Kamervragen

Alle

16 februari 2017 - 13 maart 2017

25 dagen

Het bericht dat er fouten bij het Agentschap Telecom zijn gemaakt bij de handhaving van de regiogerichtheidseis
	Remco Bosma (VVD)
	Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. https://mediamagazine.nl/radionl-fouten-agentschap-telecom-controle-r…
2. http://radio.nl/812748/dit-zijn-de-veranderdingen-op-fm-in-noord-en-o…

Vraag 1

Bent u bekend met het bericht: «RadioNL: Veel fouten Agentschap Telecom bij controle regiogerichtheid?»1

Ja.
Vraag 2

Herkent u de bewering van RadioNL dat er onjuist is gehandhaafd? Welke fouten zijn er volgens u wel of niet gemaakt?

Nee, de bewering herken ik niet. Naar mijn oordeel is er op goede en zorgvuldige wijze onderzoek verricht naar de naleving van de regiogerichtheidseis bij de programma’s van RadioNL. Ik heb RadioNL in de gelegenheid gesteld haar zienswijze te geven op de geconstateerde overtredingen en de voorgenomen sanctie. Op 23 februari jl. heeft RadioNL een zienswijze ingediend. Deze zienswijze gaat voornamelijk in op het verschil van inzicht ten aanzien van de regiogerichtheidseis. Het is een herhaling van de reeds bij mij bekende kritiek op genoemde eis. De zienswijze wordt zorgvuldig bestudeerd en zal vervolgens worden meegewogen in de besluitvorming omtrent de op te leggen sanctie.
Vraag 3

Hoe wordt de regiogerichtheidseis gehandhaafd? Wat zijn de wettelijke verplichtingen? Waar is dit op gebaseerd?

De regiogerichtheidseis is opgenomen in de vergunningvoorschriften. Het daarin opgenomen percentage regiogerichte programmering hebben vergunninghouders destijds zelf geboden in het kader van de verdeling van de vergunningen door middel van een vergelijkende toets. Dat percentage ligt in veel vergunningen ruim boven het wettelijk minimum van tien procent. Dit minimum percentage volgt uit de Regeling aanwijzing en gebruik frequentieruimte commerciële radioomroep 2003. Het Agentschap Telecom houdt toezicht op de naleving van deze regels. De wijze waarop de regiogerichtheid gehandhaafd wordt, is omschreven in de brieven van Agentschap Telecom van 20 mei en 8 juli 20162 aan de marktpartijen. Aanleiding om de uitgangspunten en de invulling van het begrip regiogerichtheid nog eens overzichtelijk op papier te zetten, vormden de uitspraken van het College van Beroep voor het bedrijfsleven (hierna: CBb) van 29 maart 20163 en de Rechtbank Rotterdam van 4 juni 20154. Deze uitspraken zijn mede bepalend voor de wijze van naleving en eventuele handhaving van de regiogerichtheidseis.
Vraag 4

Over welke criteria van de regiogerichtheidseis is er discussie bij de radiozenders?

Naar aanleiding van de hierboven genoemde uitspraak van het CBb heeft Agentschap Telecom de niet landelijke commerciële radiopartijen in de gelegenheid gesteld vragen te stellen en heeft er een bijeenkomst plaatsgevonden waarin Agentschap Telecom heeft aangegeven welke gevolgen deze uitspraak heeft voor het toezicht op de naleving en de eventueel daaropvolgende handhaving van de regiogerichtheidseis. De radiopartijen zijn daarna ruimschoots in de gelegenheid gesteld om hun programmering aan te passen aan het geldend kader. Als reactie daarop heeft een aantal marktpartijen aangegeven zich niet te kunnen vinden in de gegeven uitleg van het agentschap. Het gaat dan met name om het criterium van het uitzendgebied (het zogenaamde groene gebied) en het criterium van het verzoekplatenprogramma. Hoewel de verschilpunten derhalve divers zijn, kan daaruit wel de algemene lijn worden gedestilleerd dat de radiopartijen zich niet kunnen vinden in criteria die eraan in de weg staan dat, al dan niet via een aaneenschakeling van niet-landelijke vergunningen, een semi-landelijk programma kan worden uitgezonden.
Overigens heeft een aantal marktpartijen aangegeven dat zij de programmering inmiddels aangepast heeft aan de geldende eisen.
Vraag 5

Welke ontwikkeling in de frequentieverdeling is er als gevolg van toenemende handhaving te zien? Wat heeft dit voor effect op de regiogerichtheidseis?2

Zoals ook bij het vorige antwoord is benoemd, is door een aantal radiopartijen aangegeven dat zij de programmering hebben aangepast na de uitspraak van het CBb en de gegeven uitleg daarvan door Agentschap Telecom. Eén niet-landelijke commerciële vergunninghouder heeft drie FM-vergunningen teruggegeven. Deze vergunningen zijn inmiddels ingetrokken en zullen opnieuw worden verdeeld (veiling). Bij een verdeling van teruggegeven vergunningen kan het regiogerichtheidspercentage worden verlaagd tot het minimum van tien procent uit de Regeling aanwijzing en gebruik frequentieruimte commerciële radioomroep 2003. Ik streef ernaar deze verdeling aan het eind van dit jaar te laten plaatsvinden. Ook de radiopartij die deze vergunningen heeft ingeleverd kan aan deze verdeling meedoen.

2 februari 2017 - 1 maart 2017

27 dagen

De berichten ‘Datalekken bij gemeenten; het is een beetje een zooitje’ en ‘Organisaties worstelen met nieuwe privacy wetgeving’
	Astrid Oosenbrug (PvdA)
	Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

1. https://www.nrc.nl/nieuws/2017/01/27/datalekken-bij-gemeenten-het-is-…
2. http://www.binnenlandsbestuur.nl/digitaal/nieuws/organisaties-worstel…
3. Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 813
4. Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 813

Vraag 1

Kent u de berichten «Datalekken bij gemeenten; «het is een beetje een zooitje»» en «Organisaties worstelen met nieuwe privacy wetgeving»?1 2

Ja.
Vraag 2

Deelt u de mening dat het schokkend is dat het beleid rond datalekken bij gemeenten nog steeds een zooitje is, dat gemeenten geen eenduidig beleid voeren rond datalekken, en dat datalekken niet altijd gemeld worden bij de Autoriteit Persoonsgegevens, terwijl dit wel verplicht is sinds januari 2016? Zo ja, hoe is het dan mogelijk dat gemeenten zich nog steeds in heel verschillende mate bewust zijn van de datalekken in hun organisatie en dat nog steeds niet binnen alle gemeenten bekend is dat bijvoorbeeld een verloren usb-stick met gevoelige gegevens ook een datalek is? Zo nee, waarom niet?

Ik deel het geschetste beeld niet. Niet ieder beveiligingsincident is een datalek en niet ieder datalek is meldplichtig. Gemeenten zijn gehouden aan de meldplicht datalekken en de beleidsregels die de Autoriteit Persoonsgegevens (AP) heeft opgesteld, die organisaties helpen bij het bepalen of er sprake is van een datalek. Het is aan AP om te bepalen of organisaties daarin in gebreke zijn.
Gemeenten worden bij hun informatiebeveiliging ondersteund door de Informatiebeveiligingsdienst (IBD). De IBD heeft ondersteuningsproducten ontwikkeld en beschikbaar gesteld aan gemeenten. Daarnaast biedt de helpdesk van de IBD hulp bij de beoordeling van de vraag of een beveiligingsincident een datalek is en of gemeld moet worden bij de AP en/of betrokkenen.
De AP heeft aangekondigd om de gemeenten via de VNG nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden.
Het college van burgemeester en wethouders is verantwoordelijk voor informatiebeveiliging in de eigen organisatie. Ik wijs erop dat gemeenten ook collectief hun verantwoordelijkheid nemen. De gemeenten hebben zich tijdens de bijzondere ALV van de VNG van 2013 via de resolutie «Informatieveiligheid, randvoorwaarde voor de professionele gemeente» gecommitteerd aan de baseline informatiebeveiliging gemeenten (BIG). Dat gezamenlijk normenkader biedt voldoende handvatten om een solide informatieveiligheidsbeleid te voeren. Het is aan de gemeenteraad om het college hierop te controleren. Los van het beleid zijn gemeenten natuurlijk gehouden aan de wettelijke kaders en verplicht om zorgvuldig om te gaan met gegevens.
Vraag 3

Deelt u de mening dat het tevens zeer schokkend is dat slechts bij 18% van de datalekken bij gemeenten dit aan de betrokkenen gemeld is? Deelt u de mening dat betrokkenen altijd op de hoogte moeten worden gesteld van een datalek aangezien hun gegevens kunnen worden misbruikt? Zo ja, hoe gaat u gemeenten hierop aanspreken? Zo nee, waarom niet?

Als een lek aan de Autoriteit Persoonsgegevens moet worden gemeld, betekent dat niet automatisch dat dit ook aan de betrokkene dient te worden gemeld. De gemeente waar het lek zich voordoet moet daarvoor een aparte afweging maken. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een melding gedaan moet worden aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Het is niet aan mij om de genoemde gevallen te beoordelen of het melden of niet melden aan betrokkenen rechtmatig is; dat is aan de toezichthouder, de AP.
Vraag 4

Hoe is het mogelijk dat de Autoriteit Persoonsgegevens op dit moment nog geen boetes heeft uitgedeeld aan gemeenten die hun informatiebeveiliging niet op orde hebben? Deelt u de mening dat het huidige beleid rond informatiebeveiliging te vrijblijvend is en gemeenten harder aangepakt moeten worden om hen te motiveren aan hun verplichtingen met betrekking tot het beschermen van privacy en persoonsgegevens te voldoen? Zo ja, wat gaat u hieraan doen? Zo, nee waarom niet?

Informatiebeveiliging bij gemeenten is niet vrijblijvend. Informatiebeveiliging is krachtens de Wbp verplicht. De wetgever heeft de Autoriteit Persoonsgegevens ingesteld om toezicht op de naleving van de wet uit te oefenen. De AP is onafhankelijk. Het is daarom aan de AP en niet aan mij om te besluiten of een boete of een andere interventie op zijn plaats is.
Informatiebeveiliging is een verantwoordelijkheid van de gemeente zelf, waarbij de gemeenteraad een controlerende taak heeft. Ik moet die positie van de gemeenten respecteren en onthoud mij daarom van een oordeel ter zake. De AP heeft, zoals ik aangeef in het antwoord op vraag 2, aangekondigd om de gemeenten nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden.
Vraag 5

Hoe beoordeelt u de onderzoeken van Reporter-radio (KRO-NCRV) en PwC waaruit blijkt dat gemeenten blijkbaar toch niet zelf in staat zijn om de door hun gebruikte informatiesystemen te beveiligen? Hoe beziet u dit in het licht van uw antwoorden op eerdere vragen over datalekken bij gemeenten3 waarin u stelt dat dit een verantwoordelijkheid van gemeenten zelf is?

Zoals ik in de beantwoording van vraag 4 aangeef, is de beveiliging van informatie een verantwoordelijkheid van de gemeente zelf. Dat er zich incidenten voordoen, betekent mijns inziens niet dat gemeenten niet in staat zijn zelf hun informatiesystemen te beveiligen. Gemeenten worden daarbij actief door de VNG, in het bijzonder de IBD, ondersteund. Daarnaast is het belangrijk dat AP haar werk doet.
Vraag 6

Deelt u de zorgen van de indiener over de uitkomst van het PwC Privacy Governance onderzoek dat slechts een op de tien organisaties klaar is voor de gewijzigde privacywetgeving die in mei 2018 van kracht wordt?

In het Privacy governance onderzoek onder 210 organisaties in onder meer de publieke sector geeft 9% van de organisaties aan nu al te voldoen aan de verplichting uit de Algemene Verordening Gegevensbescherming (AVG) om alle verwerkingen van persoonsgegevens inzichtelijk te hebben en te documenteren. Dat is voor deze organisaties een belangrijke stap in de goede richting, maar – zonder de specifieke situatie per organisatie te kennen – zullen ook deze organisaties waarschijnlijk nog verdere stappen moeten ondernemen om aan de AVG te voldoen. Ook hiervoor geldt dat elke organisatie, publiek en privaat, zelf verantwoordelijk is voor naleving van de regels in de AVG en de daarop gebaseerde wetgeving. Dit is inherent aan het juridische systeem van de AVG die elke verantwoordelijke voor gegevensverwerking zelf de verantwoordelijkheid oplegt voor naleving ervan. Vanuit de departementen en koepelorganisaties worden wel enkele faciliterende activiteiten ondernomen om organisaties te ondersteunen bij de implementatie.
Vraag 7

Hoe beoordeelt u het resultaat van het onderzoek van PwC dat het erop lijkt dat nog weinig organisaties de voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) in gang hebben gezet en dat slechts 22 procent van de organisaties met regelmaat risicoanalyses zoals het privacy impact assessment uitvoert?

Uit het onderzoek blijkt dat 55% van de onderzochte organisaties standaard of ad-hoc privacy impact assessments uitvoert. 39% doet dit niet en 6% van de respondenten geeft aan het niet te weten.
Sinds 1 september 2013 wordt de PIA standaard toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien (Kamerstuk 26 643 nr. 282).
De beroepsorganisatie van IT-auditors (NOREA) heeft een handreiking voor de uitvoering van een PIA ontwikkeld die breed wordt gebruikt. Ook diverse sectoren, bijvoorbeeld de onderwijssector die werkt met een model PIA van de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland (SURF), zijn hier voortvarend mee aan de slag. Het is een goed teken dat organisaties, zowel bij overheid als bedrijfsleven, nu al aan de slag zijn zonder dat er een wettelijke verplichting geldt.
Vraag 8

Hoe beoordeelt u dit resultaat in het licht van uw antwoorden op mijn eerdere vragen4 waarin u stelt dat organisaties zelf verantwoordelijk zijn voor het beveiligen van de door hen gebruikte informatiesystemen? Deelt u de mening dat uit de onderzoeken blijkt dat gemeenten op dit punt onvoldoende hun verantwoordelijkheid nemen? Zo ja, wat gaat u hieraan doen? Zo nee, wat is volgens u de reden dat gemeenten de voorbereidingen op de AVG nog niet in gang hebben gezet en wat gaat u doen om dit probleem aan te pakken?

Ik kan op basis van de onderzoeken geen conclusies trekken over hoe ver de gemeenten zijn met het zich voorbereiden op de AVG. Ook voor de implementatie zijn de gemeenten zelf verantwoordelijk. De IBD helpt de gemeenten bij de implementatie en heeft daarvoor een aantal specifieke middelen ontwikkeld.
Vraag 9

Deelt u de mening dat het onacceptabel is dat slechts 31% van de deelnemers aan het PwC Privacy Governance onderzoek bij de ontwikkeling en implementatie van nieuwe systemen rekening houdt met de verplichting om aandacht te hebben voor privacy van betrokkenen en de bescherming van persoonsgegevens?

Gevraagd naar de stelling «Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy aspecten en de bescherming van persoonsgegevens (Privacy by Design principe)» gaf 31% van de respondenten aan daar nu al rekening mee te houden en 69% niet. In het huidige wettelijke kader van de Wbp is er nog geen wettelijke verplichting om het Privacy by Design principe toe te passen, hoewel dit wel wenselijk is.
Onder de AVG wordt de verwerkingsverantwoordelijke verplicht zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen (privacy by design en privacy by default). In dat licht beoordeel ik dat 31% van de respondenten nu al voldoet, zonder dat er een wettelijke plicht is, als positief.
Vraag 10

Bent u het ermee eens dat dit zeer zorgelijk is en ertoe leidt dat het probleem met datalekken in stand blijft en datalekken aan de orde van de dag blijven?

Net als de Autoriteit Persoonsgegevens ben ik van mening dat PIA’s en de principes van Privacy by Design, waaronder dataminimalisatie, een positieve bijdrage kunnen leveren aan het voorkomen van datalekken en daarmee aan de bescherming van persoonsgegevens. Dat is ook precies de reden dat deze principes, die bijvoorbeeld door het Rijk zijn omarmd, een plaats hebben gekregen in de AVG. Dat neemt niet weg dat de zorg voor een afdoende niveau van beveiliging van persoonsgegevens een blijvende verplichting is.
Vraag 11

Gaat u alle gemeenten verplichten zich te verantwoorden over de kwaliteit van hun informatieveiligheid met ENSIA per 1 juli 2017? Verwacht u dat datalekken hierdoor sterk zullen verminderen? Zo ja, waarom?

Het project ENSIA heef tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de BIG.
ENSIA gaat gemeenten helpen om meer inzicht te krijgen in de stand van zaken van de informatieveiligheid zodat ze er beter op kunnen sturen. ENSIA betreft een methodiek die een aantal reeds bestaande assessments/audits op het zelfde moment uitvraagt, waarbij door middel van een collegeverklaring informatiebeveiliging, een assurancerapport door een IT-auditor en een paragraaf informatiebeveiliging in het jaarverslag verantwoording wordt afgelegd aan de raad en aan de betrokken departementen.
Als ENSIA per 1 juli 2017 wordt ingevoerd dan gaan de gemeenten zich in 2018 over 2017 verantwoorden – in eerste instantie aan hun eigen gemeenteraad en in tweede instantie aan de desbetreffende departementen (BZK,SZW en I&M).
Datalekken zijn overigens niet alleen afhankelijk van de beveiliging van ICT-systemen, maar kunnen ook te maken hebben met het menselijk handelen, denk bijvoorbeeld aan het verliezen van een USB-stick met privacygevoelige informatie. Door invoering van ENSIA wordt wel verwacht dat in ieder geval het bewustzijn rondom informatieveiligheid bij gemeenten zal toenemen.
Vraag 12

Deelt u de mening dat 1 juli 2017 te laat is om dit probleem aan te pakken aangezien datalekken aan de orde van de dag zijn en er een risico bestaat dat er veel gevoelige informatie op straat komt te liggen of misbruikt kan worden?

De datum van 1 juli is gekozen als realistische datum waarop alle betrokken organisaties verwachten klaar te zijn voor de invoering van deze nieuwe wijze van verantwoorden. Versnelde invoering is niet mogelijk doordat de gemeenten hiervoor klaar moeten zijn, het instrument ook ontwikkeld dient te zijn en de afspraken met de IT-auditors gemaakt moeten zijn.
Vraag 13

Kunt u garanderen dat na de implementatie van ENSIA informatieveiligheid niet onderworpen wordt aan een eenmalige of ad hoc kwaliteitsmeting maar dat gemeenten vaker verantwoording dienen af te leggen waardoor de informatie continue beveiligd blijft?

ENSIA is niet eenmalig of ad hoc. De ENSIA-verantwoording sluit aan op de jaarlijkse planning- en controlecyclus van de gemeenten. Bovendien hebben de gemeenten met elkaar afgesproken dat zij zich jaarlijks willen verantwoorden via een aparte paragraaf over informatiebeveiliging over de volle breedte van de BIG in het gemeentelijk jaarverslag. Voorts dient via ENSIA jaarlijks verantwoording te worden afgelegd aan de departementen (aan BZK over DigiD, BRP en PUN, aan SZW over SUWInet en I&M over BAG/BGT).
Vraag 14

Bent u het ermee eens dat, om dit probleem aan te pakken en de informatiebeveiliging bij gemeenten structureel te verbeteren, gemeenten een autonoom budget moeten krijgen om informatieveiligheid op peil te houden en dat dit budget niet gekoppeld moet worden aan individuele systemen?

Ik ben van mening dat besluitvorming over het gewenste niveau van informatieveiligheid bij gemeenten en over de eventuele noodzaak tot prioritering daarin het beste op lokaal niveau kan plaatsvinden. Ik acht het op voorhand niet noodzakelijk om budgetten voor gemeenten af te zonderen of te oormerken. Een dergelijke maatregel verplicht gemeenten om een ontvangen budget voor informatieveiligheid aan dat doel te besteden. Informatieveiligheid behoeft een integrale inbedding in de organisatie – een benadering die verder strekt dan ICT. Het gaat om organisatie, processen, fysieke maatregelen en ICT.
Vraag 15

Hoe garandeert u dat binnen gemeenten aanbestede informatiesystemen ook na oplevering worden bijgewerkt? Is dit ook onderdeel van de Gemeentelijke inkoopvoorwaarden bij IT? Zo nee, waarom niet? Deelt u de mening dat dit een minimale eis bij het aanbestedingsproces zou moeten zijn?

De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn donderdag 8 december 2016 vastgesteld door het Verenigingsbestuur van de VNG. De totstandkoming van de GIBIT is onderdeel van het programma Digitale Agenda 2020 die als één van de speerpunten heeft om het ICT-opdrachtgeverschap bij gemeenten te professionaliseren.
Voor de kwaliteit van hun dienstverlening en uitvoering zijn gemeenten steeds meer afhankelijk van ingekochte ICT-producten en -diensten. Deze producten en diensten worden geleverd door bijna tweehonderd verschillende leveranciers. Gemeentelijke Inkoopvoorwaarden helpen gemeenten om te waarborgen dat ze een product krijgen dat ze echt willen, waarvoor duidelijke afspraken zijn gemaakt en dat aansluit bij hun behoefte en doelstellingen. Gemeenten en gemeentelijke samenwerkingsverbanden wordt aanbevolen de GIBIT op te nemen in het inkoopbeleid en te gebruiken bij de inkoop van IT.
In de GIBIT zijn specifieke artikelen opgenomen over privacy, beveiliging en archivering. Het hoofdstuk is van toepassing zodra er (persoons)gegevens met de ICT Prestatie worden verwerkt. Dat zal heel vaak het geval zijn, maar zeker niet altijd (bijv. niet bij hardware).
De GIBIT stelt gemeenten nadrukkelijk in staat om met informatiesystemen te kunnen voldoen aan de Baseline Informatie Beveiliging (BIG). Dit wordt onder meer gedaan via de Gemeentelijke ICT-kwaliteitsnormen waarin de BIG is verankerd. In de GIBIT zijn voorzieningen opgenomen dat leveranciers blijvend moeten voldoen aan deze Gemeentelijke ICT-kwaliteitsnormen, ook indien die normen aangepast worden. Hiermee wordt beoogd dat ook na oplevering bestaande informatiesystemen worden bijgewerkt. Gezien dat deze normen via de GIBIT worden geborgd wordt gemeenten aangeraden om de GIBIT inclusief deze bepalingen van toepassing te verklaren.
In de BIG is het de norm dat tijdig informatie dient te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie bloot staat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen (lees: updates en patches) voor behandeling van daarmee samenhangende risico's.

27 januari 2017 - 8 maart 2017

40 dagen

Het bericht dat een Brits bedrijf het IT-beveiligingsbedrijf dat Nederlandse staatsgeheimen beveiligd heeft overgenomen
	Jasper van Dijk , Ronald van Raak (SP)
	Jeanine Hennis-Plasschaert (minister defensie) (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

1. https://www.nrc.nl/nieuws/2017/01/24/wakker-geschrokken-na-britse-ove…

Vraag 1

Waarom is er voor gekozen om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen?1

De Nederlandse Staat kan opdrachten verstrekken aan bedrijven voor de ontwikkeling van beveiligingsproducten. De Nederlandse Staat stelt hoge eisen aan dergelijke producten. De kennis en techniek die hiervoor nodig is, is in sommige gevallen slechts aanwezig bij gespecialiseerde, private bedrijven. De Nederlandse overheid beschikt over de expertise om toe te zien op de ontwikkeling, veiligheid en kwaliteit van deze producten.
Vraag 2

Wat is uw reactie op de uitlatingen dat «als de Britse geheime dienst echt bij gevoelige informatie wil komen, zal ze lak hebben aan zulke procedurele scheidingen»?

De wettelijke voorschriften en contractuele (beveiligings)eisen die aan een privaat bedrijf worden opgelegd respectievelijk gesteld, zijn gericht op het voorkomen van ongewenste toegang ook tot gevoelige informatie.
Vraag 3

Kunt u garanderen dat de Nederlandse staatsgeheimen niet in handen komen van de Engelsen, nu Fox-IT is overgenomen door een Brits bedrijf?

Zie het antwoord op vraag 2.
Vraag 4

Hoe kan het dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) niet op de hoogte was van deze bedrijfsovername?

Op grond van de bestaande contractuele afspraken met het betreffende bedrijf bestond niet de verplichting om de NCTV op de hoogte te stellen van een voorgenomen overname. Wel zijn voorafgaand aan de overname de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie ingelicht. In het algemeen geldt voorts dat onder de bestaande Nederlandse wet- en regelgeving er geen beperkingen zijn op te leggen aan dergelijke overnames door buitenlandse partijen.
Vraag 5

Hoe kan het dat de overheid al jaren voorbereid was op een buitenlandse overname en de ambtenaren er toch door verrast waren?

Zie antwoord vraag 4.
Vraag 6

Is er onvoldoende kennis binnen de overheid om staatsgeheimen te beveiligen? Zo ja, wat gaat u hiertegen ondernemen?

Zie het antwoord op vraag 1.
Vraag 7

Waarom is er niet eerder, omdat er al rekening gehouden werd met een buitenlandse overname, ingezet op meer kennis van het beveiligen van staatsgeheimen door de overheid zelf?

Zie het antwoord op vraag 1.
Vraag 8

Waarom heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) deze deal niet geblokkeerd?

De MIVD beschikt niet over de bevoegdheid om overnames te blokkeren.

4 januari 2017 - 13 februari 2017

40 dagen

Russische hackers die gebruikmaken van Nederlandse server
	Sharon Gesthuizen (GL), Ronald van Raak (SP)
	Ard van der Steur (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

1. Nos.nl, 2 januari 2017, http://nos.nl/l/2151180

Vraag 1

Wat is uw reactie op het bericht dat Russische hackers gebruik zouden hebben gemaakt van een Nederlandse server?1

Het kabinet doet in het openbaar geen uitspraken over specifieke casussen. We worden als bewindspersonen langs geëigende kanalen geïnformeerd over ontwikkelingen en incidenten.
Het kabinet zal uw Kamer blijven informeren over ontwikkelingen omtrent cyberdreigingen, onder meer via het Cyber Security Beeld Nederland (CSBN) en de jaarverslagen van de AIVD.
In algemene zin kan worden aangegeven dat het kabinet, onder meer in het CSBN 2016 heeft geconstateerd dat statelijke actoren steeds meer inzetten op digitale middelen voor spionage-, beïnvloedings- en sabotagedoeleinden. Zoals in jaarverslagen van de AIVD is vermeld wordt Nederland misbruikt als doorvoerhaven voor digitale aanvallen. Nederland beschikt over veel bandbreedte, een van ’s werelds grootste internetknooppunten en legio mogelijkheden voor het huren van server(ruimte)s.
Vraag 2

Op welke manier gaat u zich hierover uitgebreid op de hoogte laten stellen? Bent u bereid ook de Kamer hierover op de hoogte te houden?

Zie antwoord vraag 1.
Vraag 3

Klopt het dat dit soort aanvallen niet kunnen worden voorkomen? Zo nee, waarom niet? Wat wordt ondernomen teneinde dergelijke aanvallen zoveel mogelijk te voorkomen?

Het wijdverspreide en steeds toenemende gebruik van digitale technologie maakt het onmogelijk om alle digitale aanvallen te voorkomen. Wat betreft het voorkomen van dergelijke aanvallen, voor zover zij zijn gericht op politieke partijen, verwijzen wij u naar het antwoord op vraag 2 in de beantwoording van de vragen van de van de vaste Kamercommissie voor Binnenlandse Zaken van 23 januari 2017.2 Het verhogen van bewustzijn rondom cybersecurity neemt hierin een belangrijke plaats in.
Verwezen zij in dit verband ook naar het bij uw Kamer aanhangige voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Met de modernisering van deze wet zal de overheid op grotere schaal zicht kunnen krijgen op digitale aanvallen, daardoor de reikwijdte daarvan eerder kunnen vaststellen en beter in staat zijn tegenmaatregelen te treffen.
Vraag 4

Klopt het dat spionnen gebruik hebben gemaakt van kwetsbaarheden in het mailverkeer van de Amerikaanse Democratische partij? Hoe worden dergelijke kwetsbaarheden in het Nederlandse mailverkeer voorkomen of opgelost?

Ten aanzien van de Russische activiteiten en intenties jegens de Amerikaanse presidentsverkiezingen verwijs ik naar het openbare rapport dat de Amerikaanse inlichtingengemeenschap op 6 januari jl.publiceerde.
Zoals ook aangegeven in reactie op eerdere vragen van de vaste Kamercommissie voor Binnenlandse Zaken met name vraag 2, zijn politieke partijen zelf primair verantwoordelijk voor het organiseren van hun informatiebeveiliging. Wel werkt het kabinet, zoals eveneens is aangegeven, permanent aan het vergroten van het bewustzijn rondom cybersecurity, in het bijzonder ook in relatie tot de verkiezingen in maart 2017. Zo is er in dat verband bijvoorbeeld vanuit de NCTV, in samenwerking met de inlichtingen- en veiligheidsdiensten, contact met politieke partijen over hun digitale veiligheid.

8 december 2016 - 16 december 2016

8 dagen

Het artikel ‘Een skelettransplantatie voor de BRP’ (Herdruk)
	Ingrid de Caluwé (VVD)
	Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Vraag 1

Kent u het artikel «Een skelettransplantatie voor de BRP», op de website Computable.nl van 7 december 2016?

Ja.
Vraag 2

Wat is uw oordeel over de in dit artikel getrokken conclusie, dat bij het uitfaseren van de codegeneratoren in feite het gehele skelet van het BRP-systeem-in-ontwikkeling is vervangen?

Deze conclusie voert te ver en wekt een verkeerde indruk.
Ter toelichting eerst het volgende: refactoren (Engels: refactoring) is het herstructureren van de broncode van een computerprogramma met als doel de leesbaarheid en onderhoudbaarheid te verbeteren of het stuk code te vereenvoudigen. Het refactoren van broncode verandert de werking van de software niet: elke refactorstap is een kleine, ongedaan te maken stap die de leesbaarheid verhoogt zonder de werking aan te passen.
In de brief bij de voortgangsrapportage Operatie BRP van 25 november jongstleden (Kamerstuk 27 859, nr. 97) heb ik gemeld dat het programma, in overleg met de interbestuurlijke stuurgroep, heeft besloten om het JAVA-model te herstructureren, waardoor de complexiteit van de broncode is afgenomen. Ik heb gemeld dat dat een positief effect heeft op de onderhoudbaarheid en dat de ontwikkeling er door kan worden versneld. Bij de herstructurering van het JAVA-model van de code zijn de codegeneratoren uitgefaseerd. Er zijn geen functionele wijzigingen doorgevoerd.
Het voert dus te ver om te stellen «dat het hele skelet van de BRP is vervangen» zoals in het artikel wordt gesteld.
Vraag 3

Waarom is in de voortgangsrapportage BRP de uitfasering van de codegeneratoren gepresenteerd als een logische stap in het project en slechts als een verbetering, terwijl het in feite een wezenlijke wijziging van het project behelst en het gevolg is van het niet voldoen aan de kwaliteitseisen van KPMG?

Mijn beeld is dat de uitfasering van de codegeneratoren een onderdeel is van de standaard ontwikkelwerkzaamheden. Vanaf de doorstart1 van het programma in 2013 werkt het programma er stapsgewijs en gecontroleerd naar toe om volledig te voldoen aan het door de stuurgroep vastgestelde normenkader voor de codekwaliteit2. Dit normenkader volgt de industriestandaard voor softwareontwikkeling. KPMG toetst periodiek in hoeverre de broncode aan het normenkader voldoet.
Het volledig gaan voldoen aan het normenkader codekwaliteit is regulier onderdeel van de lopende ontwikkelwerkzaamheden.
Bij de laatste toetsing door KPMG is vastgesteld dat de migratievoorzieningen volledig voldoen aan het kader en dat voor de BRP inmiddels vijf van de zeven gedefinieerde kwaliteitsdoelen gehaald worden.
Bij de ontwikkeling van de BRP werd tot nu toe gebruik gemaakt van codegeneratoren om bouwstenen voor basisfuncties te genereren. Daar is destijds voor gekozen vanuit de (terechte) verwachting dat er gaande de ontwikkeling zeer regelmatig wijzigingen op het gegevensmodel zouden plaatsvinden. Met generatoren kunnen die wijzigingen snel worden verwerkt. Al vanaf de eerste toetsing heeft KPMG opgemerkt dat de generatoren een aandachtspunt vormen bij de overdracht naar beheer, omdat generatoren standaardblokken opleveren die veel regels code beslaan, hetgeen de onderhoudbaarheid niet ten goede komt. Nu in de ontwikkeling het moment is gekomen waarop het gegevensmodel stabiel is en de overdracht naar beheer nadert, is het vraagstuk rond het al dan niet handhaven en in beheer geven van de generatoren door het architectenteam bezien en is besloten om het JAVA-model van de code te herstructureren en de betreffende codegeneratoren uit te faseren, in overleg met de interbestuurlijke stuurgroep.
Vraag 4

Hoe past de uitfasering van de codegeneratoren in de afspraak met de Kamer – op basis van het overgenomen advies van het BIT – dat nieuwe wijzigingen pas worden doorgevoerd nadat het huidige (lees d.d. oktober 2015) programma operatie BRP is afgerond en alle GBA aansluitingen zijn uitgefaseerd?

De herstructurering van de broncode is geen functionele wijziging. De afspraak om nieuwe wijzigingen pas door te voeren na afronding van het programma betreft nieuwe functionele wijzigingen. In de reactie op het BIT-advies wordt gesproken over «wijzigingen uit de omgeving». Van een functionele wijziging of wijziging vanuit de omgeving is hier geen sprake.
Naast functionele wijzigingen kunnen zich in het programma allerlei wijzigingen voordoen om geconstateerde onzekerheden op te lossen of om zaken te verbeteren. Er wordt van alle wijzigingen die invloed kunnen hebben op planning of begroting melding gemaakt aan de Kamer, zoals bij de herstructurering van de broncode dan ook is gebeurd. Dat is conform de door de BIT geadviseerde transparantie over planning en de onderzekerheden daarin.
Vraag 5

Hoe komt het dat in de bijlage bij de Kamerbrief van 25 november 2016 onder punt 9. «Status implementatie aanbevelingen BIT» wél wordt vermeld dat er wijzigingen in het project zijn uitgevoerd op verzoek van de Kamer, maar dat daar de uitfasering van de codegeneratoren niet als wijziging wordt vermeld?

Daar staan slechts de «wijzigingen uit de omgeving» vermeld. De refactoring is onder andere genoemd bij de onderdelen Voortgang Algemeen, Quality Assurance (beide onder punt 2) en Voortgang ontwikkelingen ICT-voorzieningen (punt 3).
Vraag 6

Welke inschattingen heeft u bij het besluit tot uitfasering van de codegeneratoren gemaakt over de verwachte verbetering van de functionaliteit van het systeem, het benodigde extra budget en de eventueel benodigde extra tijd?

In de voortgangsrapportage wordt toegelicht dat de herstructurering van het Java-model ten goede komt aan de onderhoudbaarheid en de beheerbaarheid. Andere, voor het resterende ontwikkeltraject belangrijke effecten zijn versnelling van het ontwikkeltempo, kortere inwerktijd voor nieuwe ontwikkelaars en kortere oplostijd van bevindingen. De doorlooptijd van de «refactoring» (12 weken) is een investering, die (langs de weg van de hiervoor beschreven effecten) terugverdiend kan worden. De stuurgroep stuurt daarop. Zoals in de Kamerbrief toegezegd, ga ik bij de volgende voortgangsrapportage in op het effect van de herstructurering.
Vraag 7

Hoe komt het dat u tijdens het debat over de begroting van uw ministerie voor 2017 heeft aangegeven dat de uitfasering van de codegeneratoren mogelijk tot uitloop en tot extra kosten kan leiden, terwijl dit in de voortgangsrapportage april-oktober 2016 (Kamerstuk 27 859 nr. 97, met bijlagen) nog niet is vermeld?

Ik heb in mijn brief gemeld dat de herstructurering een positief effect heeft op de onderhoudbaarheid en dat de ontwikkeling er door kan worden versneld. Ik heb daarbij echter ook gemeld dat de in de rapportageperiode opgeleverde releases maar beperkt nieuwe functionaliteit bevatten. En dat de niet gerealiseerde functionaliteit wordt doorgeschoven naar volgende releases.
Zoals in de Kamerbrief toegezegd, ga ik bij de volgende voortgangsrapportage nader in op het effect van de herstructurering, in de context van de gevalideerde integrale planning. Ik heb u in de voortgangsbrief gemeld dat ik het programma en de interbestuurlijke stuurgroep heb gevraagd in de komende maanden de nodige stappen te ondernemen om de validatie van de integrale planning af te ronden en daarbij (conform BIT-advies) ook weer de onzekerheden in kaart te brengen, zodat ik uw Kamer in het voorjaar van 2017 nader kan informeren.
Naast het effect van de herstructurering worden andere onzekerheden meegenomen, waarop in de komende periode duidelijkheid komt. Het gaat dan bijvoorbeeld om de impact van het gaan registreren van het buitenlands persoonsnummer en het registreren van levenloos geboren kinderen.
Zoals in de brief van 25 november gemeld zal de volgende voortgangsrapportage ingaan op het effect van de herstructurering van de broncode, de ontwikkeling van de complexe onderdelen van de bijhouding, de uitkomsten van het onderzoek naar de implementatie van de leveringsfunctionaliteiten en de afstemming met de ketenpartners. Daarbij zal ik uw Kamer dan de gevalideerde integrale planning (ontwikkeling, acceptatie/inbeheername en implementatie) van het programma doen toekomen.
Overigens heb ik BIT gevraagd – zoals in de Voortgangsrapportage is gemeld – om in het voorjaar van 2017 een toets uit te voeren op de plannen voor de inbeheername van de nieuwe voorzieningen. Ook vraag ik BIT om een toets op het ontwikkelprogramma van Operatie BRP, inclusief de codekwaliteit en de ontwikkelsnelheid. Ik zal BIT vragen ernaar te streven de toets af te ronden in het voorjaar, zodat ik u over de uitkomsten van deze toetsen kan informeren in de volgende voortgangsrapportage.
Vraag 8

Wat is uw oordeel over de «lappendeken» van software, zoals gesteld in het artikel, met de conclusie dat er straks een systeem staat dat al bij invoering zeer slecht onderhoudbaar zal zijn?

KPMG beoordeelt voortdurend de kwaliteit van de software. Alle rapportages daarvan zijn te vinden op www.operatiebrp.nl. In de meest recente rapportage van KPMG stellen de auditors juist dat de onderhoudbaarheid is toegenomen3. Bij de laatste toetsing is vastgesteld dat de migratievoorzieningen volledig voldoen en dat voor de BRP inmiddels vijf van de zeven gedefinieerde kwaliteitsdoelen gehaald worden. KPMG blijft gedurende de ontwikkeling toetsen en het doel is om volledig te gaan voldoen aan het normenkader en het is regulier onderdeel van de lopende ontwikkelwerkzaamheden. Ik herken de kwalificatie «lappendeken» dan ook niet.
Vraag 9

Bent u bereid deze vragen zo spoedig mogelijk, maar in ieder geval vóór het aanstaande Kerstreces te beantwoorden?

Ja.

7 november 2016 - 29 november 2016

22 dagen

Het bericht ‘Overname levert NXP-topman 391 miljoen op’
	John Kerstens (PvdA), Henk Nijboer (PvdA)
	Jeroen Dijsselbloem (minister financiën) (PvdA)

Bronnen

1. Nos.nl, 28 oktober 2016
2. Kamerstukken 31 763, nr. 19

Vraag 1

Bent u bekend met het bericht «Overname levert NXP-topman 391 miljoen op»?1

Ja.
Vraag 2

Begrijpt u de maatschappelijke onrust die ontstaan is omtrent deze absurd hoge beloning? Deelt u de mening dat een dusdanige beloning van bijna 400 miljoen euro exorbitant is? Deelt u de mening dat hierdoor een stap terug in de tijd wordt gezet naar de jaren van voor de crisis?

Ik begrijp dat er ophef is ontstaan over dit bericht. Ik heb geen oordeel over de in de media genoemde hoogte van het bedrag dat de uitvoerend bestuurder van NXP zou overhouden aan de aangekondigde overname van NXP. Ik verwijs hiervoor naar het antwoord op vragen 2 tot en met 5 van Kamerlid Klein.
Vraag 3

Deelt u de mening dat door dit soort beloningen Nederlandse bedrijven worden aangemoedigd de korte in plaats van de lange termijn in ogenschouw te houden?

Ik acht het van belang dat de bezoldiging van bestuurders op zodanige wijze wordt vormgegeven dat deze bijdraagt aan de lange termijn waarde van de onderneming. Dit kan bijvoorbeeld door bestuurders gedeeltelijk te belonen in aandelen en hen te verplichten deze enige tijd te houden. Ik heb begrepen dat in de praktijk een verschuiving heeft plaatsgevonden van het toekennen van opties als bezoldiging naar het toekennen van aandelen (vgl. het Volkskrant artikel van 29 januari 2015 «Opties uit de gratie als beloning voor topbestuurders» en het nalevingsrapport van de Monitoring Commissie Corporate Governance Code van december 2009). Niettemin zijn er bedrijven die bestuurders deels met opties belonen. De Nederlandse corporate governance code stelt voorwaarden aan beloning in opties en aandelen. Zo worden opties in ieder geval de eerste drie jaar na toekenning niet uitgeoefend, worden aandelen die zonder financiële tegenprestatie aan de bestuurders worden toegekend, aangehouden voor telkens een periode van ten minste vijf jaar en wordt het aantal toe te kennen aandelen en opties afhankelijk gesteld van de realisatie van vooraf aangegeven en uitdagende doelen. De Code werkt op basis van het pas toe of leg uit-principe. Ik verwijs hiervoor tevens naar het antwoord op vragen 2 tot en met 5 van Kamerlid Klein.
Vraag 4

Deelt u de mening dat beloningen aan de top in een redelijke, normale verhouding moeten staan tot die van gewone werknemers? Maakt u zich ook zorgen over de berichten dat deze verhouding wederom uit elkaar groeit? Wat bent u voornemens hieraan te doen?

Ik acht het van belang dat bij het vaststellen van de bezoldiging van bestuurders van een onderneming de verhouding daarvan tot de beloning van werknemers bij deze onderneming wordt meegewogen. Dit komt onder meer tot uitdrukking in principe II.2 van de Nederlandse corporate governance code. Het richtlijnvoorstel bevordering aandeelhoudersbetrokkenheid (COM 2014 213) bevat een voorstel om de beloningsverhoudingen tussen bestuurders en werknemers inzichtelijk te maken. Het kabinet onderschrijft het belang van het inzichtelijk maken van de verhouding van de beloning van bestuurders tot die van werknemers (Kamerstukken II,2013/2014, 22 112, nr. 1866). Dit onderhandelingen over dit richtlijnvoorstel bevinden zich op dit moment in de fase van de informele triloog. Bovendien wordt het voorstel tot wijziging van de Wet op de ondernemingsraden in verband met de bevoegdheden van de ondernemingsraad inzake de beloning van bestuurders (Kamerstukken II,2014/2015, 34 494, nrs. 1–3) in uw Kamer behandeld, dat het gesprek tussen ondernemer en ondernemingsraad beoogt te stimuleren over de ontwikkeling van de beloningsverhoudingen binnen de onderneming.
Vraag 5

Klopt het dat NXP voor bijna 50 miljoen euro aan subsidies heeft ontvangen van de overheid? Wat zijn de mogelijkheden nu aandeelhouders zoveel geld verdienen aan de verkoop van NXP om deze subsidies terug te vorderen?

NXP Semiconductors is de voormalige halfgeleiderdivisie van Philips. Het bedrijf is in 2006 verzelfstandigd. In de periode 2006–2016 heeft NXP in totaal € 96 miljoen subsidie ontvangen vanuit het Rijksbrede innovatiebeleid. Tegenover de totale subsidie staat een R&D-inspanning van NXP van € 305 miljoen.
Van het totaal aan innovatie-subsidies aan NXP is ongeveer twee derde onderdeel van projecten in zogenaamde publiek-private samenwerking (PPS). Daarbij zijn meerdere partijen betrokken, inclusief publieke kennisinstellingen. In de periode 2006–2016 is de totale omvang van PPS-projecten waar NXP een partner in was, € 667 miljoen. Aan deze projecten is in totaal € 218 miljoen subsidie toegekend, waarvan € 61 miljoen aan NXP en € 157 miljoen aan andere organisaties dan NXP. NXP heeft in totaal € 231 miljoen bijgedragen in PPS.
Onderstaande tabel geeft een samenvatting. Een overzicht van alle subsidies (directe en PPS) aan NXP is opgenomen in de bijlage.2
(miljoenen €; afgerond)
Totale projectkosten
Totale projectsubsidie
Projectkosten NXP
Subsidies NXP
Directe subsidies (geen PPS)
–
–
74
35
PPS met NXP
667
218
231
61
Totaal
667
218
305
96
In de tabel en het overzicht in de bijlage is mogelijke fiscale ondersteuning buiten beschouwing gelaten. Op grond van de fiscale geheimhoudingsbepalingen van artikel 67 van de Algemene wet inzake rijksbelastingen (AWR) kunnen geen mededelingen worden gedaan over de uitvoering van de belastingwet bij een individuele belastingplichtige. Subsidies vanuit «Europa» zijn ook buiten beschouwing gebleven. Dat geldt zowel voor KP/Horizon2020 projecten die volledig uit Europese middelen gefinancierd worden, als bijdragen uit Europese middelen aan Eureka projecten.
De subsidies hebben de innovatiekracht van de topsector High Tech Systemen en Materialen (HTSM) versterkt en hoogwaardige werkgelegenheid in Nederland gecreëerd. De omvangrijke investeringen van NXP in PPS zijn van groot belang geweest voor versterking van de Nederlandse kennisinfrastructuur. Zo heeft NXP in de periode 2013–2016 voor ruim € 10 miljoen bijgedragen aan onderzoek bij Nederlandse kennisinstellingen. Op grond hiervan is via de TKI-toeslagregeling € 2,7 miljoen extra naar kennisinstellingen gevloeid ten behoeve van nieuwe PPS-en. Een groot deel van de directe subsidies aan NXP is tijdens de crisisjaren cruciaal geweest voor behoud van kenniswerkers voor de Nederlandse HTSM-sector.
Het op 1 november 2016 door RTL Z genoemde bedrag van minstens € 50 miljoen overheidssubsidies is een inschatting van RTL Z op basis van een lijst met subsidiebedragen die in 2015 in het kader van een beroep op de Wet Openbaarheid van Bestuur (WOB) door het Ministerie van Economische Zaken is vrijgegeven. Op grond van die lijst, die betrekking heeft op de periode 2009–2014, kunnen geen uitspraken worden gedaan over de omvang van de subsidies aan NXP, aangezien in die lijst, van overwegend PPS-projecten, alleen de penvoerders van projecten en de subsidiebedragen per project staan vermeld. Een deel van de in die lijst vermelde projectsubsidies is dus niet bij NXP maar bij projectpartners terecht gekomen. Bovendien is in die lijst niet zichtbaar wat NXP heeft ontvangen in projecten waarbij een andere partij penvoerder was.
Voor het terugvorderen van een subsidie moet er sprake zijn van (opzettelijk) verstrekte onjuiste informatie op grond waarvan de subsidie is vastgesteld. Er zijn geen aanwijzingen dat hiervan sprake is bij de geïnventariseerde R&D-projecten met NXP-participatie. Terugvordering van subsidie is daarom niet aan de orde. Overigens is ook de termijn waarbinnen dat mogelijk zou zijn geweest (<5 jr) voor veel projecten intussen verstreken.
Vraag 6

Deelt u de mening dat, net als in de financiële sector, het variabele beloningsbeleid in het bedrijfsleven moet worden beperkt?

De financiële sector is een sector waarin, mede gelet op de financiële crisis, stringente regulering op het terrein van de variabele beloningen, noodzakelijk is gebleken onder meer vanwege de invloed op het financiële stelsel. Voor private ondernemingen buiten de financiële sector ligt dat anders. Ik verwijs hiervoor naar het antwoord op vragen 2 tot en met 5 van Kamerlid Klein.
Vraag 7

Hoe moet deze beloning worden gezien in het licht van de wettelijk regeling ten aanzien van tegenstrijdig belang en meer specifiek het amendement Tang-Irrgang dat heeft geregeld dat bij fusies en overnames het eigen financieel belang van bestuurders wordt bevroren, zodat zij dit niet kunnen laten meewegen bij het wel of niet laten doorgaan van een fusie of overname?2 Is de bezoldiging van de topman van NXP in strijd met deze wetgeving? Indien deze wetgeving niet van toepassing is op Nederlandse bedrijven die in het buitenland beursgenoteerd zijn, bent u dan bereid om deze wet zo aan te passen dat deze ook geldt voor bedrijven die wel in Nederland gezeteld zijn?

Artikel 2:129a BW bevat een regeling inzake tegenstrijdig belang. Op grond daarvan nemen uitvoerende bestuurders geen deel aan de besluitvorming in het bestuur over hun bezoldiging. Voor het amendement Tang/Irrgang verwijs naar de antwoorden op vragen 9 tot en met 11 en 13 tot en met 16 van Kamerlid Klein.

20 oktober 2016 - 16 november 2016

27 dagen

De mislukte aanbesteding van Zaakgericht Werken (ZGW) door de Dienst ICT Uitvoering
	Sharon Gesthuizen (GL)
	Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 115
2. Bijlage bij Kamerstuk 25 268, nr. 133

Vraag 1

Herinnert u zich uw antwoorden op mijn eerdere vragen over de mislukte aanbesteding van Zaakgericht Werken door de Dienst ICT Uitvoering (DICTU)?1

Ja.
Vraag 2

Welke voorwaarden bestaan er voor het intrekken van een aanbesteding en dezelfde opdracht te gunnen langs andere weg, in dit geval een minicompetitie?

Er is in casu geen sprake van «dezelfde opdracht». De opdracht die is uitgezet in de minicompetitie onder de Raamovereenkomst Applicatieontwikkeling DICTU is een andere dan de opdracht zoals uitgezet in de Europese aanbesteding. De oorspronkelijke opdracht (die is ingetrokken) had als doel de ontwikkeling van een generieke «Zaakgericht Werken» (ZGW)-dienst voor meerdere organisaties. De minicompetitie had als primair doel om één of twee partners te selecteren die samen met DICTU cloud-diensten (dus niet alleen de ZGW-dienst maar ook andersoortige diensten, zoals documentmanagement of financieel management) gaan ontwikkelen. Als eerste concrete diensten zijn in die minicompetitie, als onderdeel van de opdracht, de inrichting van een Zaakgericht Werken-dienst ten behoeve van Agentschap Telecom (AT) en de Inspectie voor de Gezondheidszorg (IGZ) opgenomen.
Vraag 3

Is in dit geval aan deze voorwaarden voldaan en op welke wijze is met de partijen die wel aan de aanbesteding konden deelnemen en niet aan de minicompetitie hierover gecommuniceerd?

DICTU heeft bij het intrekken van de Europese aanbesteding gehandeld overeenkomstig het gestelde in de aanbestedingsleidraad, namelijk dat DICTU zich het recht voorbehoudt om de aanbesteding geheel of gedeeltelijk, tijdelijk of definitief te stoppen. Hierover is met alle betrokken partijen gecommuniceerd.
De minicompetitie betrof een andere opdracht en ging tussen de vijf partijen die deel uitmaken van de door DICTU gesloten raamovereenkomst. Slechts drie van de negen partijen die hebben deelgenomen aan de Europese aanbesteding, maken ook deel uit van de raamovereenkomst.
Vraag 4

Hebben deze partijen de mogelijkheid gekregen de beslissing om een minicompetitie met dezelfde vraagstelling te houden aan te vechten?

De vraagstelling in de minicompetitie was een andere dan die in de Europese aanbesteding.
Vraag 5

Is bij de oorspronkelijke aanbesteding sprake geweest van een vaste prijs voor de opdracht en waren er criteria voor meerwerk? Is dit het geval geweest bij de minicompetitie?

In de oorspronkelijke aanbesteding is inderdaad sprake geweest van een vaste prijs. Partijen moesten een prijs bieden voor de levering van een generiek platform voor Zaakgericht Werken ten behoeve van DICTU en de inrichting op dit platform van het zaaksysteem ten behoeve van AT en IGZ. Bovendien moest vijf jaar onderhoud in de vaste prijs worden opgenomen.
In de minicompetitie is aan partijen gevraagd een indicatieve prijs op te geven voor de zogenaamde pré-projectfase van de inrichting van Zaakgericht Werken ten behoeve van AT en IGZ. Het gaat hierbij om de voorbereiding van de daadwerkelijke uitvoering. Dit heeft er mee te maken dat in de opdracht voor de mincompetitie is uitgegaan van een gefaseerde uitvoering, waarbij na elke fase een besluit volgt over de volgende fase inclusief kosten.
Vraag 6

Waarom zijn de afspraken tussen DICTU enerzijds en Agentschap Telecom (AT) en de Inspectie Gezondheidszorg (IGZ) anderzijds over financiering, leveringsvoorwaarden en een kostenmodel niet voorafgaand aan de minicompetitie gemaakt?2

Het uitgangspunt is gebleven dat het zaaksysteem wordt verrekend op basis van het gebruik. Bij de minicompetitie is in de uitvraag aan de partijen gevraagd conform dit model de kosten te specificeren. Daarmee wordt al in de uitvraag het risico van het verschil in afname verlegd naar de marktpartijen. De overige afspraken over leveringsvoorwaarden en inhoud waren eveneens onderdeel van de specificatie bij de uitvraag. De beoordeling van de offertes is afzonderlijk door AT en IGZ gedaan, zij kwamen onafhankelijk van elkaar tot dezelfde conclusie. De kosten maakten een gewogen onderdeel uit van de beoordeling van de offertes. De weging van de onderdelen van de uitvraag is op voorhand met AT en IGZ afgestemd.
Vraag 7

Zijn deze afspraken inmiddels gemaakt? Zo nee, welke risico’s brengt dit met zich mee voor DICTU?

Zie het antwoord op de vorige vraag.
Vraag 8

Zijn de stappen die reeds zijn gezet door het houden van de minicompetitie omkeerbaar? Zo nee, waarom zijn dan toch onomkeerbare stappen gezet in tegenstelling tot wat het BIT-advies stelde?

In lijn met het BIT-advies over het eerste aanbestedingstraject is voor het huidige traject gekozen voor een gefaseerde aanpak bij de implementatie voor AT en IGZ. Bij iedere fase wordt door de partijen beoordeeld of er qua financiën, voorwaarden en inhoud nog aan de verwachtingen wordt voldaan. De leveranciersafspraken zijn in lijn met deze gefaseerde aanpak. Inmiddels hebben AT en IGZ beide de eerste «proof of concept»-fase doorlopen en groen licht gegeven voor de volgende fase.
Vraag 9

Kunt u garanderen dat AT en IGZ in de huidige vorm van het project duidelijkheid hebben en krijgen over inhoud en opbouw van de op te leveren dienst?

Bij de eerste »proof of concept»-fase hebben AT en IGZ aangegeven een goed beeld te hebben gekregen van de dienst. In de volgende fase zal dit beeld steeds verder aangescherpt worden.

30 september 2016 - 26 oktober 2016

26 dagen

Het bericht “Gemeenten boos om tariefstijging Vicrea”
	Astrid Oosenbrug (PvdA), Manon Fokke (PvdA)
	Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

1. https://www.computable.nl/artikel/nieuws/overheid/5845702/250449/geme…

Vraag 1

Kent u het bericht «Gemeenten boos om tariefstijging Vicrea»?1

Ja.
Vraag 2

Heeft u er zicht op hoeveel gemeenten met de software van Vicrea werken en worden geconfronteerd met een onverwachte tariefstijging? Zo ja, hoeveel gemeenten krijgen te maken met deze tariefstijging? Zo nee, kunt u zich deze informatie verschaffen?

Volgens de inventarisatie van VNG en KING werken 195 gemeenten met Vicrea-software. Uit een voorlopige analyse blijkt dat er sprake is van prijsverhogingen tussen 40% – 1.150% bij een steekproef van 21 gemeenten.
Vraag 3

Kunt u de bewering van Vicrea plaatsen dat de verhoging te maken heeft met de investeringen die nodig zijn om het bedrijf verder te professionaliseren, met als doel «een algehele kwaliteitsverbetering van diensten, processen en producten», en met het proactief inspelen op trends die voor opdrachtgevers van groot belang worden? Zo ja, vindt u dat deze kosten horen tot het ondernemersrisico of dat ze aan afnemers doorberekend kunnen worden?

De bewering laat ik voor rekening van de betreffende leverancier.
VNG en KING streven in nauwe samenwerking en overleg met gemeenten en leveranciers naar een voortdurende kwaliteitsverbetering van de dienstverlening door gemeenten. De toepassing van adequate softwareproducten is in dat verband één van de middelen. Met betrekking tot de softwareproducten hebben VNG en KING met ca. 160 leveranciers een convenant gesloten waarin leveranciers, waaronder Vicrea, zich verplichten overeengekomen koppelingsstandaarden toe te passen. VNG en KING monitoren per kwartaal wat de voortgang is van de adoptie van open standaarden door leveranciers.
Voor handhaving van het convenant organiseren VNG en KING eens per kwartaal een compliancy-rapport, publiceren daarover en spreken leveranciers aan. VNG en KING hebben een uitvraag gedaan naar gemeenten om te onderzoeken of er behoefte bestaat om het voortouw te nemen voor een gezamenlijke actie.
Ik acht het een zaak van leverancier en afnemer om te bepalen of er sprake is van een ondernemersrisico of dat de kosten moeten worden doorbelast.
Vraag 4

Deelt u de mening dat het voor gemeenten mogelijk moet zijn om gemakkelijk naar een andere leverancier over te stappen als deze dezelfde diensten aanbiedt? Zo ja, deelt u ook de mening dat het gebruik van open standaarden ertoe kan bijdragen dat gemeenten flexibeler kunnen zijn in hun overstap naar een andere aanbieder? Zo nee, waarom niet?

Het antwoord op beide vragen luidt ja. De voorwaarde is wel dat de geleverde softwareproducten voldoen aan de afgesproken standaarden. Daarnaast klinkt overstappen eenvoudiger dan het is. Het is meer dan alleen het aanschaffen van nieuwe software: het is ook het aanpassen van processen en systemen en het opleiden van mensen. Dat kost tijd.
Vraag 5

Hoe verhoudt dit zich tot de motie Oosenbrug/Gesthuizen (Kamerstuk 33 326, nr. 21) waarin de regering wordt verzocht ervoor te zorgen dat voor eind 2015 bij alle aanbestedingen correct omgegaan wordt met de relevante open standaarden, te onderzoeken hoe de overheid door exitstrategieën minder afhankelijk kan worden van ICT-aanbieders, in elke aanbesteding van een nieuw ICT-project het bestek zodanig op te stellen dat opensourcetoepassingen een gelijke kans maken, en bij de keus voor een closedsourcetoepassing deze toe te lichten?

De essentie van de motie wordt bij gemeentelijke aanbestedingen breed toegepast. Reeds lopende trajecten waarbij niet altijd een aanbesteding nodig is vallen daar echter buiten. In de zaak Vicrea is er sprake van een voortzetting van reeds bestaande contracten en is er derhalve niet altijd sprake van een aanbesteding. De realisatie van de geciteerde motie zal in de praktijk dus over meerdere jaren plaats vinden.
Vraag 6

Ondersteunt u gemeenten op dit moment in efficiëntere aanbesteding van digitale middelen zodat gewaarborgd wordt dat gemeenten niet afhankelijk worden van één aanbieder? Zo ja, hoe ondersteunt u gemeenten op dit moment en ziet u mogelijkheden om de ondersteuning aan gemeenten uit te breiden? Zo nee, waarom niet en hoe gaat u deze ondersteuning op korte termijn vormgeven?

Ik beschouw een efficiëntere aanbesteding van digitale middelen zodat gewaarborgd wordt dat gemeenten niet afhankelijk worden van één aanbieder, primair als een verantwoordelijkheid van de gemeenten. VNG en KING hebben die verantwoordelijkheid genomen en als volgt ingevuld:
Vraag 7

Op welke wijze is er controle op het gebruik van open standaarden bij aanbestedingen van software van gemeenten? Wat is de rol van de gemeenteraden en wethouders bij de sturing op het gebruik van open standaarden?

Het gebruik van open standaarden is verplicht op basis van de afspraken met het Forum Standaardisatie en wordt als zodanig ook vermeld bij aanbestedingen.
Wethouders hebben een besluitvormingstaak en de gemeenteraden een controlerende taak op dit gebied. De wethouder draagt de verantwoordelijkheid om het overheidsbeleid ten aanzien van de toepassing van open standaarden te waarborgen.
Vraag 8

Is het kennisniveau binnen gemeenteraden en bij wethouders volgens u voldoende om te kunnen sturen op de aanbesteding van digitale middelen? Zo nee, hoe gaat u ervoor zorgen dat de kennis binnen gemeenteraden en bij wethouders wordt vergoot en deelt u de mening dat de eerder voorgestelde oprichting van een kenniscentrum voor open source, open standaarden, en open data hieraan zou kunnen bijdragen?

Wethouders en gemeenteraden moeten kennis hebben om te beoordelen of de functionele wensen en behoeften van de gemeenten worden gerealiseerd door de toepassing van IT-middelen, met inachtneming van de regels en voorwaarden ten aanzien van (open) standaarden. In die gevallen waar specifieke kennis noodzakelijk is, kan worden teruggevallen op VNG en KING. Daarnaast kan ook nog worden teruggevallen op:

28 september 2016 - 9 november 2016

42 dagen

Het bericht “Duitse privacywaakond verbiedt datadelen WhatsApp”
	Jeroen van Wijngaarden (VVD)
	Ard van der Steur (minister justitie en veiligheid) (VVD)

Bronnen

1. http://nos.nl/artikel/2134676-duitse-privacywaakhond-verbiedt-datadel…

Vraag 1

Heeft u kennisgenomen van het bericht «Duitse privacy waakhond verbiedt datadelen WhatsApp»?1

Ja.
Vraag 2

Wat is uw oordeel over dit bericht?

Via een zogenoemde «Anordnung», een bestuursrechtelijk bevel, heeft de Duitse privacytoezichthouder2 in Hamburg op 23 september jl. aan Facebook opgedragen om te stoppen met de verwerking van persoonsgegevens van Duitse WhatsApp-gebruikers voor zover de persoonsgegevens zijn verkregen van WhatsApp en betrokkene geen rechtsgeldige toestemming heeft verleend voor datadeling. Reeds verkregen persoonsgegevens dienen te worden gewist. Het voorgaande past in de ontwikkeling dat Europese en internationale privacytoezichthouders actief zijn vanwege de nieuwe servicevoorwaarden en het nieuwe privacybeleid op basis waarvan WhatsApp accountinformatie van gebruikers deelt met Facebook. Op 27 oktober jl. heeft de Artikel 29-werkgroep – waarin de Europese privacytoezichthouders verenigd zijn – een gezamenlijke brief uitgestuurd aan WhatsApp. Op de inhoud hiervan is reeds ingegaan in de aanbiedingsbrief van deze antwoorden.
Vraag 3

Heeft de beslissing van de Duitse privacywaakhond consequenties voor het datadelen in Nederland of zou het die consequenties naar uw oordeel moeten hebben? Zo ja, welke?

Hierover kunnen geen uitspraken worden gedaan. Facebook is overigens in beroep gegaan tegen het bevel van de Duitse privacytoezichthouder in Hamburg. Het is nu aan het Oberverwaltungsgericht Hamburg om een uitspraak te doen.
Vraag 4

Klopt het dat Nederland en Duitsland dezelfde privacyregels hebben? Zo ja, op grond van welke Duitse juridische bepaling is het besluit genomen? Welke Nederlandse juridische bepaling komt hiermee overeen?

De privacyregels in Nederland en Duitsland zijn geharmoniseerd door de EU-privacyrichtlijn (95/46/EG) maar verschillen van elkaar wat betreft onder meer de bevoegdheden van toezichthouders en de wijze van omzetting van de richtlijn. De Algemene Verordening Gegevensbescherming brengt meer harmonisatie. Het bevel van de privacytoezichthouder in Hamburg is volgens de tekst3 gebaseerd op de volgende artikelen uit de Bundesdatenschutzgesetz (hierna: BDSG):
Vraag 5

Heeft de Nederlandse Autoriteit Persoonsgegevens contact opgenomen met de Duitse privacywaakhond? Zo ja, wat is uit dit gesprek gekomen? Zo nee, kunt u de Autoriteit Persoonsgegevens aansporen dit te doen?

De Autoriteit Persoonsgegevens heeft mij laten weten inderdaad in contact te staan met haar collega-toezichthouders in de EU. Op 27 oktober jl. heeft de Artikel 29-werkgroep – waarin de Europese privacytoezichthouders verenigd zijn – een gezamenlijke brief uitgestuurd aan WhatsApp. Op de inhoud hiervan is reeds ingegaan in de aanbiedingsbrief van deze antwoorden.
Vraag 6

Welke kans biedt de uitspraak van de Duitse Privacy autoriteit aan de Nederlandse Autoriteit Persoonsgegevens om op korte termijn duidelijkheid te geven over de toelaatbaarheid van de datadeal tussen Whatsapp en Facebook?

Zie antwoord vraag 5.
Vraag 7

Wat is de voortgang van het overleg met de Britse collega’s van de Autoriteit Persoonsgegevens over ditzelfde onderwerp?

Zie antwoord vraag 5.

20 september 2016 - 12 oktober 2016

22 dagen

Het bericht ‘EU-president Juncker eist beter roamingplan’
	Agnes Mulder (CDA)
	Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. «EU-president Juncker eist beter roamingplan», Nu.nl, 9 september 201…

Vraag 1

Bent u bekend met het bericht «EU president Juncker eist beter roamingplan»?1

Ja.
Vraag 2

Deelt u de mening van de voorzitter van de Europese Commissie Jean-Claude Juncker dat er een beter voorstel moet komen dan het conceptvoorstel dat eerder deze week naar buiten kwam? Zo niet, waarom niet?

Het voorstel van de Europese Commissie geeft invulling aan de afspraak om consumenten vanaf 15 juni 2017 in de EU te laten roamen tegen hun binnenlandse tarief binnen de grenzen van redelijk (ook wel «normaal») gebruik. Deze afspraak is vastgelegd in de verordening voor de Europese interne markt voor telecommunicatie die op 25 november jl. werd vastgesteld. Het voorstel, een zogenaamde uitvoeringshandeling, definieert wat redelijk gebruik is. In het conceptvoorstel dat werd ingetrokken, kwantificeerde de Europese Commissie wat redelijk gebruik is aan de hand van een aantal dagen. Telecombedrijven moesten hun klanten in staat stellen om tenminste 90 dagen per jaar en tenminste 30 dagen aaneengesloten te roamen tegen hun binnenlands tarief. Volgens de Europese Commissie zou dit voldoende zijn voor 99% van de Europese reizigers. Dagen waarop zowel een buitenlands als het binnenlandse netwerk worden gebruikt zouden daarbij niet meetellen als roamingdagen. De Europese Commissie presenteerde op 21 september een nieuw voorstel waarin redelijk gebruik niet langer wordt gekwantificeerd, maar op andere wijze wordt gedefinieerd. Dit leek vooral ingegeven door vrees voor het negatieve beeld dat zou ontstaan door een inperking tot een aantal dagen.
Het nieuwe voorstel schrijft voor dat telecombedrijven Roam Like At Home moeten bieden aan klanten die inwoner zijn van, of stabiele banden hebben met het land van vestiging van het telecombedrijf. Het is aan een telecombedrijf om aan te tonen dat klanten misbruik of afwijkend gebruik maken van roaming voor andere doelen dan periodiek reizen in de EU. Telecombedrijven mogen hun klanten vragen hiervoor bewijs te overhandigen. Bij bewijs mogen ze alsnog een toeslag rekenen ter grootte van de maximale roamingtarieven die telecombedrijven elkaar mogen rekenen in de EU (wholesale roamingtarieven). Deze toeslag mogen ze op grond van de hiervoor genoemde verordening overigens bij wijze van uitzondering ook rekenen indien ze tegenover hun toezichthouder kunnen aantonen dat ze door het aanbieden van Roam Like At Home niet uit de kosten komen en de houdbaarheid van het binnenlands tariefmodel in het geding is.
De lidstaten en de Europese organisatie van toezichthouders (BEREC) zullen zich nog uitspreken over het voorstel, binnen de procedure die gebruikelijk is voor deze nadere regelgeving. Dit kan leiden tot inhoudelijke aanpassingen. Nederland zal daarbij vragen om een verdere verduidelijking van de bepalingen ten behoeve van operators en toezichthouders. Tot nu toe is er kritiek van lidstaten op het voorstel vanwege de onzekerheid en administratieve last die het oplevert voor telecombedrijven, en onvoldoende aansluiting op de bepalingen in de verordening voor de Europese interne markt voor telecommunicatie. Het voorstel moet op grond van de verordening uiterlijk op 15 december worden vastgesteld.
Vraag 3

Bent u bereid om zich in de Europese Unie in te spannen om er alsnog voor te zorgen dat de roamingkosten volledig worden afgeschaft? Zo ja, hoe gaat u dit doen en gaat u hierbij inzetten op volledige afschaffing in het jaar 2017?

Het voorstel van de Europese Commissie vloeit voort uit de verordening voor de Europese interne markt voor telecommunicatie waarin is vastgelegd om consumenten vanaf 15 juni 2017 in de EU te laten roamen tegen hun binnenlandse tarief binnen de grenzen van redelijk (ook wel «normaal») gebruik. Het voorstel bepaalt wat redelijk gebruik is. In de verdere behandeling van het voorstel zal ik me inzetten voor regels die werkbaar zijn voor operators en tegelijkertijd ervoor zorgen dat consumenten optimaal kunnen profiteren van het Roam Like At Home- principe.
Daarnaast zet ik mij in voor een tijdige afronding van de verordening die een verlaging vastlegt van de maximale wholesale roamingtarieven, waarover lidstaten en Europees parlement momenteel onderhandelen. Tijdige toepassing van deze wholesale roamingverordening is een voorwaarde om het Roam Like At Home-principe op 15 juni in te laten gaan, zoals ik aangaf in mijn brief aan uw Kamer van 9 november 20152. Nederland zet zich daarbij in voor een significante verlaging van de maximale wholesale roamingtarieven. Dit moet het aanbieden van Roam Like At Home betaalbaar maken voor telecombedrijven, het risico van binnenlandse tariefstijgingen voorkomen, en tevens voorkomen dat zij alsnog een beroep moeten doen op de uitzonderingsgrond voor bedrijven die kunnen aantonen dat ze niet uit de kosten komen en de houdbaarheid van hun binnenlands tariefmodel in het geding is, die reeds werd genoemd in het antwoord op vraag 2.
Vraag 4

Bent u bereid om in de Europese Unie specifiek aandacht te vragen voor het belang van volledige afschaffing van roamingkosten voor mensen die vlak over de grens werken of bij de grens wonen, omdat zij bij geen volledige afschaffing geconfronteerd zullen blijven met hoge kosten?

Mensen die vlak over de grens werken of bij de grens wonen mogen op basis van het voorstel van de Europese Commissie roamingdiensten onbeperkt afnemen tegen het binnenlands tarief. Bij navraag werd dit bevestigd door de Europese Commissie. Hoewel onbedoeld roamen bij de grens of dagelijks roamen door woon-werkverkeer niet per se gezien kan worden als roamen passend bij periodiek reizen, ziet de Commissie het niet als misbruik of afwijkend gebruik van roamingafspraken. Dit is bepalend voor de vraag of gebruik kan worden gemaakt van de Roam Like At Home-afspraak. Ik zal bij de verdere behandeling van het voorstel vragen om een verduidelijking van de positie van grensbewoners en grenswerkers.
Vraag 5

Hoe kan het dat in 2015 de Europese Raad en het Europees parlement hebben ingestemd met het voorstel de roamingkosten in juni 2017 volledig af te schaffen en dat er dan een conceptvoorstel van de Europese Commissie komt dat hiervan afwijkt?

De beperking van het Roam Like At Home-principe tot redelijk (ook wel «normaal») gebruik is vastgelegd in de verordening voor de Europese interne markt voor telecommunicatie die op 25 november 2015 werd vastgesteld en op 30 april 2016 in werking is getreden3. Uw Kamer is hierover geïnformeerd per brief van
9 november 20154. De beperking tot redelijk gebruik moet misbruik of afwijkend gebruik maken van roaming voor andere doelen dan periodiek reizen in de EU voorkomen. Een voorbeeld hiervan is permanent gebruik van een SIM-kaart in het buitenland. De beperking is nodig om de kosten van Roam Like At Homevoor telecombedrijven in de hand te houden en verstoring van nationale telecommarkten te voorkomen.
Vraag 6

Kunt u aangeven wanneer de Europese Commissie met een nieuwe versie van het voorstel voor het afschaffen van de roamingkosten komt?

Voor een antwoord op deze vraag verwijs ik u naar het antwoord op vraag 2.
Vraag 7

Bent u bereid om de nieuwe versie van het voorstel van de Europese Commissie te toetsen aan de hand van een grenseffectentoets?

Voor het effect van het voorstel op grensbewoners verwijs ik u naar het antwoord op vraag 4.

14 september 2016 - 10 oktober 2016

26 dagen

Het gebruik van prepaidkaarten door de minister van Defensie
	Kees Verhoeven (D66)
	Ard van der Steur (minister justitie en veiligheid) (VVD)

Vraag 1

Bent u ervan op de hoogte dat de Minister van Defensie op 8 september 2016 in een Kamerdebat heeft gezegd: «(i)k reis af en toe naar landen waar ik mijn telefoon niet aanzet en gewoon met een prepaiddingetje mijn werk doe. We maken er nu grappen over maar het is wel een serieus aandachtspunt, ook voor uw relatiegeschenken, uw bezoeken en uw contacten.»? Wordt bij het Ministerie van Defensie vaker gebruik gemaakt van prepaidkaarten uit veiligheidsoverwegingen? Maakt het gebruik daarvan onderdeel uit van het veiligheidsprotocol van het Ministerie van Defensie?

Tijdens het Algemeen Overleg Toezichtsverslagen AIVD en MIVD op 29 juni 2016 (Kamerstuk 29 924, nr. 143) heeft de Minister van Defensie aangegeven dat het in sommige situaties wenselijk kan zijn om geen gebruik te maken van de reguliere werktelefoon. Om veiligheidsredenen ga ik niet nader in op de inhoud van beveiligingsprotocollen of – regels.
Vraag 2

Kunt u toelichten hoe het gebruik van prepaid kaarten door de Minister van Defensie uit serieuze veiligheidsoverwegingen, zoals zij zelf stelt, zich verhoudt tot uw voornemen het gebruik van prepaidkaarten te verbieden omdat terroristen en criminelen ze ook zouden gebruiken?

Er bestaat geen voornemen voor een algeheel verbod van prepaid SIM-kaarten. Tijdens het Algemeen Overleg over terrorismebestrijding van 7 september 2016 (Kamerstuk 29 754, nr. 396) heb ik aangekondigd voornemens te zijn – net als België en Duitsland – de anonieme pre-paid simkaarten te verbieden en daartoe een onderzoek te zullen doen naar de effectiviteit en proportionaliteit van een verplichte registratie van de houders van prepaid SIM-kaarten ten behoeve van terrorisme- en criminaliteitsbestrijding.
Vraag 3

Heeft u contact gehad met de Minister van Defensie over haar gebruik van prepaidkaarten dan wel het gebruik daarvan door het Ministerie van Defensie als zodanig en uw voornemen het gebruik prepaidkaarten te verbieden? Zo ja, wat was de reactie van de Minister van Defensie op uw voornemen?

Nee.
Vraag 4

Zijn er meer bewindspersonen die gebruik maken van prepaidkaarten uit veiligheidsoverwegingen? Zo ja, wie?

Zie antwoord vraag 1.
Vraag 5

Heeft u, mede gezien de uitlatingen van de Minister van Defensie en ook de beschikbaarheid van zogeheten digitale cricumventietechnieken en katvangers, begrip voor het standpunt dat een verbod op prepaid kaarten niet zozeer de crimineel of terrorist zal raken maar vooral de onschuldige burger die prepaidkaarten gebruikt voor «goede» doeleinden? Zo ja, bent u bereid om nog eens heel goed naar de effectiviteit en implicaties te kijken van uw voorgenomen verbod op prepaid kaarten? Zo nee, wat betekent uw voornemen dan voor het veiligheidsprotocol van de Minister van Defensie?

Zie het antwoord op vraag 2.

9 september 2016 - 3 oktober 2016

24 dagen

Het bericht ‘ Voor je het weet, troggelt de doorverbindsite je centen af’
	Sharon Gesthuizen (GL), Lutz Jacobi (PvdA), Astrid Oosenbrug (PvdA)
	Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. http://www.ad.nl/digitaal/voor-je-het-weet-troggelt-de-doorverbindsit…
2. art. 6:193 e.v. BW

Vraag 1

Kent u het bericht «Voor je het weet, troggelt de doorverbindsite je centen af»?1

Ja.
Vraag 2

Klopt het dat op commerciële websites dure 0900-betaalnummers vermeld staan die consumenten doorverbinden met de klantenservice van de politie, de Belastingdienst of bedrijven, zoals KPN of Ziggo, tegen tarieven tot maar liefst 90 cent per minuut?

Ja.
Vraag 3

Klopt het dat deze 0900-betaalnummers vermeld staan op commerciële websites die op zoekmachines bij zoekopdrachten naar de politie, de Belastingdienst en bedrijven zoals KPN en Ziggo, opduiken als advertenties?

Ja, als advertentie of tussen de zoekresultaten.
Vraag 4

Wat vindt u van feit dat commerciële websites, zoals geenspoedwelpolitie.nl, belastingtelefoon.info, belastinginformatietelefoon.nl en storingverhelpen.nl, consumenten tot maar liefst 90 cent per minuut laten betalen voor het doorverbinden naar klantenservice-nummers die gratis zijn of het lokale tarief rekenen?

Ik vind het onwenselijk als consumenten hierdoor worden misleid en onnodig hoge informatietarieven betalen om telefonisch contact op te nemen met instanties of bedrijven die gratis of tegen beperkte belkosten telefonisch bereikbaar zijn. Dit doet afbreuk aan de laagdrempelige telefonische bereikbaarheid die instanties zoals de Belastingdienst beogen en consumenten worden hierdoor onnodig op kosten gejaagd. De tarieven van telefonische klantenservice van bedrijven zijn juist in de regelgeving gemaximeerd om te voorkomen dat een telefoontje naar de klantenservice leidt tot een hoge telefoonrekening. Het argument dat exploitanten van de betreffende websites aanvoeren – dat zij ervoor zorgen dat organisaties beter vindbaar zijn – vind ik weinig steekhoudend, gelet op de vele klachten van consumenten die deze doorverbinddiensten veroorzaken.
Vraag 5

Klopt het dat zelfs de Nationale Politie op haar eigen website mensen waarschuwt om het juiste telefoonnummer te gebruiken om geen onnodige kosten te betalen? Zo ja, wat vindt u van de ontwikkeling dat er geld wordt verdiend aan een publieknummer ten koste van de consument?

Ja, zowel de Nationale Politie als de Belastingdienst waarschuwen hiervoor2. Ik vind het kwalijk als consumenten worden misleid en onnodig op kosten worden gejaagd.
Vraag 6

Kan er bij burgers het misverstand ontstaan dat het bellen naar de politie 90 cent per minuut kost en dat zij er daarom van af zien om bij al dan niet spoedeisende vragen de politie te bellen? Zo ja, deelt u de mening dat dit onwenselijk is en wat gaat u daar tegen doen? Zo nee, waarom niet?

Ja, ik acht het denkbaar dat dit leidt tot misverstanden bij burgers over de kosten voor het bellen naar de politie voor niet-spoedeisende zaken (informatienummer 0900-8844) en tot eventueel afzien van telefonisch contact met de politie. Dat is onwenselijk. Voor spoedeisende zaken is er het gratis alarmnummer 112 en is dit niet aan de orde. Ik verwijs voorts naar de antwoorden op de vragen 7, 8, 10 en 11.
Vraag 7

Vallen deze commerciële websites waar de 0900-betaalnummers vermeld staan onder het toezicht van Autoriteit Consument en Markt (ACM)? Zo ja, welke instrumenten kan de ACM hiertegen gebruiken? Zo nee, wat voor toezicht is er voor dit soort doorverbindwebsites?

Ja, 0900-nummers vallen onder het toezicht van de Autoriteit Consument en Markt (ACM). De ACM houdt toezicht op het correcte gebruik van telefoonnummers, waaronder 0900-nummers, conform de Telecommunicatiewet en de bestemmingen die zijn vastgelegd in het Nummerplan Telefonie- en ISDN-diensten. Daarnaast kan de ACM optreden tegen overtredingen van de Wet oneerlijke handelspraktijken. Tot slot heeft de ACM specifieke bevoegdheden om misbruik van 0900-nummers aan te pakken.
Vraag 8

Vindt u dat er een onwenselijke situatie is ontstaan, waarbij deze websites de consumenten in verwarring brengen over het juiste telefoonnummer van de politie, de Belastingdienst en bedrijven? Zo ja, bent u van plan om actie te ondernemen? Zo nee, waarom niet?

Ja, ik vind het onwenselijk als consumenten worden misleid en onnodig op kosten worden gejaagd. Ik heb deze 0900-nummers die doorverbinddiensten aanbieden besproken met de ACM. De ACM kijkt naar aanleiding van de klachten hoe deze praktijken effectief kunnen worden aangepakt met de instrumenten die zij tot haar beschikking heeft. Ik verwijs voorts naar de antwoorden op de vragen 7 en 11.
Vraag 9

In hoeverre is er, naar uw oordeel, sprake van oneerlijke handelspraktijken?2

Het is van belang dat handelaren duidelijk zijn over de dienst die zij aanbieden en dat zij consumenten niet misleiden over de aard van een dienst of over betaling voor een dienst die zij elders gratis of voor veel minder geld kunnen krijgen. De ACM handhaaft als onafhankelijk toezichthouder de Wet oneerlijke handelspraktijken. Hierbij is het aan de ACM om te beoordelen wanneer er sprake is van overtreding van de Wet oneerlijke handelspraktijken.
Vraag 10

Kunt u de ACM verzoeken om een onderzoek te starten naar deze 0900-betaalnummers?

Zie antwoord vraag 8.
Vraag 11

Ziet u mogelijkheden om via de Telecomwet nadere regels te stellen om in ieder geval overheidsdiensten, maar waar mogelijk ook commerciële nummers, beter te beschermen tegen dienstenaanbieders die feitelijk niets toevoegen aan de diensten van anderen maar wel hoge prijzen vragen aan nietsvermoedende burgers?

De ACM kijkt naar aanleiding van de klachten hoe deze praktijken effectief kunnen worden aangepakt met de instrumenten die zij tot haar beschikking heeft. Ik wil daar nu niet op vooruitlopen. Het al dan niet stellen van nadere regels om consumenten beter te beschermen is pas aan de orde als mocht blijken dat de huidige wet- en regelgeving ontoereikend is.

9 september 2016 - 21 september 2016

12 dagen

De uitwerking van de Europese Commissie met betrekking tot het voorstel om de roamingkosten binnen de Europese Unie af te schaffen
	Remco Bosma (VVD)
	Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. http://www.tagesschau.de/wirtschaft/eu-roaming-101.html

Vraag 1

Bent u bekend met de voorgestelde uitwerking van de Europese Commissie van haar voornemen om de roamingkosten binnen de Europese Unie maar beperkt af te schaffen?1

Ja, ik ben bekend met het voorstel.
Het voorstel is op 7 september jl. door de Europese Commissie uitgebracht, maar werd op 9 september weer ingetrokken. Het voorstel is een uitwerking van de verordening voor de Europese interne markt voor telecommunicatie die op 25 november 2015 werd vastgesteld en op 30 april 2016 in werking is getreden2. Uw Kamer is geïnformeerd over deze verordening per brief van 9 november 20153. In de verordening is vastgelegd dat vanaf 15 juni 2017 consumenten in de EU roamen tegen hun binnenlandse tarief (het zogenaamde Roam Like At Home (RLAH)), binnen de grenzen van normaal gebruik. Het ingetrokken voorstel van de Europese Commissie werkte uit wat onder normaal gebruik moet worden verstaan. Volgens de verordening moet de Europese Commissie deze uitwerking voor 15 december 2016 vaststellen. Het ingetrokken voorstel schreef voor dat telecombedrijven hun klanten in staat moeten stellen om tenminste 90 dagen per jaar en tenminste 30 dagen aaneengesloten te roamen tegen hun binnenlands tarief.
Volgens de Europese Commissie zou dit voldoende zijn voor 99% van de Europese reizigers. De Europese Commissie heeft aangekondigd met een aangepast voorstel te zullen komen in de week van 19 september. De inhoud daarvan is nog onbekend.
Overigens is in de verordening van 2015 bepaald dat buiten de grenzen van het normaal gebruik de consument voor roaming een beperkte toeslag zal gaan betalen bovenop het eigen binnenlandse tarief. Die toeslag moet telecombedrijven in staat stellen hun eigen kosten goed te maken en wordt gelijk gesteld aan het maximale groothandelstarief (momenteel 5 cent voor data en bellen, 2 cent voor sms). Deze toeslag geldt vanaf 30 april 2016 tijdelijk voor alle roamingverkeer, vooruitlopend op de invoering van RLAH op 15 juni 2017.
Vraag 2

In hoeverre wordt er volgens u afdoende invulling gegeven door de Europese Commissie aan haar initiatief uit 2015 om de roamingkosten binnen de Europese Unie volledig af te schaffen?

Lidstaten en Europees parlement hebben er in de verordening voor gekozen het principe van RLAH te beperken tot normaal gebruik. Dit is nodig om de kosten van RLAH voor telecombedrijven in de hand te houden en te voorkomen dat zij genoodzaakt zijn hun binnenlandse tarieven te verhogen om die kosten te dragen. Het voorkomt ook permanent en opzettelijk gebruik van buitenlandse sim-kaarten. Telecombedrijven mogen hun klanten onder het RLAH-regime immers enkel het binnenlandse tarief rekenen, maar moeten de eigenaren van buitenlandse netwerken wel een tarief betalen voor het gebruik van hun netwerken. Dit wordt het zogenaamde wholesale roamingtarief genoemd.
Lidstaten en Europees parlement onderhandelen momenteel over de hoogte van de wholesale roamingtarieven die bedrijven elkaar maximaal mogen rekenen. U bent hierover geïnformeerd in een BNC-fiche4.
Een verlaging van deze plafonds is voor met name Noord-Europese telecombedrijven van belang. De wholesaletarieven moeten laag genoeg zijn om verliezen en binnenlandse prijsstijgingen te voorkomen en telecombedrijven in staat stellen te stellen RLAH gedurende een ruim aantal dagen toe te passen. Een verlaging van de plafonds kan echter niet onbeperkt gebeuren. Dit raakt aan de belangen van netwerken in (voornamelijk zuidelijke) lidstaten met veel inkomend reisverkeer. De plafonds moeten hoog genoeg blijven om de kosten van het gebruik van netwerken voor roaming te kunnen verhalen; te voorkomen dat binnenlandse tarieven op bezochte markten stijgen als gevolg van gederfde roaminginkomsten; en te voorkomen dat de dynamiek op nationale markten – waar partijen zonder netwerk vrij moeten onderhandelen over toegang zonder een beroep te kunnen doen op gereguleerde tarieven – wordt verstoord. Het dienen van deze tegengestelde belangen vormt een uitdaging. Hieraan ten grondslag liggen verschillen in binnenlandse tarieven, onderliggende kosten en consumptie- en reispatronen tussen lidstaten. Zolang wholesale roamingtarieven niet laag genoeg kunnen zijn om onbegrensde RLAH mogelijk te maken zonder verliezen voor telecombedrijven en risico van binnenlandse prijsstijgingen, is het begrijpelijk wanneer RLAH wordt beperkt tot normaal reisverkeer. Voor een definitief oordeel wacht ik het nieuwe voorstel van de Europese Commissie voor het aantal dagen waarbinnen RLAH gaat gelden, en de uitkomst van de onderhandelingen over de maximale wholesale roamingtarieven, echter af.
Vraag 3

Deelt u de opvatting, dat door de huidige uitwerking om gedurende 275 dagen per jaar nog gewoon de hoge roamingkosten in rekening te brengen, dat er voorlopig nog geen sprake is van een eengemaakte Europese digitale markt?

Zoals opgemerkt in het antwoord op vraag 1 is de uitwerking waaraan wordt gerefereerd ingetrokken door de Europese Commissie. Ten algemene merk ik op dat de eenmaking van de Europese digitale markt vele facetten kent. De Europese roamingwetgeving is bedoeld voor het faciliteren van normale reisbewegingen in de EU en maakt dat de consument meer profiteert van de interne markt. Zij is niet bedoeld voor het harmoniseren van nationale telecommarkten.
Vraag 4

Wat is uw inzet om de voorgestelde uitwerking meer in lijn te brengen met de uitgangspunten uit 2015?

Tijdens de onderhandelingen over de maximale wholesaletarieven zet ik me in voor zo laag mogelijke tarieven. Dit geeft ook meer ruimte om het RLAH-principe zoveel mogelijk dagen per jaar te laten gelden, en zo de consumenten te laten profiteren.

16 augustus 2016 - 18 oktober 2016

63 dagen

Het bericht dat Frankrijk een internationale aanpak wil op het gebied van encryptie
	Kees Verhoeven (D66)
	Ard van der Steur (minister justitie en veiligheid) (VVD), Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. http://www.nu.nl/internet/4305807/frankrijk-wil-internationale-aanpak…

Vraag 1

Bent u bekend met het bericht «Frankrijk wil internationale aanpak versleutelde berichten»?1

Ja.
Vraag 2

Zijn de voorstellen die Frankrijk naar Duitsland heeft gestuurd ook naar de Nederlandse overheid gestuurd? Zo ja, wat zijn die voorstellen?

De Nederlandse overheid is in kennis gesteld van het Frans-Duitse initiatief gericht op Europese samenwerking op het gebied van interne veiligheid, waarin men de Commissie onder meer oproept de mogelijkheid te onderzoeken met een wetgevend voorstel te komen rondom de verplichtingen voor alle aanbieders van internet- of elektronische communicatie om mee te werken aan het rechtsproces.
Vraag 3

Deelt u de analyse dat terroristen niet afhankelijk zijn van berichtenapps als Whatsapp en Telegram en dat zij zeer gemakkelijk andere, vrij beschikbare, communicatie software met sterke encryptie kunnen gebruiken?

Terroristen en criminelen kunnen gebruik maken van alle mogelijke communicatiesoftware, waaronder Whatsapp en Telegram.
Vraag 4

Onderschrijft u nog steeds het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven en voor de Nederlandse economie?

Ja, het kabinetsstandpunt zoals weergegeven in de brief van de Ministers van Veiligheid en Justitie en van Economische Zaken van 4 januari 20162 is ongewijzigd.
Vraag 5

Bent u zich bewust van het feit dat de afgelopen decennia de persoonsgegevens, inclusief bank inloggegevens, medische gegevens, credit card gegevens, burgerservice- en social security nummers van miljarden mensen wereldwijd zijn buitgemaakt door criminelen, buitenlandse inlichtingendiensten of staatshackers en dat versleuteling van data meer bescherming biedt tegen dergelijke diefstal van gegevens?

Het Kabinet is zich ervan bewust dat de toenemende digitalisering van de samenleving naast kansen ook risico’s met zich meebrengt.3 Om deze risico’s te beperken zijn goede cybersecurity maatregelen ter verhoging van de digitale weerbaarheid van overheden, bedrijven en burgers nodig. Versleuteling van data is een maatregel die inzage van gegevens door onbevoegden kan tegengaan. In de Nationale Cyber Security Strategie 24 wordt de bredere kabinetsvisie op cybersecurity uiteen gezet.
Vraag 6

Deelt u de analyse dat het toegenomen gebruik van encryptie een direct gevolg is van grootschalige hacks door criminelen en buitenlandse inlichtingendiensten en grootschalige opslag van (persoons)gegevens door inlichtingendiensten wereldwijd?

Wat de directe oorzaak is van het toegenomen gebruik van encryptie is niet eenduidig te zeggen. Uit een recent gehouden enquête onder vijfduizend ondernemingen in elf landen komt het beeld naar voren dat men onder andere encryptie gebruikt vanwege regels over data en privacy, bescherming van intellectueel eigendom en bescherming van klantgegevens.5
Het kabinet zet blijvend in op bewustwording bij burgers en bedrijven over kwetsbaarheden die digitale communicatie met zich meebrengt. De website veiliginternetten.nl (een initiatief van V&J, EZ en ECP Platform voor de Informatie Samenleving) en bewustwordingscampagnes zoals Alert Online zijn hier ook op gericht. Daarbij worden burgers en bedrijven handelingsperspectieven geboden over hoe men zijn of haar digitale communicatie veiliger kan maken, waaronder het gebruik van encryptie.
Vraag 7

Deelt u de analyse dat het afzwakken van encryptie geen duurzame oplossing biedt voor het opsporen van terroristen, maar dat het criminelen en buitenlandse inlichtingendiensten en staatshackers wel meer mogelijkheden biedt om persoonsgegevens en bedrijfsgeheimen te achterhalen en kritieke infrastructuur te hacken?

Op dit moment is er geen zicht op mogelijkheden om in algemene zin, bijvoorbeeld via standaarden, encryptie producten te verzwakken zonder daarmee de veiligheid van digitale systemen die van encryptie gebruik maken te compromitteren.
Vraag 8

Deelt u de analyse dat de gebrekkige veiligheid die mensen online ervaren zal verslechteren als bedrijven gedwongen worden encryptie te verzwakken?

Zie antwoord vraag 7.
Vraag 9

Deelt u de analyse dat het verzwakken van encryptie slecht is voor het vertrouwen in en gebruik van nieuwe technologische ontwikkelingen, zoals het Internet of Things en Industry 4.0, door mensen en bedrijven aangezien persoonsgegevens en bedrijfsgeheimen minder veilig zijn?

Overheden, bedrijven en burgers zijn gebaat bij maximale veiligheid van de digitale systemen. Het kabinet heeft in het kabinetsstandpunt van 4 januari 2016 het belang van sterke encryptie voor de veiligheid op internet, ter ondersteuning van de bescherming van de persoonlijke levenssfeer van burgers, voor vertrouwelijke communicatie van overheid en bedrijven, en voor de Nederlandse economie onderschreven.
Vraag 10

Deelt u de analyse dat juist ingezet moet worden, ook in Europees verband, op toename van het gebruik van encryptie om de vrijheid en veiligheid van mensen en bedrijven te vergroten?

Het Nederlandse standpunt en de afwegingen die daaraan ten grondslag liggen zijn vertaald naar het Engels en worden internationaal actief uitgedragen.
Vraag 11

Bent u bereid in Europees verband erop aan te dringen dat bedrijven niet gedwongen worden om encryptiesoftware te verzwakken?

Zie antwoord vraag 10.

15 augustus 2016 - 6 september 2016

22 dagen

Een inbraak in de database van de gemeente Ede
	Astrid Oosenbrug (PvdA), John Kerstens (PvdA)
	Stef Blok (minister zonder portefeuille binnenlandse zaken en koninkrijksrelaties) (VVD), Ard van der Steur (minister justitie en veiligheid) (VVD)

Bronnen

1. http://www.omroepgelderland.nl/nieuws/2114735/Database-Ede-gehackt-ge…

Vraag 1

Kent u het bericht «Database Ede gehackt: gegevens duizenden inwoners mogelijk op straat»?1

Ja.
Vraag 2

Is er door de gemeente Ede aangifte bij de politie gedaan? Zo ja, wat is de stand van zaken daarvan? Zo nee, waarom heeft de gemeente geen aangifte gedaan?

De gemeente Ede heeft inderdaad aangifte gedaan bij de politie. Er loopt momenteel een onderzoek. Derhalve kunnen hieromtrent geen mededelingen worden gedaan.
Vraag 3

Wat doet de Autoriteit Persoonsgegevens naast het in ontvangst nemen van meldingen van datalekken nog meer met dergelijke meldingen? En wat doet deze autoriteit specifiek met de melding van de gemeente Ede dat er sprake was van de genoemde datalek?

De Autoriteit Persoonsgegevens (AP) beoordeelt op basis van een risico-inventarisatie welke van de ontvangen meldingen zij nader analyseert. Bij de meldingen die zij analyseert, bekijkt de AP onder meer of de verantwoordelijke organisatie het datalek had moeten melden aan de betrokkenen en of dat is gebeurd. Daarnaast beoordeelt de AP of de verantwoordelijke technische en organisatorische maatregelen heeft getroffen om de inbreuk op de beveiliging van persoonsgegevens aan te pakken en om verdere inbreuken te voorkomen. Ten aanzien van de specifieke gemeente die wordt genoemd, doet de AP geen uitspraken.
Vraag 4

Wat is het is het oordeel van de Autoriteit Persoonsgegevens over deze datalek en met name het risico dat er de persoonsgegevens van bewoners voor andere doeleinden dan het doorgeleiden naar een advertentiewebsite kunnen worden gebruikt?

De AP doet geen uitspraken over specifieke gevallen, zoals de gemeente die wordt genoemd.
Vraag 5

Hoeveel gemeenten zijn het afgelopen jaar slachtoffer geworden van een hack binnen hun digitale infrastructuur?

Er zijn geen cijfers beschikbaar van aantallen informatiebeveiligingsincidenten of hacks bij gemeenten. Organisaties, waaronder ook gemeenten, zijn ingevolge de Wet bescherming Persoonsgegevens (Wbp) verplicht om melding te doen bij de AP als het gaat om een datalek ten aanzien van persoonsgegevens. In de periode 1 januari 2016 en 27 mei 2016 heeft de AP 147 meldingen van datalekken van gemeenten ontvangen. Daarbij zij aangetekend dat niet alle beveiligingsincidenten ook datalekken zijn die bij de AP moeten worden gemeld, terwijl ook niet alle datalekken hacks betreffen.
Vraag 6

Bent u van mening dat de beveiliging van gemeentelijke websites niet alleen mag afhangen van de inspanningen de desbetreffende gemeente, maar dat dat ook een zaak is die het niveau van gemeenten overstijgt? Zo ja, waarom en welke rol speelt u of gaat u spelen om gemeenten te helpen bij het beveiligen van hun digitale infrastructuur? Zo nee, waarom niet?

De informatiebeveiliging van gemeenten strekt veel breder dan het smalle terrein van websites. Hiervoor bestaan reeds centrale voorzieningen zoals DigiD en mijnoverheid.nl.
Gemeenten zijn als professionele, meest nabije overheid verantwoordelijk voor het op orde hebben van hun informatieveiligheid. Deze verantwoordelijkheid strekt verder dan de eigen organisatie. Gemeenten hebben er als collectief belang bij dat de gehele gemeentelijke branche informatieveiligheid op orde heeft. Gemeenten hebben om dit te bekrachtigen de resolutie »Informatieveiligheid, randvoorwaarde voor de professionele gemeente» aangenomen. Ik onderschrijf de wenselijkheid van bovengemeentelijke samenwerking.
Gemeenten hebben in 2013 de Informatiebeveiligingsdienst voor Gemeenten (IBD) opgericht. De IBD is het sectorale responseteam (CERT/CSIRT) voor alle Nederlandse gemeenten en richt zich op (incident)ondersteuning op het gebied van informatiebeveiliging. De IBD is voor gemeenten het schakelpunt met het Nationaal Cyber Security Centrum (NCSC). De IBD beheert de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) en geeft regelmatig kennisproducten uit. Daarnaast faciliteert de IBD kennisdeling tussen gemeenten onderling, met andere overheidslagen, met vitale sectoren en met leveranciers.
Het gaat erom dat gemeenten adequate maatregelen nemen om incidenten zoveel als mogelijk te voorkomen. Gemeenten hebben met de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) een gemeenschappelijk normenkader om het beleid en de daaruit voortvloeiende maatregelen te toetsen. De BIG is gebaseerd op en afgeleid van de Baseline Informatiebeveiliging Rijk (BIR). Desondanks kunnen incidenten nooit worden uitgesloten.
Vraag 7

Bent u van mening dat indien de digitale communicatie tussen burgers en gemeenten via een generieke voorziening zou gaan verlopen, dit naast een verbetering van het gebruiksgemak, ook beter te beveiligen zou zijn dan in het geval iedere gemeente zijn eigen portal behoudt? Zo ja, waarom en wat doet u om die generieke voorziening tot stand te brengen? Zo nee, waarom niet?

Ik deel de mening dat een generieke voorziening voordelen kan opleveren. In mijn brief van 20 april 2015 heb ik de Kamer verslag gedaan van mijn overleg met de VNG over dit onderwerp (Kamerstuk 26 643, nr. 357).
In de digitale agenda 2020 hebben gemeenten de ambitie uitgesproken om gemeenschappelijkheid en collectiviteit in de informatievoorziening te bevorderen met ruimte voor lokaal maatwerk waar dat kan. Informatiebeveiliging is hierbij een noodzakelijke randvoorwaarde. In dit licht zullen de voordelen maar ook de nadelen moeten worden bezien van een eventuele collectieve voorziening voor webformulieren van gemeenten. Het blijft aan gemeenten zelf om hierover te beslissen.
Ik blijf attent op de mogelijkheid om een gemeenschappelijke voorziening dichterbij te brengen. Het kwaliteitsinstituut Nederlandse Gemeenten (KING) ontwikkelt momenteel een proof of concept voor een Generieke Transactievoorziening waarbij gemeentelijke formulieren voor ondernemers centraal worden aangeboden. Als deze proof of concept slaagt zal ik met de VNG gaan overleggen over de mogelijkheden om dit ook te doen met formulieren voor burgers.

13 juli 2016 - 18 november 2016

128 dagen

Het bericht dat de minister van Economische Zaken doorgaat met het gebruik van Gmail voor communicatie met ambtenaren
	Kees Verhoeven (D66)
	Henk Kamp (minister economische zaken) (VVD)

Bronnen

1. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 3070. …

Vraag 1

Bent u bereid het onderzoek dat de Auditdienst Rijk (ADR) doet te verbreden naar alle bewindspersonen die hun privée-mailadres gebruiken voor werkaangelegenheden?1

Zoals eerder is vermeld in de antwoorden op de vragen van de leden Gesthuizen (SP) en Van Tongeren (GroenLinks) en de vragen van het lid Verhoeven (D66) hebben alle bewindspersonen aan de Minister-President laten weten dat zij in verschillende mate (en in sommige gevallen geen) gebruik maken van een privé e-mailaccount voor werkaangelegenheden.2 Zij houden daarbij rekening met de aard van de informatie. Het is op grond van de Baseline Informatiebeveiliging Rijksdienst 2012 (BIR) niet zo dat het gebruik van een privé e-mailaccount voor zakelijke e-mails niet is toegestaan, zolang daar terughoudend en bewust gebruik van wordt gemaakt. Gelet op het feit dat bewindspersonen hebben aangegeven rekening te houden met de aard van de informatie, acht het kabinet het niet nodig het onderzoek van de ADR uit te breiden of per bewindspersoon te specificeren of al dan niet gebruik wordt gemaakt van een privé e-mailaccount. Het kabinet is van mening dat een onderzoek van een privé e-mailaccount een inbreuk op de persoonlijke levenssfeer is. Tot een dergelijk onderzoek moet alleen worden overgegaan als daartoe een concrete aanleiding bestaat.
Ik heb besloten dat in mijn geval een concrete aanleiding bestaat om onderzoek te doen naar mijn privé e-mailaccount. Ik maak al langere periode frequent gebruik van het privé e-mailaccount voor werkgerelateerde zaken. Het privé
e-mailaccount is in 2014 getroffen door een vermoedelijk ongerichte phishingaanval. Ik heb u eerder gemeld dat ik wat betreft de aard van de informatie die op mijn privé e-mailaccount aanwezig was, niet het beeld had dat dit staatsgeheim gerubriceerde informatie betrof. Ik constateerde naar aanleiding van uw Kamervragen evenwel dat hierover twijfel bestond, en wilde daarom onafhankelijk laten vaststellen of er als staatsgeheim gerubriceerde documenten op het account aanwezig waren. Over de uitkomsten van het door de Auditdienst Rijk (ADR) uitgevoerde onderzoek informeer ik u gelijktijdig met de beantwoording van uw vragen. Voor de andere bewindspersonen doen deze omstandigheden zich niet voor.
Vraag 2

Welke bewindspersonen gebruiken of gebruikten hun privée-mailadres voor werkaangelegenheden? Vallen de ministers van Veiligheid en Justitie, Binnenlandse Zaken en Koninkrijksrelaties, Defensie, Buitenlandse Zaken en Algemene Zaken hier ook onder?

Zie antwoord vraag 1.
Vraag 3

Gebruiken ook (top)ambtenaren privée-mailaccounts voor werkaangelegenheden? Zo ja, kunt u uitsluiten dat er bijzondere informatie, zoals beschreven in het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIR-BI), verstuurd wordt via deze privée-mailaccounts?

Rijksambtenaren worden er regelmatig op gewezen dat tijd,- plaats,- en apparaatonafhankelijk werken enkel veilig is, wanneer gebruik wordt gemaakt van de departementale faciliteiten. Gebruik van privé e-mailaccounts is niet in alle gevallen uit te sluiten. Uit de BIR volgt overigens ook niet dat het gebruik van een privé e-mailaccount voor zakelijke e-mails door (top)ambtenaren niet is toegestaan. Wel moet terughoudend en bewust gebruikgemaakt worden van privé e-mailaccounts.
Vraag 4

Bent u bereid de ADR ook te laten onderzoek of er, naast documenten met de rubriceringen Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim, ook documenten of informatie naar het privée-mailadres gestuurd is die redelijkerwijs als (economisch) gevoelige, of voor buitenlandse inlichtingendiensten interessante, informatie aangeduid kan worden?

Het onderzoek van de ADR heeft naar mijn mening een passende reikwijdte en is proportioneel, gezien de voorliggende feiten. Het rubriceren van informatie binnen de rijksoverheid heeft als doel om aan te geven in welke mate geheimhouding van informatie geboden is. De aan de ADR verstrekte opdracht sluit hierbij aan; er is onderzocht of er gerubriceerde documenten op het e-mailaccount stonden, en zo ja welke. Daarnaast was dit naar mijn mening de meest efficiënte en zorgvuldige methode om binnen afzienbare tijd antwoord te kunnen geven op uw eerdere vraag of er als staatsgeheim gerubriceerde documenten op het e-mailaccount aanwezig waren.
Vraag 5

Waarom wordt de mogelijkheid om op een locatie buiten het ministerie te werken via het zakelijke e-mailaccount door u als omslachtig en niet als gebruiksvriendelijk ervaren? Bent u bereid veilige alternatieven te onderzoeken die wél gebruiksvriendelijk zijn?

Die mogelijkheid werd door mij zo ervaren, omdat het in mijn beleving niet op praktische wijze mogelijk was om bij gebruik van mijn zakelijke e-mailaccount
e-mails en bijlagen te printen, of bijlagen bij e-mails te voegen. Inmiddels maak ik voor werkgerelateerde e-mails enkel gebruik van de departementale zakelijke
e-mailfaciliteiten.
Vraag 6

Kunt u de resultaten van het onderzoek van de ADR nog voor aanstaande Prinsjesdag naar de Kamer sturen?

Het onderzoek van de ADR is inmiddels afgerond en over de uitkomsten informeer ik u gelijktijdig met het toesturen van mijn antwoorden op de door u gestelde vragen.
Vraag 7

Wanneer is de Rijksbeveiligingsambtenaar op de hoogte gesteld van het gebruik van uw privée-mailadres voor werkaangelegenheden?

De Rijks-BVA is op 13 januari 2016 geïnformeerd over de vermoedelijk ongerichte phishingaanval op mijn privé e-mailaccount. Op advies van de Rijks-BVA zijn vervolgens alle bewindspersonen gewezen op de risico’s die men loopt, en de acties die men kan treffen om de digitale weerbaarheid, ook bij het eventuele gebruik van privé e-mailaccounts, verder te vergroten.
De BVA van het Ministerie van Economische Zaken is op 11 juli 2014 geïnformeerd over de vermeende inbreuk op mijn privé e-mailaccount. Er is daarnaast op 11 juli 2014 aangifte gedaan bij de Landelijke Eenheid van de Nationale Politie. Het Team High Tech Crime van de Landelijke Eenheid van de Nationale Politie heeft onder leiding van het Openbaar Ministerie (OM) onderzoek verricht en geconcludeerd dat een ongerichte phishingaanval aannemelijk was. Voor een nader, afzonderlijk onderzoek door de departementale BVA leek daarom op dat moment daarom geen aanleiding.
Vraag 8

Welke acties zijn er ondernomen nadat geconstateerd is dat uw privée-mailadres gehacked was? Is het wachtwoord veranderd? Zijn gebruikte privéapparaten opgeschoond? Waaruit blijkt dat het ging om een ongerichte phishingaanval?

Door het Security Center van de Dienst ICT Uitvoering (DICTU) is onder meer het wachtwoord van het privé e-mailaccount gewijzigd en is de door mij gebruikte apparatuur gecontroleerd. Het Openbaar Ministerie (OM) heeft geconcludeerd dat een ongerichte phishingaanval aannemelijk was, op basis van onderzoek van de phishing e-mail en mijn apparatuur door het Team High Tech Crime van de Landelijke Eenheid van de Nationale Politie.
Vraag 9

Artikel 8 lid 1 van het VIR-BI stelt dat «elke ambtenaar is verplicht de Beveiligingsambtenaar (BVA) onmiddellijk mededeling te doen van een inbreuk op de beveiliging die redelijkerwijs kan leiden, dan wel vermoedelijk of vaststaand heeft geleid, tot compromittering van bijzondere informatie». Is de BVA medegedeeld over de inbreuk op uw privée-mailadres? Wanneer is dat gebeurd? Zo nee, waarom niet?

Zie antwoord vraag 7.
Vraag 10

Heeft de BVA onmiddellijk (nood)maatregelen getroffen om verdere inbreuk te voorkomen? Zo ja, welke maatregelen? Zo nee, waarom niet?

Zie antwoord vraag 8.
Vraag 11

Heeft de BVA conform het VIR-BI onderzocht of compromittering van bijzondere informatie heeft plaatsgevonden? Is hiervan vervolgens mededeling gedaan aan de secretaris-generaal en geadviseerd over de noodzaak tot het instellen van een commissie van onderzoek? Zo nee, waarom niet?

Zie antwoord vraag 7.
Vraag 12

Wanneer is het bestuurlijk advies van het Landelijk Parket van het OM en de Landelijke Eenheid van de Nationale Politie aangeboden aan de Minister van Veiligheid en Justitie? Bent u alsnog bereid het bestuurlijk advies naar de Kamer te sturen?

Het bestuurlijk advies van het Landelijk Parket van het Openbaar Ministerie en de Landelijke Eenheid van de Nationale Politie is op 1 augustus 2014 verzonden aan de Minister van Veiligheid en Justitie. Zoals ik uw Kamer eerder in antwoorden op de schriftelijke vragen van het lid Verhoeven (D66) en de vragen van de leden Gesthuizen (SP) en Van Tongeren (GroenLinks) berichtte, wordt een dergelijke interne advisering aan een beleidsverantwoordelijk bewindspersoon in de regel niet gedeeld met uw Kamer.
Het bestuurlijk advies is als zodanig ook niet gedeeld met alle departementen. Het stuk leent zich, gezien het vertrouwelijke karakter van de erin vervatte informatie, niet voor een brede en integrale verspreiding binnen de rijksoverheid. Om die reden kan niet worden vastgesteld of het gebruik van privé e-mailaccounts door bewindspersonen als gevolg van het bestuurlijk advies is aangepast.
De inhoud van het bestuurlijk advies sloot aan bij eerdere adviezen van de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en was in lijn met de bijbehorende inspanningen op het gebied van digitale veiligheid in de afgelopen jaren. Dit laat onverlet dat het verstandig zou zijn geweest om op dat moment naar aanleiding van het bestuurlijk advies nogmaals expliciet de aandacht te vragen voor de risico’s van zakelijk gebruik van privé e-mailaccounts.
Vraag 13

Hebben bewindspersonen hun gebruik van privée-mailaccounts gestopt, dan wel aangepast, na dit advies?

Zie antwoord vraag 12.
Vraag 14

Is het advies gedeeld met alle ministeries?

Zie antwoord vraag 12.
Vraag 15

Heeft u ook in uw vorige ministerschappen, zoals bij Defensie, gebruik gemaakt van uw privée-mailaccount?

Ja, in mijn periode als Minister van Sociale Zaken gebruikte ik hetzelfde privé
e-mailaccount. Daarnaast beschikte ik, in de daaraan voorafgaande periode waaronder mijn bewindsperiode bij Defensie, over een ander privé e-mailaccount. Dat privé e-mailaccount is in 2009 opgeheven. De betreffende dienstenaanbieder heeft mij medegedeeld dat de inhoud van het e-mailaccount bij de opheffing is verwijderd. Overigens is er, in tegenstelling tot mijn huidige privé e-mailaccount, geen indicatie dat mijn vorige privé e-mailaccount getroffen is door een (on)gerichte (phishing)aanval, waardoor aanleiding zou kunnen zijn voor een nader onderzoek.
Vraag 16

U geeft aan dat bewindspersonen die gebruik maken van een privée-mailadres voor werkaangelegenheden daarbij rekening houden met de aard van de informatie, waarbij het geen als staatsgeheim gerubriceerde informatie zou betreffen. Betreft het tevens geen informatie met de rubriceringen Departementaal Vertrouwelijk, Staatsgeheim Confidentieel, Staatsgeheim Geheim of Staatsgeheim Zeer Geheim?

Zie antwoord vraag 1.
Vraag 17

Acht u het aannemelijk dat als de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in zijn jaarverslag 2015 constateert dat sommige landen geïnteresseerd zijn in de politieke besluitvorming in Nederland en dat ministers een bijzonder doelwit zijn?

Ik kan niet uitsluiten dat ministers een bijzonder doelwit kunnen zijn, of dat sommige landen of buitenlandse inlichtingendiensten interesse hadden kunnen hebben in de informatie op het door mij gebruikte privé e-mailaccount. Ik ben mij er onvoldoende bewust van geweest dat, gezien de aard van mijn werkzaamheden, de door mij gebruikte privé e-maildienst niet geschikt was. Zoals ik u eerder berichtte heb ik deze werkwijze beëindigd en maak ik nu voor mijn werkgerelateerde communicatie enkel gebruik van de departementale digitale faciliteiten.3

20 juni 2016 - 12 juli 2016

22 dagen

Het bericht dat gemeenten en winkels zich niet houden aan de regels voor wifi-tracking
	Kees Verhoeven (D66)
	Henk Kamp (minister economische zaken) (VVD), Bert Koenders (minister buitenlandse zaken) (PvdA)

Bronnen

1. https://autoriteitpersoonsgegevens.nl/nl/nieuws/ap-wijst-winkels-en-g…

Vraag 1

Heeft u kennisgenomen van het bericht dat de Autoriteit Persoonsgegevens opnieuw gemeenten en winkels heeft moeten wijzen op de regels voor wifi-tracking?1

Ja.
Vraag 2

Hoe kan het dat gemeenten en winkels ondanks meerdere aanwijzingen van de Autoriteit Persoonsgegevens zich nog steeds niet houden aan de privacyregels en personen in de binnensteden ongevraagd volgen via hun mobiele telefoon?

De Autoriteit Persoonsgegevens (AP) heeft in 2016 geen onderzoek gedaan naar het gebruik van wifi-tracking in concrete gemeenten en winkels.2 Het is dus niet bekend of gemeenten en winkels zich aan de regels houden. Blijkens de op de website gepubliceerde informatie heeft de AP wel signalen van mensen ontvangen, waaruit blijkt dat er zorgen zijn over de impact van wifi-tracking op hun privacy. Daarom heeft de AP diverse bedrijven en gemeenten een brief gestuurd over de toepasselijkheid van de Wet bescherming persoonsgegevens (Wbp) op wifi-trackingtechnologie waarmee signalen van mobiele telefoons geregistreerd kunnen worden. In brieven aan Detailhandel Nederland en aan de Vereniging Nederlandse Gemeenten (VNG) vraagt de AP voorts om hun leden te informeren over de eisen die de Wbp stelt aan de inzet van wifi-tracking. De AP heeft dus vooral voorlichting gegeven over het wettelijke kader.
Vraag 3

Deelt u de opvatting dat meer aandacht nodig is voor naleving van privacyregels in de openbare ruimte waar mensen zich onbespied moeten kunnen bewegen? Zo ja, op welke wijze bent u voornemens samen met de Vereniging van Nederlandse Gemeenten (VNG) en het midden- en kleinbedrijf (mkb) aandacht te vragen voor privacy in de openbare ruimte?

Ook in de openbare ruimte gelden privacyregels en moeten mensen zich onbespied kunnen bewegen. In dat kader wil ik mijn complimenten uitspreken voor de gevoerde voorlichtingsactie van de AP waarmee organisaties en bedrijven gewezen worden op de wettelijke eisen die gelden wanneer zij gebruik maken van wifi-tracking. Conform de Wet bescherming persoonsgegevens (Wbp) mogen organisaties persoonsgegevens alleen verwerken als zij daar een wettelijke grondslag voor hebben. Daarbij geldt dat ingevolge de artikelen 33 en 34 van de Wbp kenbaarheid aan de verwerking van persoonsgegevens moet worden gegeven. Ook moeten mensen worden geïnformeerd over middelen waarmee persoonsgegevens worden verwerkt, bijvoorbeeld door beveiligingscamera’s, of met andere technieken zoals wifi-tracking. Verder verwijs ik naar het antwoord op vraag 7.
Vraag 4

Deelt u de mening dat gemeenten als onderdeel van de rijksoverheid zich per direct aan de privacyregels moeten houden door mensen in de openbare ruimte niet ongevraagd te volgen via hun mobiele telefoon? Zo ja, bent u vanuit uw hoedanigheid als Minister van Binnenlandse Zaken in aanvulling op de Autoriteit Persoonsgegevens voornemens daar werk van te maken nu de Autoriteit Persoonsgegevens opnieuw constateert dat gemeenten zich niet aan de regels houden?

Gemeenten zijn, net als iedere andere verantwoordelijke voor gegevensverwerking, gehouden zich aan de privacyregels uit de Wet bescherming persoonsgegevens te houden. De AP heeft niet geconstateerd dat gemeenten zich niet aan de regels houden. Wel vraagt zij aandacht voor die regels, in het bijzonder voor het gebruik van een juiste wettelijke grondslag voor toepassing van wifi-tracking en voor de plicht burgers daarover te informeren. Gemeenten zijn zelf verantwoordelijk voor de naleving van die regels, waarbij de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Veiligheid en Justitie samen met de VNG en andere partners bewustwording faciliteren en stimuleren.
De AP is een onafhankelijke toezichthouder, ook waar het gaat om de prioritering van onderzoeken en handhavingsmaatregelen. De AP heeft in haar brief aangegeven dat zij kan besluiten opnieuw onderzoek naar wifi-tracking te starten als zij signalen krijgt dat organisaties deze techniek inzetten en zich daarbij niet aan de eisen van de wet houden.
Vraag 5

Ziet u vanuit uw hoedanigheid als Minister van Economische Zaken mogelijkheden om in aanvulling op de Autoriteit Persoonsgegevens de retailsector nadrukkelijk te wijzen op hun verantwoordelijkheid om de privacyregels na te leven in de openbare ruimte?

Zie het antwoord op vraag 7.
Vraag 6

Is de Autoriteit Persoonsgegevens voldoende geëquipeerd om bedrijven te beboeten indien zij herhaaldelijk de wet overtreden?

Op grond van het per 1 januari 2016 gewijzigde artikel 66 Wbp kan de AP bij overtreding van de Wbp een bestuurlijke boete opleggen. In de regel gaat aan het opleggen van een bestuurlijke boete een bindende aanwijzing vooraf, tenzij de overtreding opzettelijk is gepleegd of het gevolg is van ernstig verwijtbare nalatigheid. Bij de bindende aanwijzing kan de AP een termijn stellen waarbinnen de aanwijzing moet worden opgevolgd. Het niet nakomen van de bindende aanwijzing kan met een bestuurlijke boete worden bestraft. Samen met de reeds bestaande bevoegdheid tot het opleggen van een last onder dwangsom, heeft de AP mijns inziens voldoende bevoegdheden voor het uitoefenen van haar handhavende taken.
Vraag 7

Bent u bereid in campagnes over cyberbewustzijn het uitzetten van wifi en bluetooth mee te nemen zodat mensen ongewenste tracking kunnen voorkomen?

In 2014 is de website www.veiliginternetten.nl ontwikkeld en in de markt gezet, in nauwe samenwerking met het Nationaal Cyber Security Centrum. Deze website is een gezamenlijk initiatief van het Ministerie van Economische Zaken, het Ministerie van Veiligheid en Justitie, het Platform voor de Informatiesamenleving en het bedrijfsleven. Het doel van dit PPS-portal is ondernemers en burgers te informeren over onder andere online (on)veiligheden en hen van tips, tricks, handreikingen en praktische stap-voor-stap uitleg te voorzien over wat zij kunnen doen en laten om veilig te internetten, ook via mobiele apparaten en openbare wifi-netwerken. Het thema wifi-tracking zal ook op de website worden opgenomen.

6 juni 2016 - 24 juni 2016

18 dagen

Het bericht “Gemeentelijke e-mail slecht beveiligd”
	Manon Fokke (PvdA), Astrid Oosenbrug (PvdA)
	Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

1. http://www.binnenlandsbestuur.nl/digitaal/nieuws/gemeentelijke-e-mail…
2. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 319
3. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 928
4. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 1613
5. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 2076
6. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 2401
7. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 2643

Vraag 1

Kent u het bericht «Gemeentelijke e-mail gênant slecht beveiligd?1

Ja.
Vraag 2

Herinnert u zich uw antwoorden op eerdere vragen over de beveiliging van gemeentelijke e-mail?2 3

Ja.
Vraag 3

Is het waar dat nog steeds vrijwel geen enkele gemeente voldoet aan de verplichte beveiligingsstandaarden voor e-mail? Zo ja, heeft u zicht op hoeveel gemeente niet voldoen aan de verplichte beveiligingsstandaarden voor e-mail? Zo nee, waarom niet?

In het bericht wordt gerefereerd aan de open beveiligingsstandaarden DKIM+SPF+DMARC (anti-phishing), DNSSEC (domeinnaambeveiliging) en STARTTLS (beveiligde verbindingen).
DKIM+SPF en DNSSEC staan op de pas-toe-of-leg-uit lijstvan het Forum Standaardisatie. DMARC en STARTTLS in combinatie met DANE zijn kandidaat om opgenomen te worden. De open standaarden die op de pas-toe-of-leg-uit lijst staan, zijn verplicht bij aanschaf, aankoop, aanbesteding of ontwikkeling van nieuwe diensten.
Volgens cijfers van het Bureau Forum Standaardisatie [https://www.forumstandaardisatie.nl/fileadmin/os/publicaties/Monitor_OSb_2015_Definitief.pdf] was DKIM in 2015 bij 77 gemeenten geïmplementeerd. Concluderend meldt het rapport (p. 24): «Iets meer dan één vijfde van de domeinnamen van overheden is in 2015 voorzien van een DKIM-configuratie. De verschillen tussen de verschillende overheden zijn niet groot.»
Voor deze standaarden is door het Nationaal Beraad een adoptie-impuls afgesproken, met het streefbeeld om de beveiligingsstandaarden die reeds op de pas-toe-of-leg-uit-lijst staan (TLS, DKIM+SPF en DNSSEC) – daar waar van toepassing – uiterlijk eind 2017 te hebben geïmplementeerd.
Gemeenten werken op verschillende fronten aan de bestrijding van spam en phishing. In de eerste plaats gaat het om het vergroten van de bewustwording binnen gemeenten; dit geldt eveneens voor burgers en bedrijven. In de tweede plaats zijn er additionele maatregelen zoals antispam- en antivirusoplossingen voor e-mail en firewallinstellingen.
De Informatiebeveiligingsdienst voor gemeenten (IBD) maakt factsheets rond de implementatie van DMARC, SPF en DKIM, om gemeenten op de hoogte te brengen van de standaarden en de voordelen van het implementeren ervan. Verder informeert IBD de betrokken leveranciers van klantcontactcentra, hostingpartijen, providers e.d. over de standaarden, zodat ze zich klaar kunnen maken voor vragen van gemeenten.
Vraag 4

Deelt u de mening dat het zorgelijk is dat, vanwege de gebrekkige beveiliging van e-mailverkeer van gemeenten, de persoonsgegevens die worden uitgewisseld in verkeerde handen kunnen vallen? Zo ja, hoe gaat u de desbetreffende gemeenten daar op aanspreken? Zo nee, waarom niet?

De betreffende standaarden DKIM / DMARC en SPF zorgen voor e-mailauthenticatie; hiermee wordt het mogelijk dat de ontvanger de identiteit van de afzender deels controleert. De standaarden hebben een belangrijke functie bij de mogelijke herkenning van spam en phishing voor zover deze gebruik maken van spoofing (waarbij een verzender zich voordoet als een ander).
Gebruik van deze standaarden is één van de schakels in de bestrijding van phishing en de beveiliging van persoonsgegevens. Omdat behalve gebruik van deze standaarden ook andere maatregelen genomen worden, onderschrijf ik niet dat door het enkele feit dat deze standaarden niet worden gebruikt persoonsgegevens in verkeerde handen vallen.
Vraag 5

Heeft u er zicht op in hoeveel gemeenten geen STARTLLS-standaard wordt aangehouden en er daardoor geen beveiligde internetverbinding mogelijk is?

De standaard STARTTLS is in combinatie met DANE (voor beveiligde mailverbindingen) in behandeling genomen door het Forum Standaardisatie en kan daardoor, mogelijk al in 2016, worden opgenomen op de lijst met open standaarden. Het Forum Standaardisatie zal vanaf dan ook de implementatie bij aanschaf, aankoop en aanbestedingen monitoren.
Vraag 6

Wat is volgens u de oorzaak van het probleem dat gemeenten de verplichte internetstandaarden voor de beveiliging van e-mail niet aanhouden? Hoe gaat u ervoor zorgen dat deze standaarden in alle gemeenten gehandhaafd worden?

De internetstandaarden die op de pas-toe-leg-uit-lijststaan, zijn verplicht bij aanschaf, aankoop, ontwikkeling of aanbesteding van nieuwe diensten, tenzij er een zwaarwegende reden is om hiervan af te wijken. Het handhaven in bestaande situaties is niet aan de orde. De versnelde implementatie is onderdeel van een lokaal afwegingskader.
Door het uitvoeren van een impactanalyse heeft de IBD uitgezocht welke impact de implementatie van deze standaarden voor gemeenten heeft. Hieruit blijkt dat de implementatie van de standaarden meer impact heeft naarmate de organisatie groter en complexer is. Voor met name DMARC moeten alle gemeentelijke mailstromen in kaart zijn gebracht en worden vertaald in beveiligingsregels. Het fout instellen van deze standaarden leidt tot een verstoring in e-mail van en aan de gemeente.
Zoals ik uw Kamer heb aangegeven in mijn brief met uitgangspunten wetgeving GDI (Kamerstuk 26 643 nr. 373) werk ik in deze wet aan een grondslag waarmee – nader te bepalen – standaarden uit de pas-toe-of-leg-uit-lijst wettelijk verplicht kunnen worden gesteld voor bestuursorganen, onder andere voor uniformering voor burgers en bedrijven, en het garanderen van communicatie. Daarbij speelt ook informatiebeveiliging een rol. De VNG onderschrijft die uitgangspuntenbrief.
Vraag 7

Hebben de gemeenteraden en de Autoriteit Persoonsgegevens (AP) voldoende middelen om toezicht te houden op de naleving van de wettelijk geldende eisen voor de verwerking van persoonsgegevens? Geven de gemeenteraden en de AP voldoende prioriteit aan het toezicht houden op de naleving van de wettelijk geldende eisen voor de verwerking van persoonsgegevens? Zo nee, hoe gaat u ervoor zorgen dat hier meer prioriteit aan wordt gegeven? Zo ja, hoe kan het dan nog steeds mis gaan?

Gemeenteraden bestaan uit gekozen volksvertegenwoordigers. Op grond daarvan en de verantwoordelijkheden en bevoegdheden van gemeenten voortvloeiend uit de Grondwet en de Gemeentewet, voeren gemeenten hun wettelijke taken zelfstandig uit. In die zin acht ik gemeenteraden en het gemeentebestuur zeer wel in staat om zorg te dragen voor de naleving van privacyregels en voor een afdoende niveau van de gemeentelijke informatieveiligheid. Desalniettemin kan het Rijk op grond van de Gemeentewet – in het kader van interbestuurlijk toezicht – toezicht houden op het gemeentebestuur. Dat is bij mijn weten nog niet voorgekomen in het geval van tekortkomingen op het gebied van de verwerking van persoonsgegevens of informatieveiligheid.
Het specifieke toezicht op de naleving van de wettelijke bepalingen inzake de verwerking van persoonsgegevens wordt gehouden door de Autoriteit Persoonsgegevens (AP). De AP richt als onafhankelijke toezichthouder haar eigen toezicht in. In het uitvoeren van haar toezichthoudende en handhavende taak stelt de AP prioriteiten op basis van criteria, zoals de ernst en de duur van de overtreding.
De AP dient haar taken in onafhankelijkheid te kunnen uitoefenen, zonder inmenging van buitenaf. Daarnaast kan ik u mededelen dat er geen signalen bekend zijn waaruit blijkt dat de AP tekortschiet in het houden van toezicht op de naleving van de wettelijke eisen voor de verwerking van persoonsgegevens.
Vraag 8

Herinnert u zich uw antwoorden op de vele vragen die gesteld zijn over de beveiliging en verwerking van persoonsgegevens in gemeenten?4 5 6 7

Ja.
Vraag 9

Deelt u de mening dat gemeenten onzorgvuldig omgaan met de persoonsgegevens van hun inwoners? Deelt u de mening dat het bericht «Gemeentelijke e-mail gênant slecht beveiligd» past in dit beeld?

Neen. Gemeenten hebben zich gecommitteerd aan de beveiliging van persoonsgegevens en hechten hieraan grote waarde. De implementatie van open standaarden heeft een plek in de activiteiten die gemeenten ontplooien om het gemeentelijk informatielandschap te beveiligen conform de uitgangspunten en kaders van hun gemeenschappelijk normenkader de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). De volgorde van implementatie van maatregelen (ook technische detailmaatregelen, maar vooral ook fysieke en organisatorische maatregelen) is gebaseerd op een lokale risicoafweging waar het college van B&W voor verantwoordelijk is.
Vraag 10

Zijn er volgens u ook goede voorbeelden van gemeenten die voldoen aan alle wettelijke eisen en zorgvuldig omgaan met de persoonsgegevens van burgers? Welke zijn dit? Waarom lukt het hier wel? Hoe gaat u ervoor zorgen dat dit goede voorbeeld gedeeld wordt met andere gemeenten?

Zonder in te gaan op de specifieke casuïstiek van individuele gemeenten, zijn er voorbeelden bekend van gemeenten waar bijvoorbeeld de gemeentelijke rekenkamer onderzoek heeft gedaan naar de mate van beveiliging van informatie. Dergelijke onderzoeken stellen college en raad in de gelegenheid om het niveau van informatieveiligheid te verhogen.
Uiteraard moeten gemeenten voldoen aan wettelijke eisen en dienen ze zorgvuldig om te gaan met persoonsgegevens. Dat wil niet zeggen dat er nooit iets mis gaat. Gemeenten werken aan bewustwording bij medewerkers, werken aan informatieveiligheid en weten zich gesteund door de IBD. De IBD draagt ook bij aan kennisdeling op het gebied van best practices. Daarnaast is privacy een belangrijk onderdeel van het programma ISD van de VNG. Ook via dat programma worden vele goede praktijken van gemeenten gedeeld.
Vraag 11

Wat vindt u het voorstel om naast de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) een privacy-BIG in te stellen om de privacy van burgers te waarborgen? Bent u inmiddels in gesprek met de Vereniging van Nederlandse Gemeenten (VNG) en KING (Kwaliteitsinstituut Nederlandse Gemeenten) over de haalbaarheid van zo'n privacy-BIG en wat is de stand van zaken met betrekking tot dit voorstel?

De Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) maakt deel uit van de Resolutie Informatieveiligheid waarmee de leden van de VNG op 29 november 2013 hebben ingestemd. Een voorstel om daarnaast een privacy-BIG in te stellen, lijkt me in dat kader iets voor de gemeenten om te besluiten.
VNG en gemeenten vinden, net als ik, een goede omgang met privacy zeer belangrijk. Onlangs werd op de ALV van de VNG privacy als prioriteit op de agenda gezet met het Position Paper Privacy. Gemeenten geven daarin aan dat het borgen van privacy en een correcte gegevensbescherming in alle gemeenten van groot belang zijn en een zeer belangrijke basis voor het vertrouwen van burgers, bedrijven, ketenpartners en medeoverheden in gemeenten. Gemeenten willen hun inzet op het gebied van het privacyvraagstuk versterken en collectiviseren. In het position paper zijn hiervoor tien actiepunten opgenomen. Een van de actiepunten houdt in dat de VNG in overleg met bestuurders (waaronder ook raadsleden), ambtenaren, ketenpartners en experts onderzoek doet naar de mogelijkheid om gezamenlijke privacykaders (normen) te ontwikkelen. Ik blijf in contact met de VNG over de ontwikkelingen en voortgang hiervan.

3 juni 2016 - 7 juli 2016

34 dagen

Het bericht ‘Cyber security van apparatuur in ziekenhuizen kwetsbaar’
	Kees Verhoeven (D66), Pia Dijkstra (D66)
	Ard van der Steur (minister justitie en veiligheid) (VVD), Edith Schippers (minister volksgezondheid, welzijn en sport) (VVD)

Bronnen

1. http://www2.deloitte.com/nl/nl/pages/over-deloitte/articles/cyber-sec…
2. Aanhangsel Handelingen, vergaderjaar 2015–2016, nr. 2512

Vraag 1

Bent u bekend met het bericht «Cyber security van apparatuur in ziekenhuizen kwetsbaar»?1

Ja
Vraag 2

In hoeverre zijn er bij u besmettingsgevallen met malware bij Nederlandse ziekenhuizen bekend?

Bij de Inspectie voor de Gezondheidszorg (IGZ) zijn geen concrete meldingen van cyber incidenten bekend. Bij het Nationaal Cyber Security Centrum (NCSC) zijn er in het afgelopen jaar twee vrijwillige meldingen van malware besmettingen geweest. Zoals eerder aangegeven in de beantwoording van vragen van de leden Pia Dijkstra en Kees Verhoeven (d.d. 11 mei 2016) betreffen deze meldingen aanvallen op kantoorautomatisering en zijn er bij het NCSC geen signalen bekend dat deze aanvallen hebben geresulteerd in grootschalige uitval of verstoring.
Vraag 3

Herinnert u zich uw antwoorden op eerdere vragen, waarin u zei dat «het de eigen verantwoordelijkheid van ziekenhuizen is om de informatiebeveiliging op orde te hebben»? Kunnen ziekenhuizen de expertise van het Nationaal Cyber Security Centrum (NCSC) inroepen om hun informatiebeveiliging op orde te krijgen? Zo nee, waarom niet?2

Ja
In eerdere beantwoording is aangegeven dat informatiebeveiliging een eigen verantwoordelijkheid van de zorginstelling is, ongeacht de mate van ondersteuning die het NCSC een partij biedt. In de EU richtlijn inzake Netwerk- en Informatiebeveiliging (NIB) wordt de zorgsector overigens wel aangewezen als sector waarbinnen moet worden bepaald welke specifieke organisaties aanbieders van essentiële diensten zijn en in verband hiermee onder bepaling van de richtlijn komen te vallen. Over de implementatie van de NIB-richtlijn en verdere acties wordt de Tweede Kamer door de Minister van Veiligheid en Justitie geïnformeerd.
Er is sprake van een omvangrijk aantal activiteiten op het gebied van cybersecurity in de zorg, die met betrokkenheid van het NCSC, worden ontplooid. Allereerst heeft het NCSC in samenwerking met de sector een Information Sharing and Analysis Centre (ISAC) voor de zorg opgezet. Een ISAC is een publiek-privaat sectoraal samenwerkingsverband, waarbinnen op tactisch niveau deelnemers van verschillende ziekenhuizen onderling informatie en ervaringen uitwisselen over cybersecurity en kwetsbaarheden in de sector («situational awareness»).
Daarnaast wordt gewerkt aan de inrichting van een Computer Emergency Response Team (CERT) voor de zorg (Z-CERT). Tot slot publiceert het NCSC openbare kennisproducten (o.a. het Cybersecurity Beeld Nederland (CSBN) en Factsheets) die zorginstellingen kunnen gebruiken bij het verbeteren van hun informatiebeveiliging.
Binnenkort verschijnt ook de tweede druk van het «Convenant Veilige toepassing van medische technologie». Het convenant is een veldnorm voor de instellingen voor medisch-specialistische zorg en biedt handvatten voor de totale levenscyclus van een medisch hulpmiddel. Daarin wordt het aspect «cybersecurity» aangemerkt als onderdeel van de risicoanalyse.
Vraag 4

Bent u bereid onderzoek te doen onder Nederlandse ziekenhuizen en andere zorginstellingen, naar het voldoen van apparatuur aan de privacyregelgeving, het gebruikmaken van versleutelde verbindingen bij op het netwerk aangesloten apparaten en beleid rondom het dichten van kwetsbaarheden in software van medische apparatuur?

Informatiebeveiliging is een eigen verantwoordelijkheid van een zorginstelling. De NEN 7510 (en NEN 7512) – waar de ziekenhuizen nu al aan moeten voldoen – geven allerlei technische en organisatorische normen hoe informatiebeveiliging en privacy kan worden bereikt. Deze normen zijn zowel gericht op het voorkómen van incidenten als op het voorbereid zijn wanneer ze optreden. Ziekenhuizen zullen zelf moeten nagaan of nieuwe apparatuur voldoet aan de beveiligingseisen die in deze normen zijn gesteld. Ziekenhuizen kunnen hun informatiebeveiligingsbeleid en de beveiligingsmaatregelen ook periodiek laten auditen.
Informatiebeveiliging van medische hulpmiddelen, waaronder medische apparatuur, maakt deel uit van het ontwikkel (design) proces. In de essentiële eisen die de huidige Europese Medische Hulpmiddelen Richtlijn voorschrijft staat dit weliswaar nog niet expliciet zo genoemd, maar in de tekst van de aankomende verordening wel. Onder Nederlands Voorzitterschap is op 15 juni jl. over deze verordening politiek akkoord bereikt.
De IGZ ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg. Het genoemde convenant bij het antwoord op vraag 3 valt hier ook onder.
In het Algemeen Overleg van woensdag 29 juni heb ik de TK geïnformeerd over mijn aangekondigde onderzoek, een quickscan, dat ik uitvoer naar de praktijk rond de privacybescherming en omgang met informatiebeveiliging in de ziekenhuizen en GGZ-instellingen. Hierin zal ik onder meer kijken naar de omgang met medische gegevens, de vindbaar- en toegankelijkheid daarvan en voor wie, hoe groot de rol is die privacy en informatiebeveiliging speelt in de eigen dienstverlening en bij uitbesteding van bijvoorbeeld het digitaliseren van patiëntendossiers, of er in de instelling specifiek mensen zijn die verantwoordelijk zijn voor de informatiebeveiliging en hoe deze verantwoordelijkheid is belegd in de Raad van Bestuur en of er geoefend wordt in de organisatie met informatiebeveiligingsincidenten (bijvoorbeeld een hack).
Vraag 5

Deelt u de mening dat de maatschappelijke acceptatie van medische innovaties afhangt van het vertrouwen dat patiënten hebben in de (cyber)veiligheid van het apparaat en de veilige omgang met gegenereerde (persoons)gegevens? Zo ja, op welke manier draagt u daaraan bij? Zo nee, waarom niet?

Veiligheid van medische hulpmiddelen is een belangrijke voorwaarde voor het gebruik. Medische hulpmiddelen dienen, voordat zij tot de markt worden toegelaten, beoordeeld te worden om te bepalen of zij geproduceerd zijn conform de essentiële eisen van de Europese Medische Hulpmiddelen Richtlijn. Cyberveiligheid vormt een groeiend onderdeel van deze beoordeling, gezien de toegenomen verbondenheid van medische apparatuur met de lokale zorginformatiesystemen en de data die deze apparaten verzamelen en verwerken. Er wordt veelal gewerkt volgens de privacy en security by design principes3, waarbij de apparaten niet zonder reden verbonden zijn met openbare netwerken en data niet zonder reden beschikbaar wordt gesteld aan anderen. De beoordeling en certificering van medische hulpmiddelen gebeurt aan de hand van internationale normen, waarin privacy en cyberveiligheid ook meegenomen worden.
Er is een groeiend bewustzijn rondom de risico’s van de steeds meer verbonden medische apparaten. Tevens wordt gewerkt aan het vergroten van het risicobewustzijn bij zorgverleners en instellingen op het gebied van cyberveiligheid en privacy. Zo heeft de Nederlandse Vereniging van Ziekenhuizen (NVZ) een Netwerk Informatiebeveiliging waar kennis en ervaring wordt uitgewisseld, is er een 4-daagse cursus informatieveiligheid ontwikkeld en wordt dit jaar voor het zesde jaar een bewustwordingsweek georganiseerd waar zorgverleners in ziekenhuizen worden gewezen op de risico’s van cyberveiligheid en privacy, en de maatregelen die zij daartegen kunnen nemen. Voor meer informatie daarover verwijs ik u naar http://www.zorgzekeren.nl/. Ik steun dit initiatief van harte.
Vraag 6

Bent u bereid, gezien het belang van medische innovaties voor de kwaliteit van de zorg, om een landelijke aanpak te organiseren om de cyber veiligheid van ziekenhuizen en andere zorginstellingen te verbeteren? Zo nee, waarom niet?

De eerder genoemde Z-CERT is een landelijk georganiseerde aanpak om cyberveiligheid in de ziekenhuizen te verhogen. De ISAC, heeft eveneens als doel om de cyberveiligheid door de uitwisseling van kennis en informatie te verhogen en is reeds landelijk georganiseerd.
Daarnaast zal ik, zoals eerder ook al in antwoorden op Kamervragen heb aangegeven, met de leden van het Informatieberaad (ondermeer de zorgkoepels, Vereniging Nederlandse Gemeenten, Zorgverzekeraars Nederland) bespreken of het noodzakelijk is om aanvullende maatregelen te nemen om extra waarborgen te realiseren en «privacy en security by design4» te stimuleren.
Tot slot verwijs ik naar het aangekondigde onderzoek, een quickscan, rond de privacybescherming en omgang met informatiebeveiliging binnen de ziekenhuizen en GGZ-instellingen, waarover ik u voor eind van dit jaar informeer. Ik zal aan de hand van de bevindingen bezien wat nog extra nodig is.

2 juni 2016 - 4 juli 2016

32 dagen

De elektronische berichtenbox
	Pieter Omtzigt (CDA)
	Eric Wiebes (staatssecretaris financiën) (VVD)

Bronnen

1. Kamerstuk 26 643, nr. 280.
2. Handelingen Tweede Kamer, 2015–2016, nr. 39, item 25.

Vraag 1

Heeft u kennisgenomen van de visiebrief digitale overheid 2017, die in 2013 door het kabinet aan de Kamer gestuurd is?1 Zo ja, deelt u de inhoud van deze brief?

Ja.
Vraag 2

Bent u bekend met de volgende zin uit deze brief: «Wanneer de overheid het digitale kanaal richting burgers nadrukkelijk als voorkeurskanaal presenteert past het daarbij dat de overheid zelf ook digitale berichten accepteert.»?

Zie antwoord vraag 1.
Vraag 3

Bent u bekend met het uit de genoemde brief volgende beleidsvoornemen om de Algemene wet bestuursrecht ook in die zin te wijzigen?

Zie antwoord vraag 1.
Vraag 4

Volgt uit dit beleidsvoornemen, dat de burger die digitale berichten van de Belastingdienst moet accepteren, straks ook mails met vragen naar de Belastingdienst mag sturen en een correct antwoord mag verwachten, waaraan rechtszekerheid ontleend mag worden?

Uit het beleidsvoornemen volgt inderdaad dat de Belastingdienst ook voor inkomende berichten een digitaal kanaal beschikbaar moet hebben. Dit vloeit ook voort uit de Wet elektronisch berichtenverkeer Belastingdienst, nu deze wet niet alleen aan belastingplichtigen, belastingschuldigen en toeslaggerechtigden de plicht oplegt om digitaal te communiceren, maar ook aan de inspecteur, de ontvanger en Belastingdienst/Toeslagen. De Belastingdienst werkt daarom aan beschikbaarheid van digitale kanalen voor alle voorkomende zaken die burgers en bedrijven met de Belastingdienst doen, inclusief het verkrijgen van correcte informatie over hun verplichtingen en aanspraken. De Belastingdienst maakt beperkt gebruik van e-mail voor communicatie met burgers en bedrijven, omdat dit kanaal niet geschikt en veilig genoeg is voor het uitwisselen van berichten waarin (gevoelige) persoons- en fiscale gegevens zijn opgenomen.
Vraag 5

Bent u bekend met het feit dat de brief uitgaat van een twee kanalenstrategie ofwel dat er altijd een alternatief kanaal naast het digitale kanaal beschikbaar moet zijn?

Op bladzijde 5 van de brief wordt inderdaad aangegeven dat er steeds alternatieven zullen moeten zijn voor burgers die de mogelijkheden of vaardigheden missen om hun contacten met de overheid via de digitale weg te regelen. Persoonlijk contact met de overheid moet voor deze burgers mogelijk blijven. Het uitgangspunt wordt: «digitaal waar het kan, persoonlijk waar het moet».
Ook de Belastingdienst hanteert dit uitgangspunt. Er zullen altijd mogelijkheden blijven om telefonisch of aan de balie contact te hebben met een medewerker voor hulp bij het regelen van belasting- of toeslagzaken. Deze hulp omvat ook het ondersteunen van mensen bij digitaal berichtenverkeer. De Belastingdienst ondersteunt daarnaast een breed netwerk van maatschappelijke organisaties om hulp te verlenen aan mensen die minder goed in staat zijn om zelf hun zaken bij de Belastingdienst te regelen. Voor mensen die echt niet uit de voeten kunnen met digitaal verkeer en voor wie de ondersteuningsmogelijkheden ook geen soelaas bieden, blijft de mogelijkheid bestaan om op verzoek een papieren kopie van digitale berichten te ontvangen.
Overigens erkent de voorgenomen wijziging van de Algemene wet bestuursrecht (Awb) ook de mogelijkheid van de wetgever om af te wijken van het zogenoemde nevenschikkingsbeginsel, en dus om bij wet te regelen dat het digitale kanaal het exclusieve kanaal is voor contact tussen overheid enerzijds en burgers en bedrijven anderzijds.2 Dit sluit aan bij wat hierover is gezegd in de kabinetsbrief over wetgeving voor de generieke digitale infrastructuur. Daarin is aangegeven dat het mogelijk is dat de wetgever kiest voor uitsluitend digitaal verkeer met burgers en bedrijven voor bepaalde bestuursorganen, waarbij zal moeten worden gezorgd voor ondersteuning van minder zelfredzamen.3 In de Wet elektronisch berichtenverkeer Belastingdienst (Wet EBV) en ook andere wetten (bijvoorbeeld de Wet SUWI) heeft de wetgever (dat wil zeggen: regering en Staten-Generaal gezamenlijk) gebruik gemaakt van de ruimte die uit deze beleidsbrief spreekt.
Vraag 6

Deelt u de mening uit de brief dat er altijd een permanent tweede kanaal moet zijn?

Ik deel niet de mening dat er altijd een tweede kanaal moet zijn om berichten in te sturen naar of te ontvangen van de Belastingdienst. Overigens staat dat ook niet in de brief. Het is wel van belang dat de Belastingdienst altijd ook niet-digitale kanalen beschikbaar heeft om mensen te helpen om het digitale kanaal te gebruiken. In het antwoord op vraag 5 heb ik aangegeven hoe de Belastingdienst dit heeft ingericht.
Vraag 7

Kunt u aangeven hoeveel van de 5,4 miljoen voorschotbeschikkingen die in november/december 2014 verstuurd zijn, binnen zes weken (bezwaartermijn) gelezen zijn via MijnOverheid.nl en via Mijntoeslagen.nl?

Ik neem aan dat gedoeld wordt op november/december 2015 in plaats van 2014. Voor beantwoording van deze vraag is de periode van 1 november 2015 tot en met 7 februari 2016 aangehouden. In die periode zijn de continueringsbeschikkingen in batches verzonden. Deze waren alle gedateerd op 28 december 2016, zodat verzekerd is dat mensen op de volle zes weken bezwaartermijn kunnen rekenen, ook al zou de bezorging onverhoopt enige vertraging opleveren. De datum van 7 februari ligt 6 weken na 28 december.
In de genoemde periode hebben ruim 1,4 mln. unieke bezoekers het bericht over hun continueringsbeschikking in de Berichtenbox op MijnOverheid geraadpleegd. Hierbij kan worden vermeld dat op dat moment circa 2,6 miljoen mensen hun berichtenbox hadden geactiveerd.
Daarnaast hebben in diezelfde periode ruim 1 miljoen unieke bezoekers ingelogd op het portaal MijnToeslagen. Zij hebben op de homepage allemaal hun continueringsbeschikking kunnen zien. Daarvan hebben ruim 860.000 burgers doorgeklikt tot op het niveau van de specificatie en grondslagen waarop de continuering van hun toeslag(en) is gebaseerd.
Vraag 8

Indien u dit niet precies weet, waarom wordt dit dan nog niet bijgehouden? Kunt u in dat geval dan een zo nauwkeurig mogelijke schatting geven?

Zie antwoord vraag 7.
Vraag 9

Hoeveel toeslaggerechtigden zijn er en hoeveel hebben een account bij Mijntoeslagen.nl?

Er zijn op dit moment ongeveer 6 miljoen burgers die toeslag voor zichzelf of hun huishouden ontvangen. Voor alle burgers met een BSN is er een MijnToeslagen account op www.toeslagen.nl. Op deze manier wordt iedereen die mogelijk aanspraak heeft op toeslagen, in staat gesteld om die ook eenvoudig digitaal aan te vragen. Op MijnToeslagen staan ook de relevante gegevens voor een aanvraag klaar.
Vraag 10

Hoeveel toeslaggerechtigden checken ten minste een keer maand hun account bij Mijntoeslagen.nl?

Het portaal MijnToeslagen wordt gemiddeld door ongeveer 700.000 unieke bezoekers per maand geraadpleegd.
Vraag 11

Hoeveel natuurlijke personen hebben op dit moment een account mijn MijnOverheid.nl?

De Minister van Binnenlandse Zaken en Koninkrijksrelaties zorgt ervoor dat voor alle Nederlanders van 14 jaar en ouder een MijnOverheidaccount klaarstaat. Op dit moment betreft dat bijna 15,8 mln. mensen, ofwel alle volwassen Nederlanders.
Ruim 5,2 mln. mensen hebben hun account geactiveerd. Dat wil zeggen dat zij persoonlijke instellingen hebben doorgevoerd, zoals het doorgeven van een mailadres voor notificatie van nieuwe berichten in de Berichtenbox. In de periode van 1 november 2015 tot en met 31 mei 2016 hebben gemiddeld zo’n 1,8 mln. mensen per maand hun MijnOverheidaccount bezocht. Dit betreft unieke bezoekers.
Vraag 12

Hoeveel natuurlijke personen loggen ten minste een keer per maand in bij MijnOverheid.nl om hun post te checken?

Zie antwoord vraag 11.
Vraag 13

Hoeveel volwassen Nederlanders hebben geen account bij MijnOverheid.nl?

Zie antwoord vraag 11.
Vraag 14

Hoeveel volwassen Nederlanders hebben een account bij MijnOverheid.nl, maar hebben de afgelopen vier weken niet ingelogd?

Voor het antwoord op deze vraag ben ik uitgegaan van het aantal unieke bezoekers op MijnOverheid in de maand mei. Dat aantal bedroeg bijna 2,5 mln. Afgezet tegen het totaal aantal klaarstaande accounts van circa 15,8 miljoen hebben ongeveer 13,3 miljoen mensen in die maand niet ingelogd. Daarbij moet uiteraard in aanmerking worden genomen dat mensen in het algemeen alleen inloggen als daar een aanleiding toe is, bijvoorbeeld omdat er een bericht is bezorgd in hun Berichtenbox.
Vraag 15

Is er een doelstelling hoeveel procent van de mensen een digitaal bericht van de Belastingdienst gelezen moet hebben (binnen een bepaalde termijn) om te kunnen spreken van een succesvolle verspreiding? Zo ja, hoe hoog is dat percentage? Zo nee, waarom niet en bent u dan bereid om een dergelijke doelstelling alsnog te formuleren?

Nee, zo’n doelstelling is er niet. Ieder bericht van de Belastingdienst heeft een eigen handelingsperspectief. Ook andere informatiestromen rond berichten van de Belastingdienst (bijvoorbeeld een massale communicatiecampagne) spelen een rol bij de mate waarin mensen hun berichten in de Berichtenbox raadplegen. Per berichtsoort wordt een afweging gemaakt tussen kwantitatieve en kwalitatieve aspecten. De afweging voor de definitieve toekenningbeschikking Toeslagen heb ik met uw Kamer gedeeld.4
Vraag 16

Heeft het feit dat acceptgiro’s nog per post verstuurd worden naar mensen die moeten betalen als gevolg van een definitieve toekenning toeslagen te maken met het feit, zoals u zelf ook wel weet, dat een meerderheid van de mensen op dit moment helemaal geen kennis neemt van de digitale post?

Nee, dit heeft te maken met het feit dat, zoals ook bij de behandeling van de Wet EBV is aangegeven,5 inningsberichten – dus ook acceptgiro’s – pas op langere termijn onder het uitsluitend elektronische berichtenverkeer gebracht zullen worden. Dit vanwege de aard van de berichten, maar ook vanwege het feit dat nog geen systeem voor direct digitale betaling van belasting- en toeslagschulden (zoals iDeal) beschikbaar is. Dit zal de komende jaren worden ontwikkeld. Zoals ik heb toegezegd aan het lid Omtzigt bij de behandeling van de Wet EBV,6 zal ik uw Kamer tijdig vooraf informeren over het moment waarop inningsberichten onder het uitsluitend elektronisch berichtenverkeer worden gebracht.
Vraag 17

Waarom krijgt iemand pas tot vijf weken nadat hij een elektronisch bericht van toekenning gehad heeft, een acceptgirokaart met het bedrag dat hij moet betalen? Heeft dat te maken met het feit dat hij dan nog maar een week de tijd heeft om bezwaar te maken en dat het anders gewoon definitief vaststaat?

In de brief over mijn besluit over het digitaal verzenden van de definitieve toekenningsbeschikkingen van Toeslagen heb ik inderdaad een maximumtermijn van vijf weken genoemd voor het verzenden van de acceptgiro. Nadere informatie van Belastingdienst/Toeslagen leert dat deze termijn zelfs nooit meer dan één week is. De praktijk is dus positiever dan de informatie hierover in mijn brief over de definitieve toekenningsbeschikkingen. Daarnaast is de datum dagtekening van de beschikking bepalend voor de start van de bezwaartermijn. De beschikkingen zijn in het algemeen een week vooruit gedateerd. Dat maakt dat de bezwaartermijn in principe altijd 6 weken is en blijft: 6 weken formele bezwaartermijn, plus 1 week i.v.m. het vooruit dateren van de beschikking, minus 1 week voor het toezenden van de acceptgiro.
In de brief met de acceptgiro is de volgende passage opgenomen: «Hebt u een definitieve berekening van uw toeslag ontvangen? En bent u het niet eens met de vastgestelde hoogte van uw toeslag of met het bedrag dat u moet terugbetalen? Maak dan bezwaar tegen deze beschikking. Op www.toeslagen.nl leest u hoe u dit kunt doen.»
In die brief wordt dus expliciet verwezen naar de mogelijkheid om bezwaar te maken tegen de toekenningsbeschikking en de wijze waarop dat kan.
Vraag 18

Bent u van plan bij die acceptgiro, die mensen dus veel te laat gaan ontvangen en die voor velen het eerste teken zal zijn dat zij moeten betalen, ook nog netjes te vermelden dat mensen bezwaar kunnen maken, bijvoorbeeld omdat de overheid de kinderopvangtoeslag verkeerd berekend heeft – zoals wel eens gebeurt – of bent u van plan mensen niet op hun rechten te wijzen?

Zie antwoord vraag 17.
Vraag 19

Kunt u het telefoonprotocol van de BelastingTelefoon vrijgeven dat gold voor mensen die op 1 november 2014 vroegen om de post van de Belastingdienst op papier te blijven ontvangen?

Zoals ik eerder heb aangegeven tijdens het VAO van 17 december 20157 ben ik van mening dat de telefoonprotocollen niet bijdragen aan begrip over de wijze waarop burgers papieren kopieën van hun berichten krijgen toegestuurd. Met mensen die bellen voor een papieren kopie wordt besproken of zij op een andere manier dan via papier hun belastingzaken kunnen regelen. Daarbij wordt gevraagd of zij beschikking hebben over computer en internet of iemand in de buurt die hen kan helpen. Aan mensen voor wie dit niet het geval is, biedt Belastingdienst als maatwerkoplossing het toesturen van een papieren kopie aan, zoals in het antwoord op de volgende vraag is beschreven. In geval van twijfel over de mogelijkheden waarover mensen beschikken is de Belastingdienst coulant.
Vraag 20

Klopt het dat mensen die op of rond 1 november 2014 de BelastingTelefoon belden met het verzoek om papieren toezending een lange lijst vragen kregen om te beoordelen of er niemand in hun omgeving voor hen de berichtenbox kon bijhouden?

Vanaf half november 2015 is gestart met de zogenoemde «maatwerkoplossing». Vanaf dat moment werd aan mensen die belden naar de Helpdesk Digitale post een aantal vragen gesteld met de insteek om hen redzaam te maken in het gebruik van de Berichtenbox. Zo is gevraagd naar mogelijkheden om mensen in de omgeving in te schakelen om te helpen bij het raadplegen van de toeslagbeschikking in Berichtenbox. Daarnaast is hulp aangeboden bij de balie om mensen te ondersteunen bij het activeren van de Berichtenbox. Van «een lange lijst» was naar mijn oordeel geen sprake. Als mensen aangaven geen computer met internet te hebben, niet over hulp in de omgeving te beschikken, en dat machtigen voor hen geen oplossing bood, zijn zij op een lijst gezet voor toezending van een papieren kopie van het naar hun Berichtenbox verzonden bericht.
Het telefoonscript is na november enkele keren aangepast op grond van ervaringen bij de toepassing van het maatwerkbeleid. Deze responsieve aanpak bij de toepassing van dit beleid wordt tot op de dag van vandaag toegepast, zoals ik zeer onlangs ook nog in reactie op een motie van de heer Bashir over deze maatwerkoplossing heb aangegeven.8
Vraag 21

Klopt het dat het beleid en het telefoonscript in november 2014 één of twee keer gewijzigd is? Zo ja, kunt u dan de gewijzigde scripts doen toekomen aan de Kamer en aangeven welke wijzigingen hebben plaatsgevonden?

Zie antwoord vraag 20.
Vraag 22

Herinnert u zich de toezegging «Ik voldoe heel graag aan het verzoek om de Kamer in mei te informeren over de stand van zaken met betrekking tot de elektronische berichtenbox»?2

Ja, ik heb deze toezegging uitgevoerd in de Halfjaarrapportage Belastingdienst die in april aan uw Kamer is voorgelegd.10 In het antwoord op de vragen 11 tot en met 14 zijn nog aanvullende en actuele gegevens opgenomen over het gebruik van MijnOverheid en de Berichtenbox.
DigiD Machtigen voorziet al vanaf 2011 in een machtiging van burger tot burger voor verschillende diensten van de Belastingdienst, inclusief het raadplegen van berichten van de Belastingdienst via de Berichtenbox van MijnOverheid.
Zoals ik in mijn brief met de reactie op het rapport van de Nationale ombudsman heb aangegeven, is de verwachting dat een burger-organisatiemachtiging in DigiD Machtigen medio 2017 beschikbaar zal zijn. Deze mogelijkheid zal in de volgende stappen worden gerealiseerd: de oplevering door Logius (de dienst digitale overheid van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties) van de technische voorziening voor het administreren van een machtiging voor een niet natuurlijke persoon staat gepland voor het vierde kwartaal van 2016. Vanaf eind 2016 zal door de Belastingdienst een pilot worden uitgevoerd voor belastingen en toeslagen. De pilot zal lopen tot medio 2017. Afhankelijk van de uitkomsten van de pilot zal de Machtiging voor niet natuurlijke personen naar verwachting in de tweede helft van 2017 definitief kunnen worden geïntroduceerd.
Vraag 23

Kunt u aangeven hoe de stand van zaken is met betrekking tot de elektronische berichtenbox en daarbij ingaan op het percentage Nederlanders dat hem gebruikt, de ontwikkeling van het gebruik, de machtigingen burger-tot-burger en burger-tot-instelling?

Zie antwoord vraag 22.
Vraag 24

Herinnert u zich in hetzelfde plenaire debat toegezegd te hebben inzage te geven in het aantal navorderingen dat zou plaatsvinden door de laatste nota van wijziging in het Belastingplan? Kunt u daar nu inzage in geven?

Het lid Omtzigt heeft in het plenaire debat op 15 december 2015 over de novelle op het Belastingplan 2016 gevraagd naar het aantal extra voorlopige en definitieve aanslagen dat als gevolg van de laatste nota van wijziging en de novelle verstuurd zou moeten worden en het aantal extra blauwe enveloppen die dat tot gevolg zou hebben.
De laatste wijzigingen in het Belastingplan leiden tot een licht hogere heffing loon- of inkomstenbelasting bij belastingplichtigen met box 1 inkomen in de tweede/derde schijf. In het overgrote deel van de gevallen vindt deze heffing plaats via de aanpassing van de loonbelastingtabellen die per 1 april 2016 heeft plaatsgevonden. De belastingplichtige heeft als gevolg hiervan mogelijk gezien dat zijn loonstrook vanaf april er iets anders uitzag dan in de eerste drie maanden van het jaar.
Belastingplichtigen die de hogere heffing niet (volledig) via de loonheffing betalen (bijv. ondernemers), betalen via de inkomensheffing. De Belastingdienst onderneemt niet apart actie om hen tussentijds nieuwe voorlopige aanslagen op te leggen. Voor hen geldt vrijwel altijd dat de definitieve aanslag afwijkt van de voorlopige aanslag. Daaraan ligt een veelheid van factoren ten grondslag. Dit jaar zijn de laatste wijzigingen in het Belastingplan 2016 ook zo’n factor. Verrekening van de extra heffing vindt plaats via een definitieve aanslag die toch vrijwel altijd al zou worden opgelegd. De verwachting is dan ook dat niet of nauwelijks extra aanslagen zullen worden opgelegd.
Van extra voorlopige aanslagen als gevolg van de wijzigingen is alleen sprake als belastingplichtigen zelf actie ondernemen. Uit een aanvraag om een bijgestelde voorlopige aanslag is niet een-op-een af te leiden om welke reden de belastingplichtige die aanvraag doet. Om toch een indruk te krijgen in hoeveel gevallen de aanvraag van een nieuwe voorlopige aanslag 2016 mogelijk verband zou kunnen houden met de laatste wijzigingen van het Belastingplan, is gekeken hoeveel mensen tot nog toe een nieuwe voorlopige aanslag hebben aangevraagd die maximaal € 95 in hun nadeel afwijkt van de eerder opgelegde voorlopige aanslag. Deze query levert een aantal van ongeveer 350 aanvragen op.
Vraag 25

Kunt u deze vragen binnen de reguliere termijn van drie weken beantwoorden en in ieder geval ook 48 uur voordat het geplande dertigledendebat over het afschaffen van de blauwe envelop plaatsvindt?

Het is niet gelukt om de beantwoording van deze vragen binnen de reguliere termijn af te ronden vanwege de bouw en uitvoering van de query die nodig was voor het antwoord op vraag 24.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

597 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

16 februari 2017 - 13 maart 2017

25 dagen

Remco Bosma (VVD)

Henk Kamp (minister economische zaken) (VVD)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

2 februari 2017 - 1 maart 2017

27 dagen

Astrid Oosenbrug (PvdA)

Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

Vraag 13

Vraag 14

Vraag 15

27 januari 2017 - 8 maart 2017

40 dagen

Jasper van Dijk , Ronald van Raak (SP)

Jeanine Hennis-Plasschaert (minister defensie) (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

4 januari 2017 - 13 februari 2017

40 dagen

Sharon Gesthuizen (GL), Ronald van Raak (SP)

Ard van der Steur (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

8 december 2016 - 16 december 2016

8 dagen

Ingrid de Caluwé (VVD)

Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA)

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

7 november 2016 - 29 november 2016

22 dagen

John Kerstens (PvdA), Henk Nijboer (PvdA)

Jeroen Dijsselbloem (minister financiën) (PvdA)

Bronnen

Vraag 1