Z-CERT gaan we opnieuw de mogelijkheden voor aansluiting onderzoeken. De aansluiting van Jeugdhulpaanbieders op Z-Cert kan dan op zijn vroegst in Q1 van 2021 starten.

  • Vraag 5

    Kijkt u nu anders naar de rol van het Ministerie van VWS als het gaat om het beter beveiligen van gegevens in de jeugdzorg?

    Het Ministerie van VWS draagt ketenverantwoordelijkheid voor de dataveiligheid in het jeugddomein. Jeugdhulpaanbieders dragen echter zelf de verantwoordelijkheid voor het op orde houden van hun eigen dataveiligheid, ook indien er sprake is van een fusie en/of naamswijziging. Zodoende vragen wij de branches Jeugdzorg Nederland, VGN en GGZ-Nederland een voortrekkersrol te spelen op het gebied van informatiebeveiliging. Voor dataveiligheid zijn door het Rijk als ketenverantwoordelijke regels gesteld, zoals de wettelijk verplichte NEN 7510 norm. Bovendien zijn er toezichthouders, zoals de AP en de IGJ. Alle jeugdhulporganisaties dienen aan deze wettelijke vereisten te voldoen.

  • Vraag 6

    Hoeveel pentesten zijn er afgelopen half jaar gedaan door het Ministerie van VWS en hoeveel worden er de komende periode uitgevoerd?

    In 2019 zijn er bij zes jeugdhulpaanbieders en Gecertificeerde Instellingen pentesten uitgevoerd en voor 2021 worden deze pentesten bij zes andere jeugdhulporganisaties uitgevoerd. De testen hebben plaatsgevonden bij grote jeugdhulporganisaties, omdat een datalek daar een impact zou kunnen hebben op een groot aantal cliënten.

  • Vraag 7

    Welke regels zijn er ten aanzien van ethisch hacken door derden, zoals journalisten, omdat hierbij inzage is in privacygevoelige gegevens?

    Met het oog op het verminderen van kwetsbaarheden in ICT-systemen heeft het Nationaal Cyber Security Centrum (NCSC) een Leidraad Coordinated Vulnerability Disclosure (CVD) opgesteld.6 Veel grotere Nederlandse organisaties hebben een eigen CVD gedragscode opgesteld en gepubliceerd op hun website. De organisatie geeft hiermee aan dat het is toegestaan – onder bepaalde randvoorwaarden – om de beveiliging van de ICT systemen van de organisatie ongevraagd te onderzoeken op mogelijke beveiligingsissues zonder dat er aangifte wordt gedaan. Als een ethische hacker zich houdt aan de gedragscode, zoals het niet publiceren van ingeziene data, zal de organisatie geen aangifte doen van computervredebreuk. Het vinden van kwetsbaarheden kan niettemin gepaard gaan met het overtreden van de wet. Als er aangifte wordt gedaan, is in Nederland het bestaan en naleven van CVD-beleid een relevante omstandigheid die de officier van justitie zal meenemen in zijn beslissing om al dan niet een strafrechtelijk onderzoek in te laten stellen en/of te vervolgen.

  • Vraag 8

    Kunt u deze vragen afzonderlijk en ruim voor het wetgevingsoverleg Jeugd van 23 november 2020 beantwoorden?

    Ja.

17 september 2020 - 18 november 2020
Het bericht 'Testlijnmedewerkers kunnen bij persoonsgegevens, ook als dat niet mag?'
Maarten Hijink (SP)
Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA)
1. NOS, 16 september 2020, «Testlijnmedewerkers kunnen bij persoonsgegev…
  • Vraag 1

    Wat is uw reactie op het bericht «Testlijnmedewerkers kunnen bij persoonsgegevens, ook als dat niet mag»?1

    Laat ik vooropstellen dat ik zorgvuldigheid bij het omgaan met persoonsgegevens van groot belang vind. De privacy van mensen die met de coronatestlijn bellen moet goed gewaarborgd zijn. Uit navraag bij de GGD-GHOR begrijp ik dat callcentermedewerkers, om hun werkzaamheden zorgvuldig en effectief te kunnen uitvoeren, toegang nodig hebben tot de persoonsgegevens van de mensen die bellen. Deze gegevens zijn onder andere nodig om afspraken in te plannen en testuitslagen te melden. Daarnaast moet een callcentermedewerker bijvoorbeeld, voordat hij of zij een uitslag doorbelt, in een dossier kunnen controleren of de uitslag inderdaad negatief is.
    De privacy van de betrokkenen is hierbij zoals gezegd goed gewaarborgd en er zijn de nodige checks & balances ingeregeld in de werkprocessen. Zo is er bijvoorbeeld een scherpe controle op de logging. Logging wil zeggen dat de handelingen van medewerkers in de ICT-systemen nauwlettend wordt bijgehouden. Hiermee is precies te zien welke dossiers door welke medewerkers worden ingezien. Daarnaast tekenen alle medewerkers voor ze aan de slag gaan een geheimhoudingsverklaring. Het is goed dat de GGD hier scherp op is en medewerkers hier op wijst, overtredingen opspoort en daar ook consequenties aan verbindt.

  • Vraag 2

    Hoe lang speelt dit al? Hoe lang zijn u en de GGD hiervan al op de hoogte?

    Zoals gezegd wordt veel waarde gehecht aan zorgvuldigheid bij het omgaan met persoonsgegevens. De GGD-GHOR geeft aan dat de callcentermedewerkers sinds de start van dit traject in hun training uitvoerig worden gewezen op hun privacy-verplichtingen. Door scherpe controle op logging worden overtredingen opgespoord. Indien door callcentermedewerkers moedwillig misbruik wordt gemaakt van de toegang die zij hebben tot persoonsgegevens, worden hier door de GGD de nodige consequenties aan verbonden.

  • Vraag 3

    Klopt het dat er niet wordt voldaan aan de Algemene verordening gegevensbescherming (AVG)?

    Nee. Bij het zorgvuldig omgaan met persoonsgegevens hoort ook het voldoen aan de relevante wet- en regelgeving, waaronder de AVG. Iedere organisatie en werkgever in Nederland dient zich hier waar relevant aan te houden. Dat geldt dus ook voor de uitvoerende partijen van de coronatestlijn en diens medewerkers. Daarom zijn de vereisten van de AVG ook bij het callcenter ingevoerd.

  • Vraag 4

    Op welke wijze wordt ervoor gezorgd dat het testbeleid zo spoedig mogelijk gaat voldoen aan de AVG? Welke aanvullende maatregelen worden door u, dan wel de GGD, genomen om dit in de toekomst te voorkomen?

    Zie mijn antwoord bij vraag 1.

17 september 2020 - 18 november 2020
Coronatestlijn
Kathalijne Buitenweg (GL), Corinne Ellemeet (GL), Paul Smeulders (GL)
Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Wouter Koolmees (minister sociale zaken en werkgelegenheid, viceminister-president ) (D66)
1. Nieuwsuur, 16 september 2020, «Medewerkers coronatestlijn kunnen bij persoonsgegevens, ook als dat niet mag»?
  • Vraag 1

    Bent u bekend met het bericht «Medewerkers coronatestlijn kunnen bij persoonsgegevens, ook als dat niet mag»?1

    Ja.

  • Vraag 2

    Vindt u ook dat mensen die de coronatestlijn bellen, zeker moeten kunnen weten dat hun gegevens zorgvuldig worden behandeld?

    Uiteraard moeten mensen zeker kunnen weten dat er zorgvuldig met hun persoonsgegevens wordt omgegaan. Om die reden is er een privacyverklaring opgesteld, zodat mensen weten wat er met hun persoonsgegevens wordt gedaan. Daarnaast is in het proces altijd rekening gehouden hoe met deze persoonsgegevens zorgvuldig moet worden omgegaan, conform de vereisten van de AVG.

  • Vraag 3

    Wat vindt u ervan dat persoonlijke gegevens van iedereen die een coronatest laat uitvoeren, toegankelijk zijn voor honderden medewerkers van de coronatestlijn? Klopt het dat dit in strijd is met de Algemene verordening gegevensbescherming (AVG), omdat medewerkers alleen gegevens zouden mogen zien die nodig zijn voor het uitvoeren van hun taak?

    Zie antwoord vraag 4 en 5.

  • Vraag 4

    Is er een manier waarop de privacy van betrokkenen beter gewaarborgd kan worden? Hoe kan de infrastructuur steviger en veiliger gemaakt worden om misbruik te voorkomen?

    Navraag bij de GGD-GHOR levert de volgende informatie op: Om hun werkzaamheden zorgvuldig en effectief te kunnen uitvoeren hebben callcenter- medewerkers toegang nodig tot de persoonsgegevens van de mensen die bellen. Deze gegevens zijn onder andere nodig om afspraken in te plannen en testuitslagen te melden. Daarnaast moet een callcentermedewerker bijvoorbeeld, voordat hij of zij een uitslag doorbelt, in een dossier kunnen controleren of de uitslag inderdaad negatief is. Dit wordt gedaan vanuit zorgvuldigheid. Het komt soms namelijk voor dat een laboratorium een uitslag corrigeert. Een dergelijke check voordat wordt gebeld is dus cruciaal. Omdat niet kan worden voorspeld wie er een bepaalde dag belt voor het maken van een afspraak, moeten alle callcentermedewerkers bij alle dossiers kunnen.
    Zorgvuldigheid is bij het omgaan met persoonsgegevens uiteraard van groot belang. De privacy van de betrokkenen is dan ook goed gewaarborgd en er zijn de nodige checks & balances ingeregeld in de werkprocessen. Zo is er bijvoorbeeld een scherpe controle op de logging. Door zorgvuldig te loggen wordt nauwlettend bijgehouden welke dossiers door wie worden ingezien.
    Daarnaast tekenen alle medewerkers voor ze aan de slag gaan een geheimhoudingsverklaring. Medewerkers die hun geheimhouding schenden door zonder reden dossiers in te kijken kunnen daardoor worden opgespoord. Het is goed dat de GGD hier scherp op is en medewerkers hier op wijst, overtredingen opspoort en daar ook consequenties aan verbindt.

  • Vraag 5

    Wat vindt u ervan dat er gegevens worden gedeeld in whatsapp-groepen? Waarom gebeurt dit? Vindt u ook dat medewerkers van de coronatestlijn beter getraind zouden moeten worden om met (medische) gegevens om te kunnen gaan? Zo ja, gaat u dit faciliteren? Zo nee, waarom niet?

    Na navraag bij de GGD-GHOR begrijp ik dat de callcentermedewerkers uitvoerig worden gewezen op de privacy-verplichtingen. Ze tekenen een geheimhoudingsverklaring voordat ze aan de slag gaan en de training volgen. Hierin staat ook informatie over het gebruik van Sociale Media. Tijdens het on-boardingsprogramma en in de training wordt hierover gesproken. Daar wordt benadrukt dat het maken van afbeeldingen van schermen en het delen hiervan niet is toegestaan. Op verschillende manieren worden medewerkers voorzien van de benodigde informatie en mogelijkheden om vragen te stellen. Iedere medewerker heeft een supervisor waar hij/zij met vragen of knelpunten terecht kan. Ook beschikken de medewerkers over een kennisbank die wekelijks wordt geüpdatet. Daarnaast is er een community-omgeving waar medewerkers digitaal op kunnen inloggen om elkaar vragen te kunnen stellen. Verder zijn er dagstarts opgezet waarbij o.a. updates van werkprocessen worden besproken in teamverband. Als blijkt dat er regels worden overtreden, worden er maatregelen genomen.

  • Vraag 6

    Waarom verwijst u voor een reactie naar de GGD, terwijl uw ministerie zelf de coronatestlijn heeft uitbesteed aan callcenterbedrijf Teleperformance?

    Het Ministerie van VWS heeft GGD GHOR Nederland de opdracht gegeven een callcenter op te zetten. Daarvoor is door hen gekeken wie de beste partij was om dit te leveren, GGD GHOR Nederland is hiermee de opdrachtgever aan Teleperformance. Ik hecht eraan om te vermelden dat de GGD’en zelf verantwoordelijk zijn en dat GGD-GHOR een samenwerkingsverband is om dergelijke zaken vanuit de verantwoordelijkheid van de GGD’en gezamenlijk te regelen.

  • Vraag 7

    Vindt u ook dat de medewerkers achter de coronatestlijn belangrijk werk doen en dat zij daarbij ook goed moeten worden ondersteund? Klopt het dat gewerkte uren niet altijd worden uitbetaald? Wat vindt u daarvan?

    Ja ik deel uw mening dat zij belangrijk werk doen. Inmiddels zijn de processen voor de controle op de uren en het disputenproces aangescherpt en er is een bezwaarcommissie ingesteld. De medewerkers worden ondersteund door middel van training, door een Supervisor, via Webinars en via diverse digitale kanalen (kennisbanken en vraagbaak).

  • Vraag 8

    Welke afspraken zijn er met Teleperformance gemaakt over de arbeidsvoorwaarden en arbeidsomstandigheden van de medewerkers van de coronatestlijn? Bent u bereid naar aanleiding van deze signalen opnieuw met Teleperformance in gesprek te gaan? Zo nee, waarom niet?

    Het kabinet hecht belang aan een goede naleving van de wet- en regelgeving met betrekking tot arbeidsvoorwaarden en -omstandigheden. Iedere werkgever in Nederland dient zich hier aan te houden. Dit geldt dus ook voor Teleperformance. Het is niet aan mij om met individuele bedrijven over de in hun onderneming geldende arbeidsvoorwaarden in gesprek te gaan. Het maken van afspraken over arbeidsvoorwaarden is een zaak van werkgevers en werknemers. De naleving van die afspraken is in eerste instantie de verantwoordelijkheid van de sociale partners. Indien sprake is van een algemeen verbindend verklaarde cao en sociale partners vermoeden dat die niet wordt nageleefd, kunnen zij wel op grond van artikel 10 van de wet AVV bij de Inspectie SZW een verzoek indienen om hier onderzoek naar te doen.
    Ook wat betreft de arbeidsomstandigheden zijn de werkgever en werknemer gezamenlijk verantwoordelijk. Indien er sprake is van onveilige en ongezonde arbeidsomstandigheden, kan dit worden gemeld bij Inspectie SZW.

10 september 2020 - 21 september 2020
Het bericht ‘VWS zet maaltijdbezorgers onder druk om corona-app’
Jan de Graaf (CDA)
Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA)
1. NRC, 8 september 2020, «VWS zet maaltijdbezorgers onder druk om corona-app»
  • Vraag 1

    Bent u bekend met het bericht «VWS zet maaltijdbezorgers onder druk om corona-app»?1

    Ja.

  • Vraag 2

    Is het waar dat vanuit het ministerie een beroep is gedaan op de Nederlandse Vereniging van Maaltijdbezorgers (NLVVM) om bezorgers te vragen de corona-app te installeren, en dat daarbij niet is vermeld dat gebruik van de applicatie altijd vrijwillig is? Wanneer is het beroep op de NLVVM gedaan? Was dit voor of na het Kamerdebat van woensdag 2 september jongstleden?

    Ja, de Nederlandse Vereniging van Maaltijdbezorgers (NLVVM) is op 18 augustus jl. benaderd om CoronaMelder breder onder de aandacht te brengen. Daarbij is gesuggereerd dat de vereniging haar bezorgers te vragen de app te downloaden. Dit had niet mogen worden gesuggereerd vanwege de gezagsrelatie tussen werkgevers en werknemers. Expliciet had vermeld moeten worden dat het gebruik van de app altijd vrijwillig en een eigen keuze is.
    Wel is toegestaan dat organisaties wordt gevraagd via hun eigen communicatiekanalen CoronaMelder in algemene zin onder de aandacht te brengen. Dit is belangrijk om CoronaMelder zo breed mogelijk bekend te maken. Er is geen sprake van direct of indirect verplichten als duidelijk wordt aangegeven dat het downloaden en gebruiken van CoronaMelder vrijwillig is en mensen niet persoonlijk worden gevraagd CoronaMelder te gebruiken.

  • Vraag 3

    Hoe is het mogelijk dat in communicatie niet wordt vermeld dat gebruik van de applicatie vrijwillig is?

    De mail die vanuit mijn ministerie is uitgegaan had anders gemoeten. Hoewel deze mail met de beste bedoelingen is geschreven, had de suggestie om «bezorgers te vragen de app te downloaden» niet gedaan mogen worden. Beter had benadrukt moeten worden dat het gebruik van CoronaMelder te allen tijde vrijwillig is.

  • Vraag 4

    Is ook op andere verenigingen, beroepsgroepen of andere partijen een dergelijk beroep gedaan? Zo ja, welke partijen betrof het en wanneer?

    In totaal zijn er 116 organisaties benaderd. Dit zijn organisaties met een groot bereik, grote werkgevers en organisaties die actief zijn in een omgeving waar kans op virusverspreiding groter is dan gemiddeld. Bestudering van de communicatie met deze 116 partijen, heeft uitgewezen dat in twee andere gevallen een beroep op organisaties is gedaan waarbij vrijwilligheid van gebruik van de app onvoldoende is benadrukt. Het gaat om communicatie richting PostNL (14 augustus jl.) en de ANWB (10 juli jl.). Deze partijen zijn benaderd om aan te geven deze communicatie anders had gemoeten en om te benadrukken dat het gebruik van de app te allen tijde vrijwillig is.

  • Vraag 5

    Wat is de taakomschrijving van de «manager partnerships coronavirus app»? Op welke wijze komt het uitgangspunt van absolute vrijwilligheid zonder enige vorm van dwang of drang tot uiting in deze taakomschrijving en de daarbijbehorende werkzaamheden, juist wanneer sprake is van een ongelijke relatie (werkgever/werknemer)?

    De betrokken medewerkers hebben tot opdracht om invulling te geven aan het doel van de partnerstrategie. Vrijwilligheid is altijd een uitgangspunt geweest in de ontwikkeling van de app, de communicatie over CoronaMelder en ook in het benaderen van mogelijke partners. Helaas is dat in bovengenoemde gevallen niet goed gegaan.

10 september 2020 - 9 december 2020
Het bericht dat een laptop eisen niet mag, maar scholen ermee wegkomen.
Peter Kwint (SP), Lisa Westerveld (GL)
Arie Slob (minister onderwijs, cultuur en wetenschap) (CU)
1. de Volkskrant, 9 september 2020 https://www.volkskrant.nl/nieuws-acht…
2. Parlisnr. 2018Z00853
3. Bijlage bij Kamerstuk 35 300-VIII, nr. 160 https:/…
4. Kamerstuk 32 034 nr. 37
5. Kamerstuk 35 300 VIII nr. 176
  • Vraag 1

    Bent u bekend met het artikel «Een tablet of laptop eisen van leerlingen – het mag niet, maar scholen komen ermee weg»?1

    Ja.

  • Vraag 2

    Wat vindt u ervan dat scholen de grenzen opzoeken om leerlingen alsnog een laptop of tablet te laten aanschaffen – die vaak honderden euro’s kosten – terwijl dit vrijwillig zou moeten zijn? En wat betekent dit volgens u voor gezinnen die dit geld niet zomaar klaar hebben liggen? Welke consequentie heeft dit voor de schoolkeuze?

    Scholen bepalen zelf welk lesmateriaal zij per leerjaar inzetten in hun onderwijs en in hoeverre ze dat op papier of digitaal doen. Ze ontvangen hiervoor bekostiging van de rijksoverheid. Binnen deze bekostiging moeten scholen voor iedere leerling een volwaardig onderwijsaanbod realiseren. Scholen mogen aan ouders vragen om zelf een laptop aan te schaffen maar dit moet altijd expliciet vrijwillig zijn. Scholen mogen ouders nooit verplichten een laptop aan te schaffen. Op het moment dat scholen schoolboeken vervangen door digitaal lesmateriaal en het bezit van een laptop (of tablet) voor het leerproces noodzakelijk is geworden, dienen scholen hierin zelf te voorzien.
    Wanneer scholen ouders verplichten om een laptop aan te schaffen handelen zij niet volgens de wet. De Inspectie van het Onderwijs ziet hier op toe en controleert bij elk onderzoek op de naleving van de wettelijke regels ten aanzien van de vrijwillige ouderbijdrage.

  • Vraag 3

    Wat vindt u ervan dat een steeds groter deel van het budget van Stichting Leergeld opgaat aan laptops en tablets voor gebruik in het onderwijs? En bent u het ermee eens dat deze gelden niet bedoeld zouden moeten zijn voor reguliere leermiddelen, zoals Stichting Leergeld stelt? Kunt u uw antwoord toelichten?

    Het is een goede zaak dat Stichting Leergeld zich inspant om kinderen uit gezinnen met minimale financiële middelen te laten deelnemen aan binnen- en buitenschoolse activiteiten. Tegelijkertijd is het uitgangspunt dat iedere leerling kosteloos onderwijs moet kunnen volgen op school. Scholen zijn daar zelf voor verantwoordelijk. Zie verder het antwoord op vraag 2.

  • Vraag 4

    Deelt u de mening dat het eisen van een laptops of tablets door scholen laat zien dat deze devices meer zijn dan enkel informatiedragers en daardoor niet bekostigd zouden moeten worden door leerlingen en hun ouders? Kunt u uw antwoord toelichten?

    Een laptop valt niet onder de definitie van lesmateriaal2 omdat het de drager is van informatie, zelf geen informatie is, en niet wordt voorgeschreven voor een specifiek leerjaar. Hierdoor valt een laptop of tablet niet onder het lesmateriaal dat scholen gratis aan ouders dienen te verstrekken. Dat wil echter niet zeggen dat een school ouders mag verplichten om een laptop aan te schaffen. Op het moment dat scholen schoolboeken vervangen door digitaal lesmateriaal en het bezit van een laptop (of tablet) voor het leerproces noodzakelijk is geworden, dienen scholen hierin zelf te voorzien. Iedere leerling moet immers kosteloos onderwijs kunnen volgen op school.

  • Vraag 5

    Bent u het eens met de voorzitter van de VO-raad die zegt dat het «kulargument» is om te beweren dat een laptop enkel een informatiedrager is en er wordt gewerkt met een «definitie uit de vorige eeuw»? Kunt u uw antwoord toelichten?

    In de Wet Gratis Schoolboeken (WGS) uit 2008 zijn laptops (en andere devices) buiten de definitie van leermiddelen gehouden. In lijn met de motie-Westerveld3 zal ik in mijn reactie op de volgende evaluatie van de WGS ingaan op dit specifieke punt. Ik streef er naar om die evaluatie en de beleidsreactie daarop in de eerste helft van 2021 aan uw Kamer te zenden.

  • Vraag 6

    Wat vindt u van het standpunt van de Groep Educatieve Uitgeverijen (GEU), de branchevereniging van aanbieders van leermiddelen, dat een device geen leermiddel is, maar een platform waarop je leermiddelen kunt gebruiken?2

    Zie antwoord op vraag 5.

  • Vraag 7

    Acht u het wenselijk dat scholen extra geld kwijt zijn aan leermiddelen en hardware, vanwege hun digitale ambities, en dat dit betekent dat schoolbesturen onder andere deze materiële uitgaven deels financieren met de personele component van de lumpsumfinanciering, zoals wordt gesteld in het rapport van McKinsey naar de doelmatigheid en toereikendheid van de bekostiging in het onderwijs? Kunt u uw antwoord toelichten?3

    Scholen ontvangen de bekostiging voor personeel en exploitatie als één lumpsum en maken zelf keuzes over de besteding daarvan. De verdeelsleutel in de bekostiging is niet normstellend voor hoe scholen dit moeten uitgeven. Niet de OCW-beschikking, maar de onderwijsvisie van de school en de lokale behoeften van leerlingen moeten bepalend zijn bij deze keuzes.
    Op de korte termijn kunnen scholen de benodigde middelen voor digitalisering halen uit de lumpsum, die o.a. voorziet in middelen voor lesmateriaal in het algemeen. De komende jaren zal de inzet van eigentijdse technologie alleen maar belangrijker worden. In mijn beleidsreactie op het rapport van McKinsey stel ik daarom ook vast dat een toekomstbestendig stelsel één van de vijf thema’s is waar blijvend in geïnvesteerd moet worden.6

  • Vraag 8

    Welke andere conclusies trekt u op basis van het rapport van McKinsey als het gaat om digitalisering van het onderwijs en de bekostiging die daarmee gepaard gaat?

    Zie antwoord op vraag 7. Ik verwijs hiervoor ook naar de beleidsreactie op het rapport van McKinsey.

  • Vraag 9

    Klopt het dat de grootste barrière om digitale devices anders dan informatiedragers te bestempelen via de wet Gratis schoolboeken de financiering is? Kunt u uw antwoord toelichten?

    Zie antwoord op vraag 5.

  • Vraag 10

    Heeft u naar aanleiding van de aangenomen motie van het lid Westerveld aan het begin van dit schooljaar in kaart gebracht hoeveel schoolbesturen zelf niet kunnen voorzien in devices? Zo ja, kunt u de resultaten delen met de Kamer? Zo nee, waarom niet?4

    Ja, daardoor heeft de beantwoording van deze vragen wat langer op zich laten wachten. Via de website lesopafstand.nl heeft Kennisnet op verzoek van OCW en de Raden van 1 oktober tot 16 november 2020 een enquête gehouden naar knelpunten bij het organiseren van hybride onderwijs en onderwijs op afstand. Alle schoolbesturen in het basis- en voortgezet onderwijs zijn door OCW en de PO-Raad en VO-raad op deze uitvraag gewezen. Op het peilmoment van 16 november 2020 hadden 102 respondenten (bestuurders, leraren, ict-coördinatoren) de vragenlijst ingevuld. Daarvan gaf 60 procent aan onvoldoende devices beschikbaar te hebben voor leerlingen en leerkrachten als een aantal leerlingen tevens thuis afstandsonderwijs moet ontvangen of bij een (gedeeltelijke) schoolsluiting. Ik neem deze signalen serieus als een indicatie van mogelijke knelpunten bij hybride-en afstandsonderwijs tijdens de corona crisis. Zoals vermeld in de brief «Tijdelijke banen en het voorkomen van onderwijsachterstanden door de coronacrisis»8 heb ik daarom € 3 miljoen beschikbaar gesteld om via SIVON opnieuw devices te verstrekken, met name aan scholen in het primair en voortgezet onderwijs die veel leerlingen hebben met een risico op achterstanden. Dat is bovenop de € 6,3 miljoen die in het voorjaar reeds beschikbaar is gesteld voor devices. Via sivon.nl worden de schoolbesturen geïnformeerd over de wijze waarop zij hiervoor een aanvraag kunnen indienen.

  • Vraag 11

    Vindt u het gezien de digitalisering op scholen niet tijd om devices, zoals laptops en tablet, als nieuwe categorie aan te merken in de wet Gratis schoolboeken en de daarbij behorende financiering te regelen? Zo ja, op welke termijn gaat u dit regelen? Zo nee, waarom niet?

    Zie het antwoord op vraag 5.

  • Vraag 12

    Wat is de stand van zaken van de evaluatie van de wet Gratis schoolboeken en meer specifiek die van de uitwerking van de motie van het lid Westerveld c.s.? Wanneer kan de Kamer deze verwachten?5

    Zie het antwoord op vraag 5.

  • Vraag 13

    Deelt u de mening dat de coronacrisis en de noodzaak tot het volgen van afstandsonderwijs, de urgentie benadrukt om devices toegankelijk te maken voor alle kinderen?

    De coronacrisis betreft een uitzonderlijke situatie waarin ik de schoolbesturen zo goed mogelijk ondersteun. Het belang van adequaat ingericht hybride- en afstandsonderwijs is hierin groot. Tegelijkertijd blijft het algemene uitgangspunt dat scholen verantwoordelijk zijn voor de kwaliteit en de continuïteit van het onderwijs, zonder verplichte meerkosten voor ouders, ook ten aanzien van devices.

10 september 2020 - 21 september 2020
Het bericht dat VWS maaltijdbezorgers onder druk zet om de corona-app te gebruiken
Attje Kuiken (PvdA)
Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA)
1. NRC Next, 9 september 2020, «VWS zet maaltijdbezorgers onder druk om corona-app».
2. Kamerstuk 35 538, nr. 10.
  • Vraag 1

    Kent u het bericht «VWS zet maaltijdbezorgers onder druk om corona-app»?1

    Ja.

  • Vraag 2

    Deelt u de mening dat het zowel tegen de letter, als wel tegen de geest van de Tijdelijke wet notificatieapplicatie covid-19 is als werkgevers hun medewerkers vragen om de CoronaMelder te gebruiken? Zo ja, waarom? Zo nee, waarom niet?

    Ja. Het is werkgevers vanwege de gezagsrelatie niet toegestaan hun werknemers direct dan wel indirect te verplichten tot het gebruik van CoronaMelder. Daaronder valt ook dat werkgevers hun werknemers niet mogen vragen CoronaMelder te downloaden.
    Wel is toegestaan dat organisaties wordt gevraagd via hun eigen communicatiekanalen CoronaMelder in algemene zin onder de aandacht te brengen. Dit is belangrijk om CoronaMelder zo breed mogelijk bekend te maken. Er is geen sprake van direct of indirect verplichten als duidelijk wordt aangegeven dat het downloaden en gebruiken van CoronaMelder vrijwillig is en mensen niet persoonlijk worden gevraagd CoronaMelder te gebruiken.

  • Vraag 3

    Deelt u de mening dat er sprake is van het gebruiken van een gezagsverhouding als een werkgever zijn medewerkers vraagt om de CoronaMelder te installeren? Zo ja, waarom? Waarom zetten uw ambtenaren dan toch werkgevers aan om dit te doen? Zo nee, waarom niet? Hoe verhoudt zich dat dan tot uw antwoord gegeven in de nota naar aanleiding van het verslag bij genoemde wet, dat ook niet indirect een werkgever door middel van het gebruik van een gezagsverhouding iemand mag vragen de CoronaMelder te gebruiken?2

    Ja. De mail die, voorafgaand aan het schrijven van de nota naar aanleiding van het verslag, vanuit mijn ministerie is uitgegaan had anders gemoeten. Hoewel deze mail met de beste bedoelingen is geschreven, had de suggestie om «bezorgers te vragen de app te downloaden» niet gedaan mogen worden. Zoals ook is opgemerkt in de nota naar aanleiding van het verslag hecht ik veel waarde aan vrijwilligheid, dit volgt uit de antimisbruikbepaling dat zowel het direct als indirect verplichten tot het gebruik van CoronaMelder is verboden.

  • Vraag 4

    Deelt u de mening dat doordat de «op de branche [drukt], de branche op het bedrijf, het bedrijf op het personeel» en omdat «zo’n branche of bedrijf graag weer een opdracht van het ministerie [wil]», dat dit ten koste gaat van de vrijwilligheid? Zo nee, waarom niet?

    Nee die mening deel ik niet. Zoals opgemerkt in het antwoord op vraag 3 had de in de mail die vanuit mijn ministerie is uitgegaan anders gemoeten. Beter had moeten worden benadrukt dat het gebruik van CoronaMelder te allen tijde vrijwillig is. Ook mogen werkgevers hun werknemers niet vragen CoronaMelder te downloaden. Dat neemt niet weg dat werkgevers het gebruik van CoronaMelder wel in het algemeen kunnen promoten, bijvoorbeeld door het ophangen van posters die afkomstig zijn van het ministerie. Dat is iets anders dan drang of dwang. Zolang daarbij duidelijk wordt aangegeven dat het downloaden en gebruiken van CoronaMelder vrijwillig is, is er mijns inziens geen sprake van druk en gaat het dus ook niet ten koste van de vrijwilligheid.

  • Vraag 5

    Kan ook het aandringen door het Ministerie van VWS bij een organisatie om zijn werknemers te vragen de CoronaMelder te gebruiken, een strafbaar feit opleveren bijvoorbeeld omdat door middel van gebruik van een gezagsverhouding die organisatie en indirect de werknemers aangezet worden tot het gebruik van de CoronaMelder? Zo ja, waarom? Zo nee, waarom niet?

    Ja een dergelijke gedraging zou na inwerkingtreding van het wetsvoorstel een strafbaar feit kunnen opleveren. Of dat in een specifiek geval ook daadwerkelijk zo is, is aan de rechter. Verder verwijs ik voor het antwoord op deze vraag naar het antwoord op vraag 3.

  • Vraag 6

    Herinnert u zich uw antwoord in de genoemde nota naar aanleiding van het verslag waaruit blijkt dat «de ambtenaar – waaronder ook een Minister wordt verstaan – die door misbruik van gezag iemand dwingt iets te doen, zich schuldig [maakt] aan het ambtsmisdrijf van artikel 365 van het Wetboek van Strafrecht»? Acht u het mogelijk dat uw ambtenaren zich door het aanzetten tot het gebruik van de CoronaMelder zich schuldig hebben gemaakt aan een strafbaar feit te weten het overtreden van de antimisbruikbepaling? Zo ja, waarom? Zo nee, waarom niet?

    Ja dat herinner ik mij. Verder verwijs ik voor het antwoord op deze vraag naar het antwoord op vraag 3 en 6.

4 september 2020 - 26 oktober 2020
DDoS-aanvallen op internetproviders
Arne Weverling (VVD)
Mona Keijzer (staatssecretaris economische zaken) (CDA)
1. AD, 1 september 2020
  • Vraag 1

    Bent u bekend met het bericht «Netwerk Caiway opnieuw getroffen door DDoS-aanval»?1

    Ja

  • Vraag 2

    Kunt u aangeven, door middel van een overzicht, hoeveel DDoS-aanvallen op internetproviders of andere bedrijven in de vitale digitale infrastructuur er over de afgelopen jaren hebben plaatsgevonden? Hoeveel DD0S-aanvallen hebben er op het brede midden- en klienbedrijg (mkb) plaatsgevonden over de afgelopen jaren?

    De meest gestructureerde statistieken die beschikbaar zijn over DDoS-aanvallen zijn afkomstig van de Nationale Beheersorganisatie voor Internet Providers (NBIP). NBIP rapport jaarlijks over de DDoS-aanvallen die gemeten zijn door hun Nationale DDoS Wasstraat (NaWas).2 De NaWas is een privaat non-profit initiatief om DDoS-aanvallen te mitigeren. De NaWas heeft 90 deelnemers en beschermt 2,5 miljoen.nl domeinen, ongeveer 42,5% procent van het Nederlandse internet. In 2019 zijn 919 aanvallen geregistreerd door de NaWas, gemiddeld twee tot 3 per dag. Dit is een lichte daling ten opzichte van het aantal aanvallen in 2018, terwijl het aantal deelnemers groeide in dezelfde periode. De intensiteit van DDoS-aanvallen neemt al jaren gestaag toe. Daarin is geen uitsplitsing te maken naar sectoren.

  • Vraag 3

    Welke impact hebben dergelijke DDoS-aanvallen op internetgebruikers en het bedrijfsleven? Is een inschatting te maken van de economische schade als gevolg van de verstoring van het internet die DDoS-aanvallen veroorzaken?

    DDoS-aanvallen zijn dagelijks aan de orde in het digitale domein. Om de impact te beperken nemen organisaties mitigerende maatregelen. Dat kan in eigen beheer, via commerciële partijen en men kan zich aansluiten bij de NaWas. Voor internetproviders geldt dat zij een zorgplicht hebben om maatregelen te nemen ten behoeve van de continuïteit van hun dienstverlening op basis van de Telecommunicatiewet. Aanbieders van essentiële diensten hebben een plicht om passende technische en organisatorische beveiligingsmaatregelen te nemen op basis van de Wet bescherming netwerk- en informatiesystemen (Wbni). Succesvol gemitigeerde aanvallen hebben niet of nauwelijks impact op de continuïteit van de dienstverlening van een bedrijf of voor internetgebruikers. Een inschatting van de economische schade als gevolg van een verstoring van het internet als gevolg van een DDoS-aanval is niet te maken omdat het afhangt van een groot aantal factoren zoals de omvang van de verstoring, de duur van de verstoring en welke diensten worden getroffen.

  • Vraag 4

    Welke rol speelt het Digital Trust Center (DTC) in het voorkomen van DDOS-aanvallen en het beperken van de gevolgen van DDOS aanvallen voor het brede mkb? In hoeverre helpt het NCSC het brede mkb hierbij? Welke mogelijkheden bestaan er om het brede mkb hier bij te helpen?

    DDoS-aanvallen zijn niet te voorkomen, het is wel mogelijk om de kwetsbaarheid voor en de impact van DDoS-aanvallen te verkleinen. Het DTC en het NCSC maken deel uit van het zogenaamde Landelijk Dekkend Stelsel van schakelorganisaties op het gebied van cybersecurity. Binnen dit stelsel kan, met inachtneming van de hiervoor geldende wettelijke kaders, informatie over bijvoorbeeld digitale kwetsbaarheden en DDoS-aanvallen worden gedeeld tussen publieke en private partijen, met als doel de slagkracht van de partijen te vergroten.
    Het DTC informeert niet-vitale bedrijven via haar website over wat te doen voor, tijdens en na een DDoS-aanval, zoals het maken van afspraken met hun ICT-leveranciers.3 Ook informeert het DTC bedrijven welke beschermingsmaatregelen zij kunnen nemen om minder kwetsbaar te zijn voor misbruik van digitale systemen.
    Het NCSC heeft primair tot taak de rijksoverheid en vitale bedrijven te informeren en adviseren over voor hen relevante digitale dreigingen en incidenten. Daarnaast verstrekt het NCSC ook, binnen de daarvoor geldende wettelijke kaders, aan andere organisaties voor die organisaties of hun doelgroepen relevante dreigingsinformatie, die in het kader van de primaire taakuitoefening beschikbaar is gekomen. Verder draagt het NCSC bijvoorbeeld ook met haar kennis en expertise bij aan de publiek-private anti-DDoS coalitie en faciliteert het de Information Sharing and Analysis Centers (ISACs). Binnen de ISACs wisselen aanbieders onderling kennis en informatie uit over onder andere DDoS-aanvallen. Naar aanleiding van de recente toename van het aantal en de intensiteit van DDoS-aanvallen, heeft het NCSC gewaarschuwd om extra waakzaam te zijn. Op haar beurt heeft het DTC de aangesloten samenwerkingsverbanden van bedrijven hierover geïnformeerd.

  • Vraag 5

    Hoe duidt u het feit dat, volgens cijfers van onder andere de nationale anti-DDoS-coalitie, de complexiteit en intensiteit van DDoS-aanvallen toeneemt? Welke consequenties voor de manier waarop er wordt samengewerkt om DDoS-aanvallen af te slaan dient deze observatie volgens u te hebben?

    Op basis van de gegevens van NBIP neemt de intensiteit van DDoS-aanvallen al een aantal jaren toe. In het Cyber Security Beeld Nederland 2020 kwam naar voren dat een toename van de complexiteit van DDoS-aanvallen volgens experts is uitgebleven. Met een toename van de intensiteit van DDoS-aanvallen neemt de noodzaak om samen te werken door kennis en technische mogelijkheden bij elkaar te brengen ook toe. De publiek-private anti-DDoS coalitie is hier een goed voorbeeld van. De anti-DDoS coalitie bestaat uit ongeveer vijfentwintig deelnemers vanuit overheidsorganisaties zoals het NCSC en Agentschap Telecom, internetproviders, internet exchanges, non-profit organisaties en universiteiten. De anti-DDoS coalitie is in 2018 gestart om Nederlandse organisaties beter te beschermen tegen DDoS-aanvallen door middel van kennisdeling, gezamenlijke oefeningen, het promoten van maatregelen tegen aanvallen en het ontwikkelen van technische oplossingen. Elk van deze onderdelen wordt ingevuld door een werkgroep van de coalitie waarin deelnemers kunnen plaatsnemen. De coalitie stelt zich ook tot doel om in brede zin organisaties te informeren over de ontwikkelingen en resultaten via hun website.4

  • Vraag 6

    Kunt u aangeven of de wijze waarop er op dit moment tussen providers kennis gedeeld wordt over het afslaan van DDoS-aanvallen naar behoren functioneert?

    Het delen van kennis en informatie tussen bedrijven vindt onder meer plaats in de ISACs en in de anti-DDoS coalitie. Mijn beeld is dat deze vormen van kennisdeling en samenwerking concreet bijdragen aan de aanpak van DDoS-aanvallen in Nederland. Een voorbeeld is dat in de anti-DDoS coalitie een zogenoemde clearing house wordt ontwikkeld waarbij in een technisch systeem de karakteristieken van een DDoS-aanval worden uitgewisseld tussen clearing house deelnemers. Dit project draagt ook bij aan de ontwikkelingen van clearing houses in Europa via het EU-project CONCORDIA. Tijdens de recente toename aan DDoS-aanvallen is ook informatie uitgewisseld tussen deelnemers in de coalitie om de kenmerken van de aanvallen scherper te kunnen duiden.

  • Vraag 7

    Op welke wijze zijn overheidsinstellingen, zoals het NCSC, betrokken bij het tegengaan van DDoS-aanvallen? Welke instrumenten heeft het NCSC om DDoS-aanvallen te voorkomen en de gevolgen te verkleinen? Welke verbeterpunten signaleert u hierbij?

    Zoals aangegeven bij de beantwoording van de voorgaande vragen verrichten verschillende overheidsinstellingen activiteiten ten behoeve van het bevorderen van de weerbaarheid met betrekking tot het tegengaan van DDoS-aanvallen via kennis, informatie en samenwerking. Het NCSC heeft krachtens de Wbni bijvoorbeeld NBIP aangewezen als organisatie waaraan in het kader van bovenvermelde taakuitoefening dreigingsinformatie kan worden verstrekt. Ook de Politie zet in het kader van haar taakuitoefening in op preventie, verstoring, opsporing en vervolging van daders en het uit de lucht halen van botnets die voor onder meer DDoS-aanvallen worden ingezet. Daarnaast wordt door Logius en CIO-Rijk afgestemd met internetproviders hoe directe koppelingen (peering) voor overheidsorganisaties behulpzaam kunnen zijn om de impact van DDoS-aanvallen te minimaliseren.

  • Vraag 8

    Deelt u de mening dat samenwerkingsverbanden gericht op het tegengaan van DDoS-aanvallen een belangrijke rol hebben in het versterken van onze digitale weerbaarheid? Op welke wijze neemt u deel aan dergelijke samenwerkingsverbanden?

    Ik deel de mening dat samenwerking cruciaal is om de digitale weerbaarheid in Nederland te versterken. Het bundelen van kennis en krachten is een hoeksteen van de Nederlandse cybersecurity aanpak in de Nederlandse Cyber Security Agenda. De anti-DDoS coalitie is een goed voorbeeld van samenwerking op een specifiek gebied waarbij kennis vanuit publiek, privaat en wetenschap bij elkaar komt om de weerbaarheid in Nederland te verhogen tegen DDoS-aanvallen.

  • Vraag 9

    Deelt u de mening dat het wenselijk is als, naast internetproviders met een landelijk netwerk, ook regionale providers, zoals Caiway of Delta, toetreden tot (publiek-private) samenwerkingsverbanden gericht op het afslaan van DDoS-aanvallen? Zo ja, bent u bereid deze providers hiertoe aan te sporen?

    Op basis van de Telecommunicatiewet hebben aanbieders van openbare elektronische communicatienetwerken of -diensten de plicht om passende technische of organisatorische maatregelen te nemen om de continuïteit van hun dienstverlening te waarborgen. Ik vind het van belang dat internetaanbieders een oplossing kiezen die het beste aansluit bij hun bedrijfsvoering om de continuïteit te waarborgen. Zoals aangegeven in het antwoord op vraag 3 kunnen mitigerende maatregelen voor DDoS-aanvallen op verschillende manieren worden geïmplementeerd, namelijk in eigen beheer, via een commerciële partij of door zich aan te sluiten bij de NaWas.

  • Vraag 10

    Wordt er, bijvoorbeeld in het kader van de stresstest digitale ontwrichting, geoefend op scenario’s van (grootschalige) verstoring van het internetverkeer als gevolg van DDoS-aanvallen? Op welke wijze komen de lessen die uit deze oefeningen getrokken worden terecht bij de providers?

    Binnen de anti-DDoS coalitie worden publiek-private oefeningen georganiseerd waar in een gecontroleerde omgeving een aantal partijen een DDoS-aanval inzet en aantal partijen de DDoS-aanval mitigeert. De lessen uit deze oefeningen worden gedeeld met de verschillende partners zodat zij verbetering door kunnen voeren in hun netwerken. De anti-DDoS coalitie wil deze lessen in de toekomst via hun site delen zodat meer partijen de opgedane lessen kunnen benutten. Deze oefeningen sluiten aan op de inzet van het kabinet voor een structureel oefen- en testprogramma conform de motie Weverling. 5

  • Vraag 11

    Worden «normale» internetgebruikers op dit moment voldoende voorgelicht over de noodzaak beschermingsmaatregelen te nemen om daarmee te voorkomen dat hun apparaten misbruikt worden voor het uitvoeren van een DDoS-aanval?

    Voor vergroten van de bewustwording van burgers op het gebied van digitale veiligheidsmaatregelen is informatie en handelingsperspectief beschikbaar op veiliginternetten.nl en er vinden campagnes plaats, zoals «Doe je updates». Door apparaten te updaten beschermen eindgebruikers niet alleen zichzelf. Ze zorgen er ook voor dat apparaten minder kwetsbaar zijn om onderdeel te worden van een botnet waarmee onder meer DDoS-aanvallen worden uitgevoerd.