Kamervragen

Alle

17 februari 2020 - 30 juni 2020

134 dagen

Het bericht ‘Onderzoeksinstituut Wetsus in Leeuwarden gehackt, hacker betaald in bitcoins’.
	Aukje de Vries (VVD), Dennis Wiersma (VVD)
	Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA), Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66)

Bronnen

1. NOS, 12 februari 2020, https://nos.nl/artikel/2322643-onderzoeksinsti…

Vraag 1

Ben u bekend met het bericht «Onderzoeksinstituut Wetsus in Leeuwarden gehackt, hacker betaald in bitcoins»?1

Ja.
Vraag 2

Wat heeft er precies plaatsgevonden bij het onderzoeksinstituut Wetsus met betrekking tot de ransomeware-aanval?

Op maandag 3 februari heeft een niet geïdentificeerde hacker een ransomeware-aanval uitgevoerd op Wetsus. Door de cyberaanval was tot en met 11 februari het netwerk en de e-mailserver van Wetsus niet toegankelijk. Wetsus heeft op 3 februari direct actie ondernomen en het incident gemeld bij de aangewezen instanties: de politie, de Autoriteit Persoonsgegevens en het Nationaal Cyber Security Center. Na overleg met cybersecurity experts heeft Wetsus de afweging gemaakt om losgeld te betalen.
Vraag 3

Worden er minimale veiligheidseisen gesteld op het gebied van cyberveiligheid bij onderzoeksinstituten die een financiering vanuit de overheid ontvangen? Zo ja, wat zijn die eisen? Zo nee, waarom niet?

Het borgen van de (cyber)veiligheid is primair een verantwoordelijkheid van onderzoeksinstituten zelf, uiteraard met inachtneming van de relevante wet- en regelgeving. Afhankelijk van het onderzoeksinstituut kunnen er specifieke aanvullende eisen aan de (cyber)veiligheid gesteld worden. Zo zijn de onderzoeksinstituten die onderzoek doen voor het Ministerie van Defensie onderworpen aan de Algemene Beveiligingseisen Defensieopdrachten 2019 (ABDO 2019), waarin een heel hoofdstuk is gewijd aan cyberveiligheid. Deze eisen gelden bijvoorbeeld voor de TO2-instellingen TNO, Marin en NLR.
Vraag 4

Ziet u aanleiding om voortaan minimale cyberveiligheideisen te stellen aan onderzoeksinstituten die financiering ontvangen vanuit nationale of Europese instellingen? Zo nee, waarom niet?

Nee. Cyberveiligheid is een verantwoordelijkheid van de onderzoeksinstituten zelf en dient binnen de eigen bedrijfsvoering geregeld te worden. Defensie-gerelateerd onderzoek vormt hierop een uitzondering. Via de Algemene Beveiligingseisen Defensieopdrachten (ABDO) bestaat er een minimale set van eisen voor kennisinstellingen die onderzoek doen voor het Ministerie van Defensie. Mijn ministerie is naar aanleiding van de incidenten bij de Universiteit Maastricht en Wetsus in gesprek gegaan met de TO2-federatie en andere onderzoeksinstituten om het veiligheidsbewustzijn te vergroten en de samenwerking op het gebied van cyberveiligheid te verbeteren. Daarnaast zijn de gesprekken bedoeld om verder te bezien hoe de rijksoverheid kan faciliteren dat onderzoeksinstellingen ook in de toekomst beschermd blijven tegen cyberaanvallen en cybercriminaliteit.
Vraag 5

Heeft de ransomeware-aanval gevolgen voor de gelden die ontvangen worden uit Europese programma’s, zoals Horizon 2020? Kennen deze programma’s minimale eisen van cyberveiligheid die gevraagd worden aan ontvangers?

Horizon 2020 kent geen specifieke eisen met betrekking tot cyberveiligheid. Wel kent het Kaderprogramma bepalingen rondom data-management (zoals de bescherming van persoonsgegevens) en ethiek. Subsidieontvangers zijn verplicht persoonlijke data te verwerken onder de geldende EU- en nationale databeschermingswetgeving. Een cyberaanval zelf heeft geen directe gevolgen voor de bijdragen verkregen uit Horizon 2020-projecten. In de projectrapportage zal de begunstigde moeten aangeven hoe is voldaan aan de geldende voorwaarden en bepalingen. Er wordt van begunstigden verwacht dat zij in de rapportage aan de Europese Commissie aangeven hoe zij met de gevolgen van een dergelijk incident zijn omgegaan, met name in de context van bescherming van persoonlijke data. Wanneer een beneficiant gebleken nalatigheid is te verwijten, heeft de Europese Commissie de mogelijkheid over te gaan tot vermindering van de subsidie en/of beëindiging van de Grant Agreement van de betrokken deelnemer.
Vraag 6

Wanneer en op welke manier bent u op de hoogte gesteld van de ransomeware-aanval van onderzoeksinstituut Wetsus?

Op woensdag 5 februari heeft de directie van Wetsus telefonisch contact gelegd met het Ministerie van Economische Zaken en Klimaat. Gedurende de cyberaanval is er regelmatig contact geweest.
Vraag 7

Op welke manier heeft u het onderzoeksinstituut Wetsus ondersteuning geboden bij het verhelpen van de ransomeware-aanval?

Mijn ministerie heeft de directie van Wetsus direct geïnformeerd over de instanties die kunnen adviseren in het geval van een cyberaanval. Wetsus heeft in dit gesprek aangegeven de verantwoordelijke instanties benaderd te hebben en met politie en cybersecurity experts reeds te werken aan een oplossing.
Vraag 8

Op welke manier heeft de ransomware-aanval van het onderzoeksinstituut Wetsus overeenkomsten met die van de Universiteit Maastricht eind vorig jaar?

In beide gevallen is het netwerk ontoegankelijk gemaakt door een onbekende hacker die het netwerk pas vrij gaf na betaling van losgeld.
Vraag 9

Hoeveel losgeld is er uiteindelijk aan de criminelen betaald? Hoe beoordeelt u de keuze dat dit heeft plaatsgevonden? Van welke geld wordt dit betaald? Komt dit geld direct uit de verstrekte subsidies?

Het kabinet is van mening dat er geen geld naar (cyber)criminelen toe moet vloeien. Het is echter een eigen afweging van Wetsus geweest om losgeld te betalen. In overleg met de politie heeft Wetsus verder geen details gegeven over de hoogte van het betaalde bedrag. Wetsus heeft het Ministerie van Economische Zaken en Klimaat geïnformeerd dat het losgeld is gefinancierd uit het eigen vermogen en niet uit ontvangen subsidies.
Vraag 10

Deelt u de mening dat het betalen van criminelen alleen maar hun businessmodel van ransomeware steunt en dat overheidsgeld niet gebruikt moet worden om criminelen te financieren? Zo ja, welke maatregelen gaat u nemen om herhaling te voorkomen? Hoe wordt hierbij rekening gehouden bij een eventuele aanvraag voor financiering van onderzoeksinstituut Wetsus voor het jaar 2021? Zo nee, welke maatregelen gaat u desondanks nemen om herhaling te voorkomen?

Het kabinet is van mening dat er geen losgeld aan (cyber)criminelen zou moeten vloeien. Het borgen van de cyberveiligheid is echter een verantwoordelijkheid van kennisinstellingen zelf. Desondanks zien we dat kennisinstellingen in toenemende mate worden geconfronteerd met geavanceerde cyberdreigingen. Na het incident bij de Universiteit Maastricht heeft het Ministerie van Onderwijs, Cultuur en Wetenschappen aangegeven te verwachten dat hoger onderwijsinstellingen zich bewust zijn van kwetsbaarheden en zo veel mogelijk kennis delen, periodiek hun eigen systemen door experts laten controleren en bij een effectieve aanpak van de digitale veiligheid rekenschap geven van de risico’s van hun aanpak, zoals de risico’s bij een vergaande decentralisatie van de ICT-systemen.
Hogeronderwijsinstellingen zijn momenteel concreet bezig met maatregelen om dit te realiseren. Naar aanleiding van de incidenten bij de Universiteit Maastricht en Wetsus is mijn ministerie in gesprek gegaan met de TO2-federatie en andere kennisinstellingen om te bezien hoe de samenwerking tussen kennisinstellingen kan worden verbeterd en of er een rol ligt voor het ministerie om te faciliteren dat kennisinstellingen in de toekomst beter beschermd zijn tegen cyberaanvallen en cybercriminaliteit.
Vraag 11

In hoeverre kan de hack van het onderzoeksinstituut Wetsus worden gelieerd aan de waarschuwing van de AIVD dat het veiligheidsbewustzijn en de weerbaarheid van Nederlandse kennisinstellingen onvoldoende zijn tegen risico’s van diefstal van onderzoeksbevindingen vanuit landen zoals China?

Nederlandse kennisinstellingen zijn zich er van bewust dat naast de voordelen van internationale samenwerking er ook risico’s bestaan op ongewilde kennisoverdracht en de negatieve gevolgen hiervan. Het veiligheidsbewustzijn en de weerbaarheid van Nederlandse universiteiten en hogescholen wordt gestimuleerd in het platform Integraal Veilig Hoger Onderwijs. Dit platform is met steun van het Ministerie van Onderwijs, Cultuur en Wetenschappen ingericht door de Vereniging van Nederlandse Universiteiten en de Vereniging Hogescholen. Hierin werken bestuurders en veiligheidsexperts van hoger onderwijsinstellingen samen aan het stimuleren van veiligheidsbewustzijn door het uitwisselen van kennis en kunde en het ontwikkelen van tools en handreikingen.
Op verzoek van de ministeries van Onderwijs, Cultuur en Wetenschappen en Buitenlandse Zaken ontwikkelde het The Hague Centre for Strategic Studies de «Checklist voor Samenwerking met Chinese Academische en Kennisinstellingen». Daarnaast is het Ministerie van Buitenlandse Zaken een traject gestart om te onderzoeken in hoeverre aanvullende maatregelen gewenst zijn om ongewenste kennis- en technologieoverdracht in brede zin via academisch onderwijs en onderzoek te voorkomen. In dit traject wordt onder andere onderzocht of en zo ja op welke manier een brede kennisregeling kan worden opgezet. Verder is mijn ministerie in gesprek gegaan met de TO2-federatie en andere kennisinstellingen om te kijken hoe het veiligheidsbewustzijn en de samenwerking tussen kennisinstellingen kan worden verbeterd en of er een rol ligt voor het ministerie om te faciliteren dat kennisinstellingen in de toekomst beter beschermd zijn tegen cyberaanvallen en cybercriminaliteit.
Vraag 12

Is er volgens u binnen kennisinstituten voldoende bewustzijn over het plaatsvinden van spionage door China? Zo nee, wat gaat u doen om dit bewustzijn te vergroten? Zo ja, welke maatregelen worden binnen deze instituten genomen?

De TO2- en NWO-instituten zijn zich er van bewust dat naast de voordelen van internationale samenwerking er ook risico’s bestaan op ongewilde kennisoverdracht en de negatieve gevolgen hiervan. Zowel de TO2-instituten als NWO (en KNAW) volgen daarom actief de ontwikkelingen en de informatie van de rijksoverheid ten aanzien van kennisveiligheid. NWO-I, de institutenorganisatie van NWO, neemt bijvoorbeeld deel aan het overleg van het Ministerie van Onderwijs, Cultuur en Wetenschappen met het kennisveld over de kennisveiligheid en mogelijke maatregelen. De door het Ministerie van Buitenlandse Zaken en het The Hague Centre for Strategic Studies ontwikkelde Checklist voor Samenwerking met Chinese Academische en Kennisinstellingen is hierbij zeer behulpzaam.
Vraag 13

Hoe helpt de Nederlandse regering kennisinstituten met het beschermen van hun kennis, patenten, octrooien etc.? Wordt hier voorlichting over gegeven aan kennisinstituten? Bestaan er, net zoals hij het MKB, subsidies voor cyberweerbaarheid voor onderzoeksinstituten? Zo nee, waarom niet?

Kennisinstituten kunnen gebruik maken van het juridisch instrumentarium om kennis te beschermen en doen dat in de praktijk ook. Daarbij kan gedacht worden aan de octrooiwetgeving en de wetgeving voor de bescherming van bedrijfsgeheimen. Bij gelegenheid van het van kracht worden van de Wet bescherming bedrijfsgeheimen (2018) heeft ook een voorlichtingscampagne over het belang van een adequate bescherming van bedrijfsvertrouwelijke informatie plaatsgevonden. Momenteel worden er geen subsidies voor cyberweerbaarheid verstrekt aan kennisinstellingen. Uit de gesprekken met de kennisinstellingen zal moeten blijken of deze meerwaarde zouden kunnen hebben.
Vraag 14

Op welke manier ontvangt het onderzoeksinstituut Wetsus financiering van de lokale, nationale en Europese overheid? Hoe hoog zijn deze bedragen? Klopt het ook dat onderzoeksinstituut Wetsus nog opzoek is naar financiering voor het jaar 2021? Wat gaat u (daarmee) doen?

In de periode 2016–2020 ontving Wetsus financiering vanuit het bedrijfsleven (3,5 miljoen per jaar), universiteiten (3 miljoen per jaar), NWO (0,5 miljoen per jaar) en subsidies vanuit de rijkoverheid en de regio (6,5 miljoen per jaar, waarvan 4,75 uit de Zuiderzeelijnmiddelen). Daarnaast wordt jaarlijks ongeveer 1,5 miljoen aan Europese middelen ingezet.
Het klopt dat Wetsus op zoek is naar financiering vanaf 2021, omdat de financiering vanuit de zogenaamde Zuiderzeelijnmiddelen in 2021 ophoudt. Voor het bedrijfsleven, de universiteiten, de regio en het Rijk is Wetsus een belangrijk kennisinstituut dat toonaangevend onderzoek verricht op het gebied van watertechnologie en een belangrijke bijdrage kan leveren aan het missiegedreven innovatiebeleid, met name binnen het maatschappelijke thema Landbouw, Water Voedsel. In de in januari 2019 door NWO uitgevoerde evaluatie van Wetsus wordt dit bevestigd. Vanwege het belang van Wetsus heb ik een groep van experts en stakeholders ingesteld. Over hun advies heb ik uw Kamer op 4 juni jl. geïnformeerd.2 Ik heb hierin aangekondigd dat met de bij dit advies betrokken stakeholders afspraken zijn gemaakt over een overbruggingsfinanciering voor de jaren 2021 en 2022. Voor de jaren na 2021 wordt door de expertgroep een aantal kansrijke routes geschetst die de komende tijd door Wetsus verder uitgewerkt zullen worden.
Vraag 15

Klopt het dat uit onderzoek, dat is uitgevoerd in opdracht van de Nederlandse Organisatie voor Wetenschappelijk Onderzoek (NWO), is gebleken dat het financieringsmodel van onderzoeksinstituut Wetsus niet duurzaam is en dat een onafhankelijke commissie heeft geadviseerd om het financieringsmodel minder afhankelijk te maken overheidsfinanciën? Welke oplossing ziet u daarvoor, aangezien Wetsus is een belangrijk kennisinstituut is?

Zie antwoord op vraag 14.
Vraag 16

Kunt u deze vragen afzonderlijk beantwoorden?

Ja. Enkel de beantwoording van vragen 14 en 15 is samengenomen.

7 februari 2020 - 9 maart 2020

31 dagen

De zorgwekkende situatie bij een belangrijke IT-dienstverlener van de Nederlandse overheid
	Martin Bosma (PVV)
	Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. https://www.computable.nl/artikel/nieuws/ict-branche/6874569/250449/c…

Vraag 1

Kent u het bericht «Sanderink (Centric): «Miljoenenwinst is -verlies»»?1

Ja.
Vraag 2

Vindt u dit een zeer zorgwekkend bericht, aangezien de (financiële) positie van een belangrijke IT-leverancier van de Nederlandse overheid nu ernstig in gevaar lijkt te zijn?

Ik zie, gelet op berichtgeving die volgde na uw vragen, de huidige situatie niet als zorgwekkend.
Nadat uw vragen gesteld werden, is het bericht «Sanderink (Centric): «Miljoenenwinst is -verlies»»?» (d.d. 6 februari 2020) door Centric in een verklaring hersteld. Het bedrijf stelt: «Onlangs is in de media ten onrechte het beeld ontstaan dat Centric verlies zou hebben geleden in 2018.» Dit bericht wordt door het door u geciteerde medium (Computable) onderschreven op 11 februari in het artikel «Centric: «Wél winst gemaakt in 2018»» en op 21 februari in het artikel «Centric herziet herziening jaarcijfers 2018».2
Eerder werden door de leden Omtzigt, Ronnes en Amhaouch (allen CDA) aan de Ministers van Financiën en van Economische Zaken en Klimaat ook vragen over deze kwestie gesteld (ingezonden 7 januari 2020). Deze vragen waren uitgebreider en zijn momenteel nog niet beantwoord. Ik ben in contact getreden met mijn collega’s. Deze vragen zullen op korte termijn worden beantwoord. (Aanhangsel Handelingen, vergaderjaar 2019–2020, nr. 1678)
Vraag 3

Heeft u een beeld van de impact voor de Nederlandse overheid (op centraal en decentraal niveau) bij een mogelijk faillissement van Centric?

De hoeveelheid opdrachten die Centric binnen de rijksoverheid uitvoert is beperkt. Centric is het meest actief in de gemeentelijke sector. De verantwoordelijkheid voor de impact van een mogelijk faillissement van een leverancier aan een gemeente ligt bij de specifieke gemeente die zaken doet met deze leverancier. Ik heb voor het beantwoorden van deze vragen contact gehad met de Vereniging Nederlandse Gemeenten (VNG). Vanuit de VNG zijn er op dit moment geen zorgen.
Vraag 4

Bent u, mede vanuit uw ketenverantwoordelijkheid, bereid om te inventariseren welke (nood)maatregelen aan de kant van de overheid getroffen dienen te worden indien Centric failliet gaat en wilt u de Kamer hierover informeren?

Gelet op het antwoord op vraag 2, acht ik het op dit moment niet opportuun om (nood)maatregelen te inventariseren.

31 januari 2020 - 6 maart 2020

35 dagen

Het bericht ‘Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?'
	Harry van der Molen (CDA), Chris van Dam (CDA), Joba van den Berg-Jansen (CDA)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. Techzine, 27 januari 2020, https://www.techzine.be/blogs/security/521…

Vraag 1

Heeft u kennisgenomen van het bericht op Techzine.be van 27 januari 2020 «Exclusief: Interview Citrix CISO, Fermín Sera, waar ging het mis?»?1

Ja.
Vraag 2

Klopt het dat er op 17 december 2019 een tijdelijke oplossing van het beveiligingslek beschikbaar werd gesteld door Citrix en dat met deze oplossing, mits goed doorgevoerd, gebruikers van Citrix beschermd waren geweest tegen het beveiligingslek?

Citrix heeft op 17 december 2019 de kwetsbaarheid bekend gemaakt en tussentijdse mitigerende maatregelen beschikbaar gesteld voor de kwetsbare Citrix-producten. Of bij goed doorvoeren gebruikers beschermd waren tegen de kwetsbaarheid, hangt af van meer factoren dan alleen het al dan niet juist doorvoeren van deze maatregelen. Na de bekendmaking van de kwetsbaarheid door Citrix, heeft het Nationaal Cyber Security Centrum (NCSC) op 18 december 2019 in een beveiligingsadvies geadviseerd om de door Citrix beschikbaar gestelde tussentijdse mitigerende maatregelen door te voeren. In januari 2020, heeft het NCSC op basis van de toen beschikbare informatie geconcludeerd dat niet alleen als de tussentijdse mitigerende maatregelen niet of niet goed waren doorgevoerd, maar ook als deze niet vóór 9 januari 2020 op de juiste wijze waren doorgevoerd, organisaties ervan moesten uitgaan dat hun systemen niet beschermd waren. Daarnaast heeft Citrix 16 januari 2020 aan het NCSC gemeld dat de tijdelijke beschikbaar gestelde oplossing bij één softwareversie mogelijk niet effectief is geweest. Dit was ten tijde van bekendmaking van de kwetsbaarheid door Citrix nog niet bekend. Het NCSC heeft steeds zijn adviezen afgestemd op de laatst beschikbare informatie. Voor een overzicht hiervan verwijs ik u naar de brieven aan uw Kamer over dit onderwerp van 20 en 23 januari 2020.2
Vraag 3

Indien het klopt wat de CISO van Citrix beschrijft ten aanzien van de tijdelijke oplossing, waarom is deze oplossing dan niet doorgevoerd bij de overheidsdiensten die gebruik maken van Citrix?

Het beveiligingsadvies van het NCSC van 18 december 2019 is op 24 december 2019 verhoogd naar het hoogste niveau (high/high: hoge kans op misbruik én hoge schade aan systemen bij misbruik). De overheid hanteert de Baseline Informatiebeveiliging Overheid (BIO) als basisnormenkader voor haar informatiebeveiliging. Ten aanzien van kwetsbaarheden met een hoge kans op misbruik en een hoge schade aan systemen bij misbruik (high/high) schrijft de BIO voor kwetsbaarheden binnen één week op te lossen en in de tussentijd mitigerende maatregelen te treffen op basis van een risicoafweging.
Er zijn bij het NCSC en CIO-Rijk geen aanwijzingen dat Rijksoverheidsdiensten de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist hebben doorgevoerd. Wel is bij het NCSC bekend dat er binnen de rijksoverheid nog organisaties waren die deze oplossing niet of niet tijdig hebben doorgevoerd. Informatie van semipublieke organisaties is niet beschikbaar.
Ten aanzien van medeoverheden (provincies, gemeenten en waterschappen) zijn er geen aanwijzingen bij het Ministerie van BZK dat de tussentijdse mitigerende maatregelen van Citrix van 17 december 2019 onjuist zijn doorgevoerd. Overheden zijn autonome bestuursorganen en zijn zelf verantwoordelijk voor hun informatieveiligheidsbeleid, inbegrepen de risicoafweging die zij maken en de maatregelen die zij treffen.
Deze casus wordt geëvalueerd in opdracht van de Minister van Justitie en Veiligheid. De daaruit geleerde lessen worden samen met de kabinetsreactie op het WRR-rapport «Voorbereiden op digitale ontwrichting» met uw Kamer gedeeld.
Vraag 4

Is er sprake geweest van overheidsdiensten of semipublieke organisaties die de tijdelijke patch die op 17 december 2019 werd gepubliceerd door Citrix onjuist hebben doorgevoerd? Doet u daar onderzoek naar?

Zie antwoord vraag 3.
Vraag 5

Kunt u lering trekken uit de wijze waarop andere landen om zijn gegaan met dit beveiligingslek? Kunt u verklaren waarom met name in Nederland dit beveiligingslek tot grote problemen heeft geleid?

Elk land maakt eigen afwegingen met betrekking tot kwetsbaarheden in informatie- en netwerksystemen. Internationaal heeft Nederland snel, maar niet als enige gehandeld als het gaat om advisering over hoe om te gaan met deze kwetsbaarheid. Door het NCSC is meerdere malen contact en afstemming geweest met collega-organisaties in het buitenland.
Vraag 6

Hoe beoordeelt u de ongeschreven regel in de industrie die zegt dat er binnen 90 dagen nadat een beveiligingslek wordt gemeld, deze niet publiekelijk wordt gemaakt, zodat een bedrijf het lek kan dichten? Acht u het wenselijk dat een dergelijke periode formeel wordt vastgelegd, al dan niet op Europees niveau?

Zodra een kwetsbaarheid publiek bekend wordt gemaakt, stellen veel leveranciers in beginsel zo snel mogelijk een sluitende oplossing beschikbaar, zodat de kans op misbruik kan worden beperkt. In de Leidraad Coordinated Vulnerability Disclosure3 van het NCSC zijn bouwstenen opgenomen die organisaties kunnen gebruiken voor het maken van een eigen beleid t.a.v. het verhelpen van kwetsbaarheden. In deze leidraad wordt een richtlijn meegegeven van 60 dagen voor het kunnen verhelpen van kwetsbaarheden in software voordat deze publiekelijk worden gemaakt, zodat de leverancier voldoende tijd heeft om bij bekendmaking ook een oplossing beschikbaar te hebben. In het geval van de Citrix kwetsbaarheid zijn er ten tijde van bekendmaking van de kwetsbaarheid alleen tussentijdse mitigerende maatregelen beschikbaar gesteld. Elke kwetsbaarheid is anders en elke leverancier kan eigen richtlijnen hanteren voor het tijdig verhelpen van een kwetsbaarheid. Per leverancier, maar ook rekening houdend met het type systemen, zal maatwerk nodig zijn. Ik hecht er wel waarde aan dat bedrijven omwille van veiligheid van ICT-systemen een duidelijk beleid hanteren voor het zo snel mogelijk verhelpen van kwetsbaarheden.

23 januari 2020 - 10 februari 2020

18 dagen

De eHerkenning en het artikel ‘MKB en VNO-NCW: gedupeerden nieuw aangiftesysteem compenseren’
	Thierry Aartsen (VVD), Helma Lodders (VVD), Jan Middendorp (VVD)
	Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA), Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA), Wopke Hoekstra (minister financiën) (CDA)

Bronnen

1. NOS, 20 juni 2020 (https://nos.nl/artikel/2319493-mkb-en-vno-ncw-gedu…
2. Belastingdienst, 31 oktober 2019

Vraag 1

Klopt het dat er intern bij de Belastingdienst weerstand is tegen de onduidelijkheid en de hoge kosten die eHerkenning met zich meebrengt?1 Waar is de interne weerstand tegen de implementatie van eHerkenning op gebaseerd?2 Wat is er met deze weerstand gedaan? Deelt u de mening dat er onvoldoende is geluisterd naar de mensen op de werkvloer die tegen de implementatie van eHerkenning zijn? Zo nee, waarom niet? Zo ja, waarom wel?

De zorgen over een betaald inlogmiddel zijn meegewogen en geadresseerd in de implementatie en tijdens de parlementaire behandeling van het wetsvoorstel Wet digitale overheid. De Belastingdienst is nadrukkelijk betrokken bij de Rijksbrede implementatie en mediacampagne rond eHerkenning en de implementatie bij het UWV. Bij leveranciers is aangedrongen op een passend prijsbeleid.
Vraag 2

Hoeveel vragen en klachten heeft de Belastingdienst ontvangen? Wat is hiermee gedaan?

De Belastingdienst heeft circa 60 klachten ontvangen van ondernemers. Ook zijn brieven ontvangen van FNV en het Interkerkelijk Contact in Overheidszaken (CIO). Met het CIO is zowel de Belastingdienst als het Ministerie van Binnenlandse Zaken in gesprek om spoedig tot een oplossing te komen. De Belastingdienst zal alle klachten zo snel mogelijk behandelen.
Vraag 3

Hoe duidt u de zorgelijke signalen uit het bedrijfsleven? Op welke manier is het bedrijfsleven betrokken bij de regelgeving rond eHerkenning? Wat waren hun reacties op de voorliggende voorstellen en wat is er met deze reacties gebeurd?

MKB-Nederland en VNO-NCW heeft het idee van eHerkenning, het gemak daarvan en de verhoogde betrouwbaarheid van de online identiteit altijd ondersteund. VNO-NCW en MKB-Nederland voert ook in nauwe afstemming met BZK/Logius campagne voor het gebruik van eHerkenning. Tegelijk maakt zij ook bezwaar tegen de verplichtstelling daarvan door de Belastingdienst.
Zie ook:
en
Bij de consultatie van het wetsvoorstel Generieke Digitale Infrastructuur3 heeft VNO-NCW aangegeven voorstander te zijn van de acceptatieplicht voor erkende middelen. Het redeneerde dat door de verplichting van bestuursorganen om erkende middelen te accepteren ondernemers gebruik kunnen maken van de voor hun meest relevante en optimale authenticatieservice. Het betoog daarbij was dat deze keuzevrijheid op zichzelf weer marktwerking in de markt van authenticatiemiddelen stimuleert, waardoor ook continue innovatie en prijs-optimalisatie plaatsvindt. Dit zou telkens een versnelling in de digitale dienstverlening teweeg kunnen brengen.
eHerkenning als inlogmiddel bestaat al sinds 2009. Overheidsbreed is er al ruime ervaring opgedaan met het gebruik door ondernemers. De Belastingdienst heeft voorafgaand aan de invoering van eHerkenning onderzoek gedaan. Deze onderzoeken zijn tegelijk met de beantwoording van deze vragen naar uw Kamer gestuurd. Ondernemers geven aan positief te staan tegenover het verhogen van de betrouwbaarheid van inlogmiddelen maar blijven kritisch over de kosten.
Vraag 4

Kunt u verklaren waarom het bedrijfsleven nog steeds kritisch is op eHerkenning en dan met name op het feit dat er geen rekening wordt gehouden met de negatieve impact ervan op ondernemers en het geen wettelijke grondslag lijkt te kennen?

Zoals ook geantwoord op de vragen die 23 december 2019 zijn gesteld door de leden Omtzigt en Lodders moeten overheidsinstanties, waaronder de Belastingdienst, in overeenstemming met de Algemene verordening gegevensbescherming (AVG) handelen. Informatiesystemen die persoonsgegevens verwerken, behoren aan bepaalde eisen te voldoen ten aanzien van toegangsbeveiliging. Op grond van artikel 5, eerste lid, letter f, van de AVG moeten passende technische beveiligingsmaatregelen worden genomen. De Belastingdienst stelt daarom dat organisaties voor het doen van de aangiftes loonheffingen en vennootschapsbelasting via het ondernemersportaal per 1 januari 2020 een inlogmiddel dienen te gebruiken dat ingevolge Verordening (EU) nr. 910/2014 (de zogeheten eIDAS-verordening) voldoet aan het beveiligingsniveau «substantieel» en bij de Europese Commissie is genotificeerd. Op dit moment is eHerkenning (niveau 3) het enige inlogmiddel dat hieraan voldoet. Eenmanszaken kunnen op het Mijn Belastingdienst zakelijk portaal met DigiD inloggen.
Het bedrijfsleven lijkt niet zozeer kritisch over eHerkenning in algemene zin- zie ook het standpunt van VNO-NCW en MKB NL – maar vooral over de kosten en de betrokkenheid van commerciële aanbieders. Onderzoek van de Belastingdienst wijst uit dat een deel van de kritische houding voortkomt uit onbekendheid met dit inlogmiddel. Daarnaast is in het kabinetsbeleid de overweging gemaakt dat de voordelen van een beveiligde communicatie met de overheid deze kosten rechtvaardigt.
Met name ondernemers die aangifte omzetbelasting doen zijn kritisch ten aanzien van de kosten van eHerkenning. Voor hen blijft het oude portaal van de Belastingdienst beschikbaar en kunnen zij inloggen met de bekende combinatie van gebruikersnaam en wachtwoord.
Vraag 5

Hoeveel ondernemers moeten de eHerkenning nog aanvragen?

Er is geen exact beeld te geven, omdat een deel van de doelgroep inmiddels al over een passend eHerkenningsmiddel beschikt (maar dit nog niet heeft gebruikt). Het is ook mogelijk dat een deel besloten heeft om de aangifte voortaan uit te besteden of gebruik te maken van een professioneel aangiftepakket. In deze gevallen hebben ondernemers geen eHerkenning nodig om aangifte te doen.
Wel bekend is dat:
Vraag 6

Klopt het dat ondernemers naast de aanschaf van eHerkenning ook nog op extra kosten worden gejaagd bijvoorbeeld door een identificatiecheck paspoort door een derde?

Nee, dat klopt niet. De Identificatiecheck zit in principe in de prijs inbegrepen. In uitzonderlijke gevallen kan extra fysieke identificatie ter plekke nodig zijn. Dan rekenen sommige leveranciers wel een meerprijs.
Vraag 7

Op welke manier kunnen ondernemers uitstel aanvragen bij de Belastingdienst voor het doen van aangifte via eHerkenning?

Zoals toegezegd in de brief over de invoering van eHerkenning d.d. 29 januari jl.4 informeer ik u hierbij nader over de verschillende mogelijkheden die ik heb om uitstel te verlenen en zo onterechte boetes te voorkomen.
De Belastingdienst verleent proactief uitstel voor ondernemers die aangifteplichtig zijn voor de loonheffingen, rechtspersoon zijn en hun laatst ingediende aangifte hebben gedaan via het oude ondernemersportaal van de Belastingdienst. Dit geldt voor ondernemers die overstappen naar Mijn Belastingdienst Zakelijk en daarvoor eHerkenning aanschaffen, maar ook voor ondernemers die voortaan een fiscaal dienstverlener of marktsoftware inzetten om aangifte te doen. Ondernemers die hun laatst ingediende aangifte hebben gedaan via een fiscaal dienstverlener of marktsoftware komen niet in aanmerking voor proactief uitstel. De groep, die in aanmerking komt voor proactief uitstel, ontvangt van de Belastingdienst binnenkort een brief waarin staat dat uitstel tot 1 juli wordt verleend voor de loonaangifte 2020 en de betaling daarvan. Deze groep hoeft daarvoor niet zelf een verzoek om uitstel te doen. De aangifteplichtige kan ook afzien van het proactief verleende uitstel.
Eenmanszaken kunnen inloggen met DigiD en krijgen geen uitstel. Voor overige werkgevers geldt dat zij een verzoek tot uitstel voor de aangifte loonheffing kunnen indienen voordat de uiterste inleverdatum van de aangifte verstreken is. Uitstel aanvragen kan door een schriftelijk verzoek te sturen (aan postbus 8738, 4820 BA Breda) onder vermelding van het loonheffingsnummer, de aanleiding van de aanvraag, de tijdvakken waarvoor uitstel wordt gevraagd en of uitstel wordt gevraagd voor het doen van de aangifte en/of de betaling.
Ondernemers kunnen voor 1 juni uitstel voor het doen van de aangifte vennootschapsbelasting aanvragen via het ondernemersportaal van de Belastingdienst of door op het openbare gedeelte van de website van de Belastingdienst het uitstelformulier te downloaden, in te vullen en per post te retourneren. Het reguliere uitstel wordt altijd verleend en is vijf maanden. Voor langer uitstel moet het verzoek worden onderbouwd.
Vraag 8

Waarom wordt er gestopt met het oude Belastingdienst-portaal en wat zijn de alternatieven?

Het portaal van de Belastingdienst is technisch zeer verouderd. Wijzigingen in de omzetbelasting als gevolg van nieuwe wetgeving kunnen hierop niet meer worden doorgevoerd. Wijzigingen voor de loonaangifte en Vennootschapsbelasting kunnen worden doorgevoerd op het nieuwe portaal.
Het oude portaal voor ondernemers blijft ook in 2020 nog beschikbaar voor de omzetbelasting. Vanaf januari 2020 is het echter niet meer mogelijk om nieuwe aangiftes Loonheffingen en Vennootschapsbelasting via het oude portaal te doen. Dit kan op het nieuwe Mijn Belastingdienst Zakelijk portaal.
Ondernemers die geen gebruik kunnen of willen maken van het nieuwe portaal kunnen gebruik maken van een fiscaal dienstverlener of professionele administratie- en aangiftesoftware aan te schaffen om aan hun aangifteverplichtingen te voldoen.
Vraag 9

Klopt het dat er een «Restgroep» van ongeveer 60.000 ondernemingen bestaat die niet de mogelijkheid heeft om eHerkenning aan te vragen? Deelt u de mening dat er klaarblijkelijk onvoldoende is nagedacht over de gevolgen van eHerkenning voor deze groep omdat de gangbare inlogprocessen niet geschikt zijn voor hen om de aangifte te kunnen doen? En deelt u de mening dat de overheid met de invoering van eHerkenning op deze manier juist meer problemen creëert? Zo nee, waarom niet? Zo ja, waarom wel?

Er zijn ongeveer 540 organisaties die geen eHerkenningsmiddel kunnen krijgen om de aangifte loonheffingen of vennootschapsbelasting te doen. Het aantal van 60.000 omvat de restgroep voor de aangifte omzetbelasting voor het geval dat eHerkenning vereist zou worden voor de aangifte omzetbelasting. Echter, voor het doen van aangifte omzetbelasting is de gangbare inlogmethode beschikbaar (gebruikersnaam en wachtwoord); eHerkenning is hiervoor nu niet vereist.
Ik ben van mening dat de aanloopproblemen van de implementatie zorgvuldig zijn afgewogen tegen het belang dat de toegang tot informatiesystemen, die persoonsgegevens verwerken, ingevolge de AVG passend zijn beveiligd zodat onbevoegden geen toegang krijgen tot gegevens van ondernemers.
Vraag 10

Wat gaat u doen om zorg te dragen dat (kleine) ondernemers kosteloos, zoals nu ook het geval is, hun belastingaangifte kunnen doen?

De meeste kleine ondernemers (eenmanszaken) kunnen gebruik maken van DigiD. Kleine ondernemers met rechtspersoonlijkheid kunnen gebruik maken van eHerkenning. Bij de behandeling van de Wet Digitale Overheid op 5 februari 2020 is toegezegd dat ik samen met de Minister van Binnenlandse Zaken en Koninkrijksrelaties binnen 4 weken met een nadere brief kom waarin wij ingaan op een mogelijke oplossing om tijdelijk tegemoet te komen aan de zorgen van kleine bedrijven over de (aanschaf)kosten van een herkennings-middel.

23 januari 2020 - 18 maart 2020

55 dagen

Het bericht ‘Sorry, alle IP-adressen zijn al vergeven’
	Kees Verhoeven (D66)
	Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA)

Bronnen

1. Het Financieele Dagblad, 30 december 2019, «Sorry, alle IP-adressen z…

Vraag 1

Bent u bekend met het artikel «Sorry, alle IP-adressen zijn al vergeven»?1

Ja.
Vraag 2

Bent u bekend met het probleem rondom het opraken van IPv4 IP-adressen? Welke kortetermijnoplossingen ziet u?

Ja, het opraken van IPv4-adressen is al geruime tijd een bekend onderwerp.
De Europese organisatie die IP-adressen beschikbaar stelt, RIPE NCC, heeft in november 2019 bekend gemaakt dat alle voor Europa gereserveerde IPv4-adressen gebruikt zijn en dat er voor organisaties in Europa alleen nog de mogelijkheid is om op de wachtlijst te komen als adressen weer vrijkomen.
Er zijn geen goede korte termijn oplossingen. Er is echter een markt ontstaan waar niet gebruikte adressen verhandeld worden voor vaak hoge bedragen.
Daarnaast is een technische workaround bedacht (zoals een hulpmiddel bekend als Network Address Translation) dat het mogelijk maakt een IPv4-adres te gebruiken voor meerdere toepassingen, gebruikers of componenten in plaats van de oorspronkelijk bedoelde enkele toepassing, gebruiker of component. Een dergelijke workaround heeft mogelijk enig voordeel zolang IPv6-adressen nog niet veel gebruikt worden, maar beperkt bij verdere digitalisering (Internet of Things, AI) de mogelijkheden op gebied van veiligheid en dienstverlening die IPv6-adressen wel bieden.
Vraag 3

Klopt het dat (semi-)overheidsinstellingen grote hoeveelheden ongebruikte IPv4-adressen bezitten? Ziet u het vrijgeven van dergelijke IPv4-adressen als mogelijke oplossing om de nood op de korte termijn te verlichten?

De overheid heeft in het verleden IPv4-adressen aangevraagd en toegewezen gekregen. In theorie zou de overheid IPv4-adressen die niet meer nodig zijn kunnen verkopen aan andere partijen. Dit is echter onwenselijk en gebeurt dus ook niet, omdat dit zou bijdragen aan het in gebruik blijven van IPv4-adressen en de overgang naar IPv6-adressen belemmert. Deze overgang is dringend gewenst vanwege de verwachte toename van op internet aangesloten apparatuur en programmatuur. Al deze apparatuur en programmatuur moet van een internetadres kunnen worden voorzien.
Vraag 4

Deelt u de mening dat de echte oplossing zit in de overgang naar IPv6? Waar zit nu de belemmering in de overgang naar IPv6? Welke stappen neemt u, in overleg met de sector, om de overgang naar IPv6 te bevorderen? Bent u bereid om hiervoor een deadline af te dwingen?

Ja, de echte oplossing zit in de overgang door alle partijen en gebruikers naar IPv6.
De overgang naar IPv6 vergt investeringen door enerzijds alle leveranciers die de technische componenten ontwikkelen (zoals emailsoftware, netwerkapparatuur voor routering of interconnectie, enz.) en anderzijds de internetgebruikers -zowel organisaties, bedrijven als particulieren- die componenten moeten aanschaffen en installeren. Een bijkomend aspect hierbij is dat een zeer groot deel van de leveranciers buiten Nederland of zelfs de EU gevestigd zijn.
Met andere woorden, aan de overgang naar IPv6 zijn kosten verbonden, terwijl de voordelen, die op het gebied van veiligheid en dienstverlening liggen, pas duidelijk worden naarmate meer partijen overgaan op IPv6. Het dilemma hierbij is wie als eerste start met aanpassen en dus moet investeren. Een toepassing die alle partijen noodzaakt over te gaan op IPv6 adressering, is er niet of nog niet. Dit draagt ook bij aan de situatie dat IPv4 en IPv6-adresseringen lange tijd naast elkaar zullen blijven bestaan.
Gezien het zeer grote aantal private en publieke partijen dat een investering moet doen en deze investering moet inpassen in hun eigen investeringsplannen, laat de overheid het initiatief voor overgang naar IPv6 primair aan deze partijen. Wel stimuleert de overheid al geruime tijd de overgang naar IPv6 door voorlichting via het Platform Internetstandaarden waaraan marktpartijen, bedrijven en overheden deelnemen. Het Platform biedt onder andere kennis aan partijen ter ondersteuning bij de overgang naar IPv6 en daarnaast heeft het Platform de website Internet.nl ontwikkeld waar iedereen de door hem of haar gebruikte website of email voorziening kan laten testen op daadwerkelijk gebruik van onder meer IPv6. De overheid zelf hanteert bij inkopen de «pas toe of leg uit» lijst van standaarden en let er bij aanschaf van telecom en ICT-componenten op dat deze componenten IPv6 gebruiken.
Daarnaast zal op korte termijn een overheidsbrede afspraak gemaakt worden met het Forum Standaardisatie over de inspanningsverplichting om eind 2021 alle overheidswebsites en emailvoorzieningen bereikbaar te maken via IPv6 adressering. De overheid heeft hierin dus een stimulerende rol, geen afdwingende.

21 januari 2020 - 2 maart 2020

41 dagen

Het bericht dat de Consumentenbond de noodklok luidt om illegale datahandel
	Kathalijne Buitenweg (GL)
	Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD)

Bronnen

1. Consumentenbond, 14 januari 2020, https://www.consumentenbond.nl/nieu…
2. Kamerstuk 32 761, nr. 135, https://zoek.officielebekendmakingen.nl/ks…

Vraag 1

Heeft u kennisgenomen van het bericht «Consumentenbond luidt noodklok om illegale datahandel» van 14 januari 2020?1

Ja
Vraag 2

Wat is uw appreciatie van het rapport «Out of Control» van de Noorse consumentenbond? Deelt u de strekking van het rapport dat illegale datahandel staande praktijk is in Europa?

Het rapport schetst een uitgebreid beeld van de handel in data en kaart terecht aan dat het voor burgers vaak zeer lastig is om controle te houden over wat er met hun persoonsgegevens gebeurt, zeker wanneer wet- en regelgeving niet worden nageleefd door de partijen die de gegevens verwerken. Het rapport focust met name op een aantal specifiek onderzochte apps, maar benoemt in brede zin ook dat de handel in data in Europa en daarbuiten wijdverspreid is. Het rapport zet vervolgens vraagtekens bij de kwestie in hoeverre deze grootschalige handel legaal kan zijn.
Ik zie net als de opstellers van het rapport dat er enorme hoeveelheden data worden verhandeld, maar vind het tevens belangrijk dat er per zaak wordt bepaald of de data in kwestie rechtmatig wordt verwerkt. Ik juich het dan ook toe dat dat de Autoriteit Persoonsgegevens (AP) in haar document «Focus AP 2020–2023» datahandel als één van de drie focusgebieden voor de komende jaren aanmerkt.2
Vraag 3

Deelt u de mening dat de groeiende handel in persoonsgegevens een risico vormt door individuen kwetsbaar te maken voor manipulatie en discriminatie?

Het illegaal verhandelen en verkopen van persoonsgegevens vind ik een zeer kwalijke zaak. Deze handel draait om het creëren van gedetailleerde profielen van individuen door hun gedrag te monitoren. Wanneer er gedetailleerde profielen worden samengesteld die terug te voeren zijn op specifieke individuen kan er een vergroot risico op discriminatie en manipulatie ontstaan. Dit manifesteert zich met name wanneer de transparantie en informatieverplichtingen uit de relevante wetgeving worden geschonden, omdat betrokkenen zich in dat geval niet bewust zijn van het feit dat zij worden geprofileerd. Het is om die reden van groot belang dat de AP, zoals hiervoor aangegeven, datahandel als een focusgebied heeft aangemerkt.
Wanneer betrokkenen wél bekend zijn met de verwerking van hun gegevens hebben zij de mogelijkheid op te treden tegen mogelijke discriminatie of manipulatie door bijvoorbeeld een klacht in te dienen bij de toezichthouder.
Vraag 4

Klopt het dat het doorverkopen of doorgeven van persoonsgegevens aan derden, zonder toestemming van de consument, een schending van de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG) betreft?

Het is in dit kader van belang om onderscheid te maken tussen enerzijds het doorgeven van gegevens en anderzijds het doorverkopen van gegevens.
Bij het doorgeven van persoonsgegevens is het afhankelijk van de specifieke situatie of het doorgeven van gegevens rechtmatig is. Het doorgeven van gegevens is een «verwerking» in de zin van de AVG en mag in ieder geval nooit zonder grondslag. De AVG biedt zes grondslagen waarop een verwerking van persoonsgegevens rechtmatig kan zijn. Het is afhankelijk van de specifieke situatie welke grondslag van toepassing is en of de verwerkingsverantwoordelijke voldoet aan alle eisen om de verwerking rechtmatig te laten zijn.
Voor de doorverkoop van persoonsgegevens ligt dit anders. Recent heeft de AP haar normuitleg over de rechtsgrond «gerechtvaardigd belang» gepubliceerd.3 Hierin overweegt de AP onder meer dat bijvoorbeeld het enkel dienen van zuiver commerciële belangen of winstmaximalisatie geen «gerechtvaardigd belangen» van de verwerkingsverantwoordelijke kunnen zijn in de zin van artikel 6 AVG. Dit brengt met zich mee dat de doorverkoop van persoonsgegevens in beginsel alleen rechtmatig kan zijn wanneer de betrokkene hier toestemming voor heeft gegeven.
Vraag 5

Bieden de AVG en UAVG voldoende handvatten om ongewenste datahandel te bestrijden? Zo ja, hoe is het mogelijk dat illegale datahandel nog altijd staande praktijk is volgens het rapport van de Noorse consumentenbond? Zo nee, op welke punten zou additionele wetgeving wenselijk kunnen zijn?

De AVG en de UAVG bieden voldoende handvatten om onrechtmatige handel in persoonsgegevens te bestrijden. De opstellers van het rapport betogen dat de onderzochte activiteiten veelal niet in overeenstemming zijn met de bestaande normen. Dit duidt er tevens op dat er voldoende normen zijn die de handel in persoonsgegevens reguleren, en dus om ongewenste handel in persoonsgegevens te bestrijden. Verder wil ik u er graag op wijzen dat de handel in gegevens in sommige gevallen ook wordt geraakt door de normen uit de Telecommunicatiewet. Het is dan ook goed om te vernemen dat de AP samenwerkt met haar collega toezichthouders om de onrechtmatige handel in data tegen te gaan.4
Vraag 6

Klopt het dat de privacyverklaringen van sommige van de onderzochte apps stellen dat gegevens als leeftijd, sekse en gedragsinformatie niet onder de categorie persoonsgegevens vallen? Is dat een overtreding van de AVG en UAVG? Zo nee, waarom niet? Zo ja, wat gaat u doen om deze overtredingen aan te pakken?

Het begrip «persoonsgegeven» wordt in de jurisprudentie breed ingevuld. Het omvat alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Het is logischerwijs niet mogelijk om naar eigen inzicht van deze definitie af te wijken. Of dit al dan niet een overtreding van de AVG of UAVG betreft, is aan de bevoegde toezichthouder.
Vraag 7

In uw brief van 11 juni 2019 schreef u dat de aandacht van de Autoriteit Persoonsgegevens (AP) in 2019 nadrukkelijker uit zou gaan naar handhaving en sanctieoplegging; in hoeverre heeft die extra aandacht zich vertaald in concrete resultaten en opgelegde boetes of andere sancties voor het illegaal delen van data?2

De AP heeft mij desgevraagd laten weten dat er inmiddels verschillende onderzoeken lopen op dit terrein. Deze onderzoeken kunnen mogelijk leiden tot handhaving. Gelet op een effectieve uitoefening van de toezichtstaken van de AP kan ik u geen concretere informatie geven over de hoeveelheid onderzoeken of handhavingstrajecten. De AP heeft op dit moment nog geen boetes of andere sancties voor het illegaal delen van persoonsgegevens gepubliceerd. Verder wil ik u er nogmaals op wijzen dat datahandel centraal staat in de strategie van de AP voor de komende jaren (Focus 2020–2023).4
Vraag 8

Hoe vaak is de AP al een formeel handhavingstraject gestart naar aanleiding van het illegaal doorverkopen of doorgeven van persoonsgegevens aan derden, sinds de inwerkingtreding van de UAVG?

Zie de beantwoording vraag 7.
Vraag 9

Bent u van plan om gehoor te geven aan de oproep van de Consumentenbond om meer te doen om illegale datahandel tegen te gaan? Zo nee, waarom niet? Zo ja, op welke manier gaat u dat doen?

De oproep van de Consumentenbond om meer te doen tegen de illegale handel in data is zeer begrijpelijk. Ik juich het dan ook toe dat de AP zich hier de komende jaren specifiek op zal gaan richten.
In het rapport wordt verder aanbevolen om voldoende waarborgen op te nemen in de E-Privacy verordening, waarover in Brussel wordt onderhandeld. Zelf zal ik mij in samenwerking met de Staatssecretaris van Economische Zaken en Klimaat in blijven zetten voor een E-Privacy verordening die burgers voldoende bescherming biedt.
Verder steun ik de oproep die de Noorse consumentenbond doet aan de verschillende toezichthouders op de naleving van het gegevensbeschermingsrecht, maar ook op consumenten- en mededingingsrecht, om waar nodig gezamenlijk op te treden tegen illegale datahandel.

17 januari 2020 - 21 februari 2020

35 dagen

Het bericht ‘Hackpoging ziekenhuis Leeuwarden, NCSC vreest aanvallers in meer systemen’
	Hayke Veldman (VVD)
	Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD), Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. NOS.nl, 15 januari 2020, «Hackpoging ziekenhuis Leeuwarden, NCSC vree…
2. NOS.nl, 1 oktober 2019, «Grapperhaus wil harde aanpak bedrijven met s…

Vraag 1

Bent u bekend met het bericht «Hackpoging ziekenhuis Leeuwarden, NCSC vreest aanvallers in meer systemen»?1

Ja.
Vraag 2

Bent u van mening dat het ziekenhuis direct actie had moeten ondernemen toen het Nationaal Cyber Security Centrum (NCSC) van het Ministerie van Justitie en Veiligheid Citrix-gebruikers waarschuwde voor de kwetsbaarheid van deze servers voor aanvallen van hackers?

Zorgaanbieders zijn zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid. Zij worden hierin ondersteund door Z-CERT, het cybersecuritycentrum voor de zorg. Het NCSC en Z-CERT staan in nauw contact met elkaar om zo veel als mogelijk voor elkaar relevante informatie uit te wisselen. Z-CERT heeft vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. Het MCL heeft mij laten weten de tussentijdse mitigerende maatregelen van Citrix van medio december niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.
Vraag 3

Kunt u toelichten in hoeverre kwetsbaarheden in servers waar ziekenhuizen gebruik van maken meegenomen worden in de nieuwe wetgeving rondom gegevensuitwisseling in de zorg?

De nieuwe wet elektronische gegevensuitwisseling in de zorg waar ik aan werk, zal bepalingen bevatten die het mogelijk maken dat eisen kunnen worden gesteld aan, onder meer, informatieveiligheid en privacy. Ook worden er bepalingen in opgenomen die certificering van ICT-producten mogelijk maken. Kwetsbaarheden in producten zullen overigens aan het licht blijven komen. Daarom is het van belang dat zorgaanbieders blijvend aandacht besteden aan informatiebeveiliging.
Vraag 4

In hoeverre kunt u toelichten of er meer ziekenhuizen in Nederland gebruikmaken van servers van Citrix of andere servers waar kwetsbaarheden zijn ontstaan? Zo ja, hoeveel zijn dit er dan?

Ik heb hier geen inzicht in. Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ICT en welke systemen en/of servers zij gebruiken.
Vraag 5

Kunt u toelichten in hoeverre het dataverkeer tussen overige ziekenhuizen ook stilgelegd is na ontdekking van de hackpoging?

Het is mij niet bekend in hoeverre het dataverkeer tussen overige ziekenhuizen is stilgelegd na ontdekking van de hackpoging bij het Medisch Centrum Leeuwarden (MCL).
Vraag 6

Hoe ziet u de uitspraak van oktober 2019 over het harder aanpakken van bedrijven die hun ICT niet op orde hebben in het licht van de situatie bij het Medisch Centrum Leeuwarden?2

Ik deel met mijn ambtsgenoot Minister Grapperhaus dat informatieveiligheid een prioriteit dient te zijn, zo ook op alle bestuurslagen van de zorgsector. Zoals reeds gemeld zijn zorginstellingen zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Zorginstellingen als het MCL worden hierin ondersteund door Z-CERT. Zorginstellingen moeten zich meer in het algemeen onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN-norm 7510). De Inspectie Gezondheidszorg en Jeugd (IGJ) ziet hierop toe. Verder werk ik momenteel aan een herbeoordeling om te bezien of bepaalde organisaties binnen de zorgsector als vitale aanbieders zouden moeten worden aangewezen.

16 januari 2020 - 10 februari 2020

25 dagen

Het bericht ‘Stilleggen van het dataverkeer door het Medisch Centrum Leeuwarden naar aanleiding van een hackpoging’.
	Maarten Hijink (SP)
	Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD)

Bronnen

1. NOS.nl, 15 januari 2020, «Hackpoging ziekenhuis Leeuwarden, NCSC vree…

Vraag 1

Wat is uw reactie op het bericht dat hackers erin zijn geslaagd binnen te dringen in de systemen van het Medisch Centrum Leeuwarden (MCL)? Welke schade is hierdoor aangericht? Zijn er patiëntgegevens of andere belangrijke data in handen van onbevoegden gekomen?1

Zorgaanbieders zijn zelf verantwoordelijk voor hun eigen ICT en de informatieveiligheid. Daarbij moeten zij zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN 7510). De IGJ ziet hierop toe. Ik vind het van het grootste belang dat de gegevens van patiënten en zorginstellingen veilig zijn en daarom hecht ik eraan dat de zorginstellingen bij het treffen van maatregelen worden ondersteund door Z-CERT, het cybersecuritycentrum voor de zorg.
Het MCL meldt op haar website dat uit het onderzoek naar de poging tot inbraak op de systemen van het MCL is gebleken dat de aanval niet is doorgedrongen tot de interne systemen of patiëntgegevens. Het MCL heeft mij laten weten dat de patiëntveiligheid geen enkel moment in gevaar is geweest
Vraag 2

Zijn er berichten van andere organisaties in de zorg die hierdoor zijn getroffen? Welke schade hebben zij ondervonden?

Het College Beoordeling Geneesmiddelen heeft laten weten gecompromitteerd te zijn. Hiervan is een melding gemaakt bij NCSC. Forensisch onderzoek loopt nog, maar het huidige beeld is dat er geen indicatoren zijn dat er data is gelekt.
Vraag 3

Waarom heeft het ziekenhuis niet tijdig ingegrepen nadat Citrix al in december waarschuwde voor de mogelijke risico’s?

Zoals reeds gemeld zijn zorginstellingen zijn zelf primair verantwoordelijk voor hun eigen ICT en de informatieveiligheid onder alle omstandigheden. Daarbij moeten zij zich onder meer houden aan de Nederlandse normen voor informatieveiligheid in de zorg (NEN 7510). De IGJ ziet hierop toe. Hierbij hoort ook het direct nemen van maatregelen om de risico’s te verkleinen. Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen.
Vraag 4

Hoe kan het dat zelfs nadat het Nationaal Cyber Security Centrum (NCSC) op 9 januari jl. waarschuwde dat hackers actief op zoek zijn naar kwetsbaarheden, er niet is gehandeld door het ziekenhuis?

Zie antwoord vraag 3.
Vraag 5

Wat was de rol van Z-Cert, expertisecentrum op het gebied van cybersecurity in de zorg, in deze? Waarom is op de website van Z-Cert sinds december geen bericht te lezen over de risico’s voor organisaties die werken met Citrix?

Z-CERT heeft vanaf het bekend worden van de kwetsbaarheid in december 2019 haar deelnemers actief geïnformeerd en voorzien van handelingsadvies. Z-CERT gebruikt een speciaal platform om met de deelnemers te communiceren. Ook wordt per e-mail gecommuniceerd. Gezien de omvang van de Citrix-kwetsbaarheid, is in dit geval gekozen om ook een advies op de website te plaatsen.
Vraag 6

Kunt u aangeven welke contacten er zijn geweest tussen het NCSC en Z-Cert om zorgaanbieders te informeren en aan te sporen actie te ondernemen?

NCSC en Z-CERT staan in nauw contact met elkaar om informatie uit te wisselen over onder andere kwetsbaarheden in IT-systemen van hun onderscheidenlijke doelgroepen.
Vraag 7

Klopt de analyse van experts dat de samenwerking rondom databescherming tekortschiet?

Deze vraag kan ik niet beantwoorden omdat ik deze analyse niet ken.
Vraag 8

Welke maatregelen gaat u nemen om ervoor te zorgen dat zorginstellingen eerder, actiever en indringender worden bijgestaan bij het nemen van maatregelen om hun data te beschermen tegen hackers?

Zoals reeds gemeld zijn zorgaanbieders zelf verantwoordelijk voor hun eigen ICT en de informatieveiligheid. De IGJ ziet hierop toe. In reactie op de motie van het Kamerlid Ellemeet2 verken ik of deelname aan Z-CERT verplicht kan worden gesteld. Voor de zomer van 2020 zal ik de resultaten hiervan met uw Kamer delen.
Het kabinet werkt aan een landelijk dekkend stelsel van cybersecurity samenwerkingsverbanden waarbinnen informatie over dreigingen, incidenten en kwetsbaarheden breder, efficiënter en effectiever tussen publieke en private partijen wordt gedeeld. In dit verband is Z-CERT eerder deze maand door de Minister van JenV3 aangewezen als computercrisisteam, waaraan op grond van de Wet beveiliging netwerk- en informatiesystemen bepaalde informatie (bv. namen van bedrijven in relatie tot dreigingen) kan worden verstrekt. Dit maakt het mogelijk voor het NCSC om zoveel mogelijk informatie en handelingsperspectieven te delen met Z-CERT.

16 januari 2020 - 10 februari 2020

25 dagen

Het bericht ‘MCL legt dataverkeer stil na cyberaanval’
	Joba van den Berg-Jansen (CDA)
	Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD)

Bronnen

1. Omrop Fryslân, 15 januari 2020, «MCL legt dataverkeer stil na cyberaa…
2. Het Financieele Dagblad, 14 januari 2020, «Honderden Nederlandse bedr…

Vraag 1

Kent u het bericht «MCL legt dataverkeer stil na cyberaanval»?1

Ja.
Vraag 2

Welke invloed heeft het feit dat het Medisch Centrum Leeuwarden (MCL) uit voorzorg al het dataverkeer met de buitenwereld (zoals communicatie met andere ziekenhuizen) heeft stilgelegd voor patiënten die met spoed geholpen moeten worden?

Op 15 januari heeft het MCL gemeld dat er een poging tot digitale inbraak in de systemen is geweest. Daarbij werd gemeld dat uit voorzorg alle dataverkeer met de buitenwereld werd afgesloten. Door deze maatregel konden patiënten niet bij hun elektronische dossier en ook is de elektronische communicatie met andere ziekenhuizen gehinderd. Het MCL heeft laten weten dat de patiëntveiligheid geen enkel moment in gevaar is geweest.
Het MCL heeft op 21 januari via hun website laten weten dat alle systemen weer werken en dat uit onderzoek naar de poging tot inbraak is gebleken dat de aanval niet is doorgedrongen tot de interne systemen van het MCL of patiëntgegevens.
Vraag 3

Welke andere ziekenhuizen werken ook met Citrix-servers?

Dit is mij niet bekend. Zorginstellingen zijn zelf verantwoordelijk voor hun eigen ICT en welke systemen en/of servers zij gebruiken.
Vraag 4

Zijn er bij andere ziekenhuizen ook pogingen gedaan om de Citrix-servers te hacken? Zo ja, hebben hackers kans gezien om in de systemen te komen?

Op dit moment heb ik geen aanwijzingen dat bij andere ziekenhuizen pogingen zijn gedaan.
Vraag 5

Heeft het MCL de «workaround» uitgevoerd, waarmee Citrix medio december 2019 bedrijven adviseerde zich te beschermen omdat er tot op heden nog geen updates zijn die tegen het lek in de Citrix-servers beschermen?2

Het MCL heeft mij laten weten de workaround van medio december 2019 niet tijdig te hebben uitgevoerd. Het MCL heeft mij daarbij gemeld daar onderzoek naar te doen om uit te zoeken wat precies de redenen waren om niet al in december in te grijpen.
Vraag 6

Kunt u een update geven voor alle ziekenhuizen? Hebben zij voldoende maatregelen getroffen?

Of alle ziekenhuizen workarounds hebben uitgevoerd naar aanleiding van de poging tot hackpoging bij het MCL is mij onbekend. Z-CERT heeft haar deelnemers gewaarschuwd voor de kwetsbaarheid in Citrix en heeft handelingsadvies gegeven en aangeraden om alle stappen te doorlopen uit het beveiligingsadvies van het NCSC.
Citrix heeft inmiddels patches beschikbaar gesteld om de kwetsbaarheid te herstellen. Op basis van zijn informatie adviseert het NCSC op hun website om deze patches te vertrouwen en te installeren, tenzij uit eigen risicoanalyse blijkt dat de systemen waarschijnlijk gecompromitteerd zijn. Het NCSC adviseert ook om na de installatie van de patches te blijven monitoren en detectie toe te passen op misbruik van de kwetsbaarheden.
Vraag 7

Wordt met de «workaround» van Citrix de kans op een cyberaanval en het hiermee hacken van gegevens voldoende beperkt? Zo nee, welke maatregelen dienen ziekenhuizen nog meer te nemen?

Zie antwoord vraag 6.
Vraag 8

Welke ziekenhuizen zijn nog niet aangesloten bij Z-Cert, het expertisecentrum op het gebied van cybersecurity in de zorg?

Alle ziekenhuizen (academisch, topklinisch en algemeen) zijn via de koepel van Nederlandse Vereniging van Ziekenhuizen (NVZ) en de koepel van Nederlandse Federatie van Universitair Medische Centra (NFU) aangesloten. Onderzocht wordt, conform de motie van het Kamerlid Ellemeet, of deelname aan Z-Cert verplicht kan worden. Na het zomerreces zal ik de voortgang van mijn onderzoek met uw kamer delen.
Vraag 9

Wat gaat u doen om te bevorderen dat zo spoedig mogelijk alle ziekenhuizen zijn aangesloten bij Z-Cert?

Zie antwoord vraag 8.

30 december 2019 - 14 februari 2020

46 dagen

Het bericht ‘Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie’
	Chantal Nijkerken-de Haan (VVD), Dennis Wiersma (VVD)
	Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66)

Bronnen

1. https://nos.nl/artikel/2316373-cyberaanval-universiteit-maastricht-du…
2. https://www.1limburg.nl/cyberaanval-universiteit-maastricht-kan-nog-w…
3. https://www.nieuwsblad.be/cnt/dmf20191028_04690427

Vraag 1

Bent u bekend met het bericht «Cyberaanval Universiteit Maastricht duurt mogelijk tot na de kerstvakantie»?1

Ja.
Vraag 2

Wat is er precies op kerstavond gebeurd tijdens de cyberaanval op Universiteit Maastricht?

Na de cyberaanval heeft de Universiteit Maastricht gespecialiseerd bureau Fox-IT in de arm genomen om onderzoek te doen naar wat er is gebeurd. Uit het rapport van Fox-IT2 blijkt dat de aanvaller halverwege oktober via phishing e-mails eerste toegang heeft gekregen tot het netwerk van de Universiteit Maastricht. Vervolgens heeft de aanvaller in een periode van ruim twee maanden zichzelf toegang verschaft tot de rest van het netwerk van de Universiteit Maastricht. Dit heeft er uiteindelijk toe geleid dat aan het begin van de avond van 23 december de zogenaamde ransomware is uitgerold in het systeem, waarmee op 267 servers alle bestanden zijn versleuteld. Onder de getroffen systemen bevonden zich zeer kritieke systemen voor de bedrijfsvoering en zijn enkele back-upservers getroffen. Vervolgens is door de hackers losgeld geëist om de versleuteling van de databestanden op te heffen.
Vraag 3

Wat zijn de gevolgen van de cyberaanval op Universiteit Maastricht voor haar studenten? Welke systemen zijn niet meer bereikbaar? Welke back-upsystemen heeft de Universiteit Maastricht? Zouden goede back-upsystemen niet onderdeel moeten zijn van de reguliere beveiligingsprocessen? Hoe groot is de kans dat de data überhaupt niet meer beschikbaar wordt?

In de kerstvakantie is een groot deel van de data niet beschikbaar geweest voor studenten en zijn systemen niet toegankelijk geweest. Op 6 januari is het onderwijs en onderzoek hervat. De centrale systemen zijn snel weer beschikbaar gesteld en ook de decentrale systemen waren in de loop van januari weer te gebruiken. Een beperkte segmentatie binnen het netwerk was één van de redenen dat dit incident kon ontstaan. De Universiteit Maastricht heeft aangekondigd de aanbevelingen van Fox-IT op dit vlak op te zullen volgen. De Universiteit Maastricht geeft bovendien aan dat er voor elk cruciaal systeem inmiddels beter afgeschermde back-ups zijn gemaakt. Er zijn vooralsnog geen aanwijzingen over verminderde beschikbaarheid van data.
Vraag 4

Welke stappen worden er gezet om de documenten van en voor studenten veilig te stellen? In hoeverre heeft de Universiteit Maastricht haar studenten hierover geïnformeerd?

In het door Fox-IT uitgevoerde onderzoek is uitdrukkelijk aandacht besteed aan eventuele data-extractie. Fox-IT concludeert: «Tijdens het onderzoek zijn sporen aangetroffen die aantonen dat de aanvaller data heeft verzameld aangaande de topologie van het netwerk, gebruikersnamen en wachtwoorden van meerdere accounts, en andere netwerkarchitectuur-informatie. Fox-IT heeft binnen de scope van het onderzoek geen sporen aangetroffen die wijzen op het verzamelen van andersoortige data. Additioneel forensisch onderzoek op kritieke systemen, ook wel aangeduid als kroonjuwelen, zou hier meer inzicht in kunnen bieden.» De Universiteit Maastricht heeft aangekondigd vervolgonderzoek te (laten) doen. De Universiteit Maastricht heeft studenten en andere betrokken nagenoeg dagelijks op de hoogte gesteld via de website en sociale media. Studenten hebben hier volgens de Universiteit Maastricht in algemene zin waardering voor geuit.
Vraag 5

In hoeverre kan Universiteit Maastricht garanderen dat wetenschappelijke data beschermd is? Hoe gaat u dit waarborgen?

Zie antwoord vraag 4.
Vraag 6

Hoe gaat Universiteit Maastricht er zo snel mogelijk voor zorgen dat de gijzeling van haar computersystemen wordt beëindigd? Heeft u aanwijzingen dat de universiteit hiervoor losgeld gaat betalen? Kunt u het betalen van losgeld uitsluiten?

Door de Universiteit Maastricht ben ik op de hoogte gesteld van het feit dat er losgeld is betaald aan de criminele organisatie, inclusief de hoogte van het bedrag. Voordat de Universiteit Maastricht hiertoe over is gegaan, heb ik de universiteit kenbaar gemaakt dat de regering van mening is dat er geen geld naar criminelen toe moet vloeien. Het is de eigen afweging van het college van bestuur van de Universiteit Maastricht geweest om het losgeld te betalen. De universiteit heeft mij te kennen gegeven dat de betaling van het losgeld, inclusief alle overige kosten die samenhangen met de ransomware-aanval, bekostigd zijn uit de verkoop van een deelneming van de holding Universiteit Maastricht.
Vraag 7

In hoeverre bent u het met het Expertisecentrum Cyberweerbaarheid Limburg eens, dat het moeilijk te verkopen is dat overheidsinstellingen criminelen gaan betalen om een einde te maken aan de cyberhack van Universiteit Maastricht? In hoeverre bent u betrokken bij het besluit om wel of niet losgeld te betalen aan deze criminelen? Deelt u de mening dat het betalen van deze criminelen ervoor zorgt dat hun verdienmodel in stand wordt gehouden?

Zie antwoord vraag 6.
Vraag 8

Kan Universiteit Maastricht er zeker van zijn dat het betalen van de criminelen er ook daadwerkelijk voor zorgt dat de cyberaanval stopt?2 Zo nee, hoe gaat u er dan voor zorgen dat dit niet gebeurt?

Na het betalen van het losgeld zijn alle versleutelde gegevens van de Universiteit Maastricht ontsleuteld. Daarvoor en daarna heeft de Universiteit Maastricht mitigerende maatregelen getroffen zodat de criminelen geen toegang meer hadden tot het netwerk.
Vraag 9

Op welke manier biedt het Ministerie van Onderwijs, Cultuur en Wetenschap (OCW) op dit moment hulp aan Universiteit Maastricht?

Kort na de cyberaanval heeft de UM contact opgenomen met het Ministerie van OCW en gedurende de aanval is er nauw contact onderhouden tussen de Universiteit Maastricht, het Ministerie van OCW, de Inspectie, de NCTV, het NCSC en SURF om een volledig beeld te verkrijgen en te adviseren.
Universiteiten en Hogescholen hebben met ondersteuning van OCW in 2018 een Platform Integrale Veiligheid Hoger Onderwijs (Platform IV-HO) opgericht om expertise te bundelen en grip te krijgen op incidenten en veiligheidsrisico’s in het hoger onderwijs waaronder in het cyberdomein. Daarnaast heeft onderwijs-ICT-organisatie SURF veel expertise op het gebied van digitale veiligheid. SURF en het Platform IV-HO staan met elkaar in nauw contact en bundelen zo hun kracht om universiteiten en hogescholen zo goed mogelijk bij te staan en voor te bereiden op dergelijke situaties. Ook in deze situatie hebben het Platform IV-HO en SURF hun expertise beschikbaar gesteld.
Vraag 10

Hoeveel andere universiteiten in Nederland hebben te maken met dergelijke cyberaanvallen of pogingen daartoe? Heeft u aanwijzingen dat naast Universiteit Maastricht ook andere Nederlandse universiteiten aan de beurt zijn?

Cyberaanvallen op grote instellingen in de private en publieke sector zijn aan de orde van de dag. Zo ook bij universiteiten. De universiteiten hebben mij aangegeven dat zij maatregelen hebben aangescherpt om aanvallen af te slaan of de gevolgen van aanvallen te beperken. Daarbij is het goed te realiseren dat 100% veiligheid niet bestaat, zo concludeert ook de Wetenschappelijke Raad voor Regeringsbeleid in het rapport «Voorbereiden op digitale ontwrichting».4 De WRR stelt daarin dat het volledig voorkomen van digitale incidenten een illusie is.
Vraag 11

Deelt u de mening dat informatieveiligheid een belangrijk onderdeel is van de organisatie van onderwijsinstellingen? In hoeverre wordt hierop toegezien binnen de reguliere inspectie?

Het instellingstoezicht door de Inspectie van het Onderwijs (hierna: Inspectie) vindt in het hoger onderwijs plaats naar aanleiding van incidenten of signalen van niet-naleving. De Wet op het hoger onderwijs en wetenschappelijk onderzoek geeft geen specifieke voorschriften voor informatieveiligheid. Van het bestuur mag worden verwacht dat zij zorgdraagt voor de goede voortgang van het onderwijs en daartoe verantwoorde beslissingen neemt over alle aspecten die dat mogelijk maken. Daaronder valt ook de verantwoordelijkheid voor informatieveiligheid. In dat kader heeft de Inspectie een onderzoek ingesteld.
Vraag 12

Zijn er al aanwijzingen waar de cyberaanval op Universiteit Maastricht vandaan komt en met welk doel deze cyberaanval is uitgevoerd? Is de aanval vergelijkbaar met de aanval op Universiteit Antwerpen van afgelopen oktober?

Fox-IT geeft aan dat de werkwijze van de aanvaller overeenkomt met een bij hen bekende criminele groepering, publiek bekend als «TA505», die – volgens hun informatie – al meer dan 150 slachtoffers heeft gemaakt in 2019. De werkwijze is vergelijkbaar met die van de aanval op de Universiteit Antwerpen.
Vraag 13

Welke stappen gaat u zetten om dergelijke cyberaanvallen in de toekomst te voorkomen?3

In de Kamerbrief «Cyberveiligheid in het onderwijs» heb ik aangekondigd dat in het mbo en hoger onderwijs aanvullende acties worden gepleegd om de cyberveiligheid te versterken. In de acties is aandacht voor de lessen die zijn getrokken uit de aanval op Universiteit Maastricht, de toetsing van digitale veiligheid in het onderwijs, de monitoring en scanfunctie en voor vergroten van awareness. Vanuit mijn rol als verantwoordelijke voor de continuïteit van het gehele stelsel, zal ik mij ervan vergewissen dat de continuïteit ook in dit geval geborgd is en mij met enige regelmaat laten informeren over de voortgang van de aangekondigde acties.

5 december 2019 - 18 december 2019

13 dagen

Het bericht ‘Dutch minister urges EU action to fight child pornography online’
	Kees Verhoeven (D66)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. Politico.eu, 4 december 2019, https://www.politico.eu/pro/ferdinand-f…

Vraag 1

Bent u bekend met het bericht «Dutch Minister urges EU action to fight child pornography online»?1

Ja.
Vraag 2

Wat is de reden dat u, in strijd met het kabinetsstandpunt en antwoorden op eerdere schriftelijke vragen, internationaal een pleidooi houdt voor het verzwakken van encryptie, wat evident niet binnen de kaders van het kabinetsstandpunt past?

Zoals ik heb gemeld in antwoorden op Kamervragen van het lid Verhoeven op 15 november jl. zijn mijn zorgen niet in strijd met het kabinetsstandpunt over encryptie uit 2016.2 Ik streef naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarbij acht ik het onder meer van belang te bezien of een internationale oplossing mogelijk is.
Het breder gebruik van encryptie, onder meer door het instellen als standaard bij communicatie tussen personen, maakt het opsporen van strafbare feiten lastiger en soms onmogelijk. Zoals gemeld in mijn brief van 22 november jl. over de aanpak van online seksueel kindermisbruik ben ik bezorgd over de toekomstige effectiviteit van opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme.3
De integrale aanpak van online seksueel kindermisbruik is een belangrijk speerpunt voor mij, dit misbruik is mensonterend en één van de meest verwoestende vormen van criminaliteit. Vanaf het begin van deze kabinetsperiode wil ik deze spiraal doorbreken, slachtoffers verdienen dat.
Vraag 3

Bent u bereid te stoppen met pleiten voor het verzwakken van encryptiesoftware?

Ik heb niet gepleit voor het verzwakken van encryptiesoftware. Zie verder het antwoord op vraag 4.
Vraag 4

Deelt u de mening dat u niet enerzijds «het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland» kunt onderschrijven en anderzijds kunt pleiten voor het afzwakken dan wel terugdraaien van encryptie van communicatie?

Het kabinetsstandpunt uit 2016 benoemt diverse betrokken belangen, waaronder het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Daarnaast wijst het kabinetsstandpunt op het belang van het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten. In de antwoorden op Kamervragen van het lid Verhoeven van 15 november jl. heb ik erop gewezen dat de mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener minder vaak beschikbaar is. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
De diverse betrokken belangen staan in bepaalde gevallen met elkaar op gespannen voet. Voor dergelijke gevallen is het nodig oplossingen te vinden die recht doen aan deze belangen en/of waarbij deze belangen zorgvuldig zijn gewogen. Daarvoor heb ik aandacht gevraagd. Zoals gemeld in het antwoord op vraag 2 streef ik naar oplossingen binnen de kaders van het kabinetsstandpunt uit 2016.
Vraag 5

Bent u bereid deze vragen nog deze week te beantwoorden?

Verzending binnen twee werkdagen bleek helaas niet haalbaar. De vragen zijn wel met spoed beantwoord.

2 december 2019 - 21 januari 2020

50 dagen

De berichten 'Datacenters in Nederland raken in wurggreep van Amerikanen' en 'Nederlandse bouwer van datacenters failliet'
	Joba van den Berg-Jansen (CDA)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Eric Wiebes (minister economische zaken en klimaat) (VVD)

Bronnen

1. Het Financieele Dagblad, 21 november 2019
2. Het Financieele Dagblad, 27 november 2019
3. Kamerstuk 30 821, nr. 97

Vraag 1

Bent u bekend met de berichten «Datacenters in Nederland raken in wurggreep van Amerikanen» en «Nederlandse bouwer van datacentres failliet»?1 2

Ja, ik ben met deze berichten bekend.
Vraag 2

Klopt het beeld dat Nederland de controle dreigt te verliezen over consumenten- en bedrijfsgegevens opgeslagen in datacenters op Nederlands grondgebied als gevolg van investeringen van Amerikaanse bedrijven in kritieke digitale infrastructuur in Nederland? Welke gevolgen kan dit hebben voor de veiligheid en autonomie van Nederland in het digitale domein?

Het is van belang om onderscheid te maken tussen datacenterdiensten, zoals het fysieke gebouw van het datacenter, de servers, en de (hosting)diensten, zoals opslag en enerzijds en de consumenten- en bedrijfsgegevens op deze servers anderzijds. In beginsel zijn datacenters alleen eigenaar en/of beheerder van het onroerend goed. De bedrijven die van het datacenter gebruik maken zijn eigenaar en/of beheerder van de servers/clouds. Enkele datacenters verlenen optioneel diensten als de verhuur van servers, of de verlening van andere diensten (zoals clouddiensten).
Datacenters zijn momenteel niet aangewezen als vitale infrastructuur. Wel is het kabinet voornemens nader onderzoek te doen naar de vraag of datacenters alsnog onderdeel moeten worden van de vitale infrastructuur. Datacenters vanaf een bepaalde omvang zijn al onder het Wetsvoorstel ongewenste zeggenschap telecommunicatie gebracht (Wozt), zodat toekomstige overnames van deze datacenters getoetst zullen worden (zie mijn antwoord op vraag3.
Wat betreft de consumenten- en bedrijfsgegevens opgeslagen in datacenters, merk ik het volgende op. Allereerst zijn de clouddiensten gereguleerd onder de Wet beveiliging netwerk- en informatiesystemen (Wbni), zodat zij maatregelen moeten treffen om de risico’s voor de beveiliging van hun netwerk- en informatiesystemen te beheersen. Daarnaast is de Algemene verordening gegevensbescherming van toepassing. In het artikel worden ook zorgen geuit over de gevolgen van de CLOUD-act. Voor een eerste appreciatie van deze gevolgen verwijs ik u naar twee eerdere brieven die het kabinet naar uw Kamer heeft verzonden.4
Vraag 3

Kunt u een overzicht geven van dergelijke datacenters in Nederland, hun locaties en eigenaars?

De rijksoverheid beschikt niet over een dergelijk overzicht. De brancheorganisatie Dutch Data Center Association heeft mij te kennen gegeven dat er ongeveer 200 datacenter locaties in Nederland zijn, met meer dan 50 verschillende Nederlandse en buitenlandse uitbaters en eigenaren.5
Vraag 4

Wie is de eigenaar van de datacenters waarvan het Binnenhof en de verschillende departementen gebruikmaken?

In het AO Digitale Overheid van 4 december 2019 is door de Minister van Binnenlandse Zaken en Koninkrijksrelaties toegezegd uw Kamer per brief te informeren over datacenters die door de rijksoverheid in gebruik zijn. Vraag 4 en 5 zullen in die brief worden beantwoord. Deze brief zal in het eerste kwartaal van 2020 aan uw Kamer worden verstuurd.
Vraag 5

Wat is de staat van de bekabeling van, naar en in deze datacenters? Wie is de eigenaar van deze kabels en bijgevolg (mede)verantwoordelijk voor o.a. onderhoud, vervanging, beheer en beveiliging? Zouden deze kabels in het kader van de nationale veiligheid niet voor tenminste 51 procent overheidseigendom moeten zijn? Worden deze kabels beschouwd en behandeld als een vitaal proces of een vitale dienst? Welke (veiligheids)wetgeving is hier van toepassing?

Zie antwoord vraag 4.
Vraag 6

Bent u van mening dat de Wet ongewenste zeggenschap telecommunicatie, de uitvoeringswet Europese Foreign Direct Investment Screening (FDI)-screeningsverordening en het stelsel van investeringstoetsing, die allen in voorbereiding zijn, gezamenlijk voldoende bescherming bieden tegen ongewenste overnames van kritieke digitale infrastructuur, zoals datacenters?

Ja. Het verkrijgen van overwegende zeggenschap in een aanbieder van datacenterdiensten valt onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Voorwaarde is wel dat de partij die het datacenter overneemt daardoor relevante invloed in de telecommunicatiesector verkrijgt. Daarvan is sprake als bij de overname een zekere drempelwaarde wordt overschreden. Het voornemen is om deze drempelwaarde bij datacenterdiensten vast te stellen op een stroomcapaciteit van meer dan 40 MW. Dat wil zeggen dat een investeerder in een datacenter onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie valt als hij door die investering overwegende zeggenschap verkrijgt in een of meer aanbieders van datacenterdiensten en deze diensten een stroomcapaciteit hebben van meer dan 40 MW. Hiermee valt bij de huidige marktverhoudingen naar schatting in ieder geval een overname van de grootste vier datacenteraanbieders onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Dit betekent dat een dergelijke overname moet worden gemeld bij de Minister van Economische Zaken en Klimaat en dat deze vervolgens zal worden getoetst. Mocht blijken dat de overname een gevaar op kan leveren voor openbare orde of nationale veiligheid dan kan de overname worden verboden.
Vraag 7

Is deze berichtgeving voor u aanleiding om het (concept)wetsvoorstel voor de invoering van een investeringstoets op nationale veiligheidsrisico’s versneld naar de Tweede Kamer te sturen en niet, zoals aangekondigd in de Kamerbrief van 11 november 2019, pas aan het eind van 2020 (met inwerkingtreding nog veel later)? Waarom wel of waarom niet?3

De planning voor het wetgevingstraject betreffende de investeringstoets op nationale veiligheidsrisico’s is aan uw Kamer gemeld door de ministers van Economische Zaken en Klimaat en van Justitie en Veiligheid op 11 november 2019. 7De ministers verwachten de conceptwet conform ambitieuze planning eind 2020 aan uw Kamer te kunnen aanbieden.
Zoals reeds in antwoord op vraag 6 is aangegeven, valt het verkrijgen van overwegende zeggenschap in een aanbieder van datacenterdiensten onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie. Dit Wetsvoorstel ligt nu voor in uw Kamer en de nota naar aanleiding van het verslag is onlangs naar uw Kamer verzonden.8
Zoals reeds in antwoord op vraag 2 is aangegeven, is het kabinet voornemens nader onderzoek te doen, naar de vraag of datacenters niet alsnog onderdeel moeten worden van de vitale infrastructuur.
Vraag 8

Hoe wordt toezicht gehouden, zolang deze investeringstoets er nog niet is? Bent u van plan in de tussentijd aanvullende maatregelen te nemen om onze kritieke digitale infrastructuur beter te beschermen? Waarom wel of waarom niet?

Zie antwoord vraag 7.
Vraag 9

Wat betekent het faillissement van de Nederlandse bouwer van datacenters voor de veiligheid van Nederland? Welke wetgeving geldt hier ten aanzien van de eisen aan eigenaarschap e.d., wanneer dit bedrijf een doorstart zou maken?

Ik voorzie op dit moment geen impact van het faillissement van een leverancier van ontwerpdiensten en de bouwbegeleiding van datacenters (ICTroom) voor de veiligheid van Nederland. Er zijn meerdere (Nederlandse) spelers actief op de markt in Nederland, en daarbuiten. Bovendien is hier sprake van een groeiende markt, en verwacht ik dat er meer spelers bij zullen komen. De normale faillissementswetgeving is in dit geval van toepassing. Het verkrijgen van overwegende zeggenschap in leveranciers van ontwerpdiensten en bouwbegeleiding van datacenters, dan wel bouwers van datacenters valt niet onder de werking van het Wetsvoorstel ongewenste zeggenschap telecommunicatie.

25 november 2019 - 28 januari 2020

64 dagen

Het bericht 'KPN loopt voor de troepen uit en bouwt ondanks politieke strijd alvast Huawei-zendmasten in de Randstad'
	Joba van den Berg-Jansen (CDA), Arne Weverling (VVD)
	Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA)

Bronnen

1. Volkskrant, 16 november 2019: «KPN loopt voor de troepen uit en bouwt…

Vraag 1

Bent u bekend met het bericht «KPN loopt voor de troepen uit en bouwt ondanks politieke strijd alvast Huawei-zendmasten in de Randstad»?1

Ja, hier heb ik kennis van genomen.
Vraag 2

Kunt u bevestigen dat KPN momenteel Huawei-antennes installeert voor zijn huidige 4G- en toekomstige 5G-netwerk? Indien ja, om hoeveel antennes gaat het en op welke locaties?

KPN heeft bevestigd dat zij dit najaar zijn begonnen met het moderniseren van het radionetwerk met apparatuur van Huawei.
Vraag 3

Zijn KPN en T-Mobile op dit moment de enige telecomaanbieders in Nederland die Huawei-apparatuur in hun telecomnetwerk hebben?

Meerdere telecomaanbieders in Nederland en in de Europese Unie maken thans gebruik van Huawei-apparatuur in hun netwerken.
Vraag 4

Is hier volgens u, indachtig de aangenomen motie-Weverling c.s. (Kamerstuk 24 095, nr. 471), sprake van een «onomkeerbare stap» in de uitrol van 5G? Indien niet, wanneer zou daar wel sprake van zijn?

In de motie Weverling c.s. wordt het kabinet verzocht telecomproviders te bewegen geen onomkeerbare stappen te nemen in de uitrol van 5G totdat de resultaten van de Taskforce bekend zijn. Op 1 juli 2019 zijn de resultaten van de Taskforce aan de Kamer gestuurd (Kamerstuk 30 821, nr. 92), waarna op 4 juli 2019 hierover een debat plaatsvond. De telecomaanbieders zijn vervolgens geïnformeerd over deze resultaten, waarbij is besproken dat zij hier rekening mee moeten houden bij de verdere inrichting van hun netwerk. KPN heeft aangegeven dit te doen.
Vraag 5

Behoren antennes naar uw mening tot de kritische onderdelen van een telecomnetwerk, met vertaald naar de EU risicoanalyse voor 5G (pag. 16/17) een «hoog» veiligheidsrisico?

De Taskforce Economische Veiligheid heeft in de nationale risicoanalyse op basis van de te beschermen belangen en de actuele dreiging kritieke onderdelen geïdentificeerd in de huidige telecomnetwerken. De lijst met kritieke onderdelen is vertrouwelijk. In samenwerking met de telecomaanbieders wordt een structureel proces ingericht. Deze structurele aanpak maakt het mogelijk om adaptief te kunnen reageren op veranderingen in de dreiging of ontwikkelingen in de telecomnetwerken. Op die manier kunnen ook de telecomnetwerken in de toekomst beschermd worden tegen de dreiging.
Zoals ook beantwoord onder vraag 4 zijn de telecomaanbieders, waaronder KPN, geïnformeerd over de maatregelen die het kabinet neemt. De telecomaanbieders blijven ook bij de nadere uitwerking hiervan nauw betrokken en het is daarbij aan deze partijen om bij hun investeringen hier rekening mee te houden.
De Nederlandse aanpak past binnen de Europees gecoördineerde aanpak zoals vormgegeven met de Commissie Aanbeveling Cyberbeveiliging van 5G-netwerken2 en de tijdens de Telecomraad van 3 december jl. aangenomen Raadsconclusies3.
Vraag 6

Wat vindt u van het moment dat KPN heeft gekozen om zijn antennes te vervangen, wetende dat de regering momenteel werkt aan een algemene maatregel van bestuur met daarin de juridische grondslag voor de noodzakelijke aanscherpingen van de eisen aan (de leveranciers van de diensten en producten in de kritische onderdelen van) telecomnetwerken?

Zie antwoord vraag 5.
Vraag 7

Past deze vervangingsoperatie in uw ogen binnen de «gecoördineerde aanpak» van de integriteit van 5G-netwerken waartoe de aangenomen motie-Van den Berg c.s. (Kamerstuk 21 501-33, nr. 747) oproept?

Zie antwoord vraag 5.

25 november 2019 - 28 januari 2020

64 dagen

De veiligheid van het 5G netwerk
	Kathalijne Buitenweg (GL), Laura Bromet (GL)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA), Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA)

Bronnen

1. Bloomberg, 19 november 2019, https://www.bloomberg.com/news/articles/…

Vraag 1

Bent u bekend met het bericht «EU poised to send warning to China on 5G» van Bloomberg?1

Ja.
Vraag 2

Bent u het eens met de stelling dat de beoordeling van de leveranciers van 5G infrastructuur ook moet kijken naar de nationale wetgeving in het land waar de leverancier vandaan komt, en dan met name of daar bepalingen in staan die de leverancier kunnen dwingen tot het delen van data met de lokale autoriteiten? Zo ja, kan de aanwezigheid van dergelijke bepalingen reden zijn om de leverancier niet goed te keuren? Zo nee, waarom niet?

In het Besluit veiligheid en integriteit telecommunicatie2, zoals dat op 5 december 2019 is gepubliceerd, wordt geregeld dat aanbieders van openbare elektronische communicatie netwerken of -diensten in Nederland de verplichting kan worden opgelegd om in de kritieke onderdelen van hun netwerken louter gebruik te maken van producten of diensten van anderen dan de daarbij genoemde, voor die kritieke onderdelen uitgesloten, leveranciers. Daarbij gelden krachtens dit besluit als criteria voor het uitsluiten van leveranciers, dat bekend is of gronden zijn te vermoeden dat de genoemde leveranciers de intentie hebben om Nederlandse telecomnetwerken te misbruiken of te laten uitvallen, dan wel dat zij nauwe banden hebben met of onder invloed staan van een partij met die intentie.
Zoals toegelicht bij het Besluit veiligheid en integriteit telecommunicatie zijn deze criteria in lijn met de overwegingen die het kabinet hanteert bij de beoordeling van risico’s ten aanzien van onder meer spionage door statelijke actoren, zoals die zijn vermeld in de brief aan de Tweede Kamer over C2000.3 Dat betekent dat bij de beoordeling van bovengenoemde leveranciers ook wordt gekeken naar de wetgeving van het land waaruit de leverancier afkomstig is, en meer in het bijzonder of deze wetgeving de leverancier verplicht om (bv. in de vorm van het moeten delen van data) samen te werken met de overheid van dat land.
Vraag 3

Bent u het eens met de risicobeoordeling van de Europese Unie (EU) dat ook delen van het netwerk buiten de kern, zoals het Radio Access Network (RAN), moeten worden bestempeld als «hoog risico» voor spionage en sabotage en worden de extra veiligheidseisen ook van toepassing op het RAN? Zo ja, hoe beoordeelt u het feit dat Nederlandse providers al investeren in Chinese technologie in dit deel van het netwerk, terwijl de extra veiligheidseisen nog niet zijn afgekondigd? Zo nee, waarom niet?

De Taskforce Economische Veiligheid heeft in de nationale risicoanalyse op basis van de te beschermen belangen en de actuele dreiging kritieke onderdelen geïdentificeerd in de huidige telecomnetwerken. De lijst met kritieke onderdelen is als vertrouwelijk geclassificeerd en kan ik daarom niet met u delen.
In samenwerking met de telecomaanbieders wordt een structureel proces ingericht. Deze structurele aanpak maakt het mogelijk om adaptief te kunnen reageren op veranderingen in de dreiging of ontwikkelingen in de telecomnetwerken. Op die manier kunnen ook de telecomnetwerken in de toekomst beschermd worden tegen de dreiging.
Nederland heeft actief bijgedragen aan de totstandkoming van de Europese risicoanalyse, die zich richt op het toekomstige 5G netwerk, en de bevindingen zijn in lijn met en complementair aan de bevindingen van de Nederlandse Taskforce Economische Veiligheid.
De telecomaanbieders zijn geïnformeerd over de maatregelen die het kabinet neemt. De telecomaanbieders blijven ook bij de nadere uitwerking hiervan nauw betrokken en het is daarbij aan deze partijen om bij hun investeringen hier rekening mee te houden.
Vraag 4

Zullen alle delen van 5G die beoordeeld worden als «hoog risico» ook expliciet zo worden benoemd? Of klopt het, zoals de Minister van Justitie en Veiligheid suggereerde tijdens het algemeen overleg over nationale veiligheid en crisisbeheersing van 14 november jl. dat dit niet bekend kan worden gemaakt vanwege redenen die samenhangen met nationale veiligheid?

Zie antwoord vraag 3.
Vraag 5

Bent u het eens met de stelling dat het 5G netwerk in de Europese Unie moet zijn gegrond op de basiswaarden van de EU, zoals mensenrechten, de rechtsstaat en het beschermen van privacy? Zo ja, worden deze principes meegenomen in de beoordeling van leveranciers? Zo nee, waarom niet?

Zoals bij alle telecommunicatienetwerken is het belangrijk dat ook bij 5G-netwerken de randvoorwaarden zijn geborgd. De Telecommunicatiewet, waarin de Europese richtlijnen op het gebied van telecommunicatie en e-privacy zijn geïmplementeerd, biedt deze borging op tal van onderwerpen, waaronder de privacy, vertrouwelijkheid, veiligheid en integriteit. Deze regels richten zich tot de openbare aanbieders van elektronische communicatienetwerken en -diensten. Zij zijn op grond van artikel 11a.1 van de Telecommunicatiewet verplicht passende technische en organisatorische maatregelen te nemen om de risico’s voor de integriteit en veiligheid van hun netwerken en -diensten te beheersen. Het Besluit veiligheid en integriteit telecommunicatie, dat hierop is gebaseerd, biedt de mogelijkheid om telecomaanbieders daarbij te verplichten in de kritieke onderdelen van hun netwerken uitsluitend gebruik te maken van producten en diensten van vertrouwde leveranciers. Zoals hierboven ook in het antwoord op vraag 2 vermeld, zal het criterium bij de beoordeling van leveranciers zijn of zij zelf de intentie hebben om Nederlandse telecomnetwerken te misbruiken of laten uitvallen, dan wel nauwe banden hebben met of onder invloed staan van een partij met die intentie. Bij misbruik valt te denken aan spionage: ongeoorloofde toegang tot communicatiegegevens, zowel verkeersgegevens als inhoud van communicatie. Daarnaast zijn de aanbieders uiteraard ook gehouden aan de privacyregels in de Telecommunicatiewet en de Algemene verordening gegevensbescherming. Verder zijn er ook algemenere kaders zoals het Europees Verdrag voor de Rechten van de Mens.»
Vraag 6

Kunt u zich vinden in de laatste aanbeveling van de EU risicobeoordeling dat de EU en haar lidstaten bij de uitrol van het 5G-netwerk ook rekening moeten houden met de ontwikkeling van de eigen industriële capaciteit op het gebied van 5G? Zo ja, hoe bent u van plan om deze aanbeveling op te volgen? Zo nee, waarom niet?

Het is belangrijk om het vraagstuk van industriële capaciteit voor 5G te bezien in een bredere context van innovatiebeleid, omdat dit vraagstuk ook op andere terreinen speelt. Om de transitie naar een duurzame en digitale economie te kunnen maken is een stevig innovatiebeleid nodig. Gezamenlijk optrekken binnen de EU zal ontwikkeling van sleuteltechnologieën en onderzoek en innovatie in het algemeen bevorderen. Ook het versterken van de Europese interne markt heeft onze blijvende prioriteit. Hierbij is het vooral belangrijk om uit te blijven gaan van onze eigen economische waarden. Open markten zorgen ervoor dat onze bedrijven concurrerend en innovatief zijn en leveren nieuwe producten en diensten op voor consumenten, tegen redelijke prijzen. Binnen de interne markt zijn strenge mededingingsregels en politiek onafhankelijk toezicht nodig voor het beschermen van de belangen van de consument en het faciliteren van eerlijke concurrentie. Over de aspecten waarop een eventuele stimulering van de eigen 5G industriële capaciteit plaatsvindt en de mate waarin dat dan gebeurt wordt nog in EU-verband besproken.

12 november 2019 - 8 januari 2020

57 dagen

Het bericht dat de IRMA-app wordt gebruikt in een huisartsenpost
	Evert Jan Slootweg (CDA)
	Hugo de Jonge (viceminister-president , minister volksgezondheid, welzijn en sport) (CDA), Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

1. ICT & health, 3 oktober 2019, «Medipark Uden gaat live met HiX» (http…
2. Volkskrant, 24 september 2017, «DigiD gaat geld vragen aan gebruikers…

Vraag 1

Heeft u kennisgenomen van het bericht «Medipark Uden gaat live met HiX»?1

Ja.
Vraag 2

Klopt het bericht dat patiënten van Medipark Uden via het geïntegreerde online Zorgportaal eenvoudig en veilig hun herhaalmedicatie kunnen aanvragen op basis van de actuele medicatie van de patiënt?

Het klopt dat patiënten van Medipark Uden via het online Zorgportaal hun herhaalmedicatie kunnen aanvragen.
Vraag 3

Klopt het dat de patiënten van Medipark Uden dit doen door in te loggen via I Reveal My Attributes (IRMA) op het online portaal?

Ja.
Vraag 4

Klopt het dat IRMA een applicatie is die patiënten in staat stelt om zelf online aan te geven welke gegevens zij wel en niet willen delen, een methode die de privacy beschermt door «privacy by design»?

Volgens de informatie van IRMA houdt het ontwerp van de IRMA app rekening met privacy met een focus op dataminimalisatie, een van de privacybeginselen zoals opgenomen in de Algemene Verordening Gegevensbescherming.
Vraag 5

Klopt het dat in de meest recente nationale en Europese wetgeving «privacy by design» wordt vereist voor nieuwe ICT-systemen?

Ja.
Vraag 6

Is het juist dat Medipark Uden te horen heeft gekregen dat gebruik van IRMA in strijd is met artikel 87 van de Algemene Verordening Gegevensbescherming (AVG), artikel 46 van de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) en de wet Elektronisch Berichtenverkeer (wet EBV)?

Nee, er is navraag gedaan bij Medipark Uden en zij heeft aangegeven niet hierover geïnformeerd te zijn.
Vraag 7

Klopt het dat op basis van de huidige wetgeving patiënten van Medipark Uden eigenlijk alleen via DigiD mogen inloggen?

Nee. In de zorgsector is het, evenals in andere sectoren, verplicht een inlogniveau van passend betrouwbaarheidsniveau aan te bieden, afhankelijk van de gegevens die worden ontsloten. Bij gegevens die onder het medisch beroepsgeheim vallen is dat niveau «hoog». Bij het gebruik van DigiD zijn nu de niveaus «substantieel» en «hoog» nog niet beschikbaar. De Autoriteit Persoonsgegevens heeft bij brief van 4 oktober 2018 (Kamerstuk 31 293, nr. 412) gereageerd op vragen hieromtrent van VWS. De AP heeft geantwoord dat authenticatie dient plaats te vinden met ten minste tweefactorauthenticatie, in afwachting van het breder beschikbaar komen van authenticatiemethoden met een passend hoog niveau. Hieraan voldoet onder andere DigiD in combinatie met sms. Andere mogelijkheden worden echter niet uitgesloten.
Zodra de Wet digitale overheid in werking treedt wordt het mogelijk om private inlogmiddelen toe te laten die een hoog betrouwbaarheidsniveau aanbieden.
Vraag 8

Klopt het dat wanneer Medipark Uden DigiD zou gebruiken voor elektronische identificatie, zij 14 eurocent zou moeten betalen voor elke succesvolle inlog?2

In 2017 heeft de ministerraad besloten dat vanaf 2018 alle kosten voor beheer en exploitatie van DigiD worden doorbelast aan dienstverleners die zijn aangesloten op DigiD. Deze kosten worden dus niet aan burgers doorbelast.
Voor 2019 is het bedrag door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties vastgesteld op € 0,117 per succesvolle inlog, excl. BTW. Dit bedrag wordt ieder jaar opnieuw vastgesteld voor het daaropvolgende jaar. De prijs is afhankelijk van de kosten voor de doorontwikkeling van DigiD en de onderliggende infrastructuur.
Overigens is het zo dat de Minister van Volksgezondheid, Welzijn en Sport de kosten voor het gebruik van DigiD in de zorg vergoedt. Medipark Uden hoeft daarom niet per succesvolle inlogpoging te betalen.
Vraag 9

Klopt het dat deze 14 eurocent per inlog gaan naar het bedrijf Logius, dat dan de beheerder is van de gegevens van de burger?

Ja. Logius brengt het werkelijke gebruik in rekening bij de dienstverlener die gebruikmaakt van DigiD (in dit geval het Ministerie van VWS).
Ik benadruk dat Logius geen bedrijf is, maar een baten-lastendienst die onderdeel is van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, en onder andere DigiD beheert. Logius verwerkt voor DigiD enkel gegevens van de burger die nodig zijn voor het gebruik van DigiD. Voor een volledig overzicht verwijs ik naar het Besluit verwerking persoonsgegevens digitale infrastructuur en de privacyverklaring van DigiD (zie https://www.digid.nl/wat-is-digid/privacy).
Vraag 10

Klopt het dat de AVG, de UAVG en de wet EBV alleen toestemming verlenen aan DigiD omdat de firma Logius, als beheerder van de gegevens van de burger, als enige toestemming heeft om Burger Service Nummers (BSN) van burgers te verwerken?

De verwerking van het BSN vereist een wettelijke basis. Het BSN mag verwerkt worden door overheidsinstanties voor het uitvoeren van hun publiekrechtelijke taak. Organisaties buiten de overheid mogen het BSN verwerken als dat wettelijk is bepaald. Denk in dit geval aan pensioenfondsen en zorgverleners.
In de wet EBV is geregeld dat de Minister van BZK persoonsgegevens, waaronder het BSN, verwerkt voor de werking van DigiD.
Op dit moment is het zo dat DigiD het enige publieke elektronische identificatiemiddel is en daarmee ook het enige middel waarbij werking van het BSN is toegestaan. Het wetsvoorstel digitale overheid dat nu in behandeling is, beoogt ook andere (private) inlogmiddelen toe te laten, waarbij – ten behoeve van het inloggen bij de overheid- het BSN wordt verwerkt.
Vraag 11

Overtreden lokale overheden of – zoals in het geval van Medipark – zorgaanbieders de wet wanneer een burger zich middels de IRMA-app identificeert?

Op dit moment heeft alleen DigiD een wettelijke basis om het BSN te verwerken. Andere (private) inlogmiddelen kunnen deze wettelijk basis ook krijgen als de Wet digitale overheid van kracht wordt en zij als middel worden toegelaten. In het antwoord op vraag 7 gaf ik aan dat de Autoriteit Persoonsgegevens toeziet op het passend beveiligen van gegevens. De Autoriteit Persoonsgegevens heeft IRMA nog niet uitgesloten.
Daarnaast geldt dat overheden een eigen verantwoordelijkheid hebben om adequate beveiliging van gegevens in te richten, waaronder de identificatie. Welke mate van beveiliging zij moeten hanteren hangt af van de dienstverlening die wordt aangeboden en de gegevens die daarbij worden ontsloten. Of het gebruik van de IRMA-app rechtmatig is hangt daarom af van de dienstverlening die wordt ontsloten, de gegevens die daarbij worden ontsloten en het betrouwbaarheidsniveau dat IRMA beoogt te bieden.
Vraag 12

Kunt u uitleggen op welke wijze de stichting achter IRMA het BSN verwerkt?

Zover mij bekend heeft de stichting dit als volgt ingericht. Het BSN wordt, via de inlog met DigiD, door de gemeente verwerkt bij het ophalen van de gegevens uit de BRP. Vervolgens worden het BSN en de overige gegevens uit de BRP in de IRMA app geplaatst. De gebruiker van de IRMA app kan deze gegevens, waaronder het BSN, onder zijn eigen verantwoordelijkheid verstrekken aan derden.
Vraag 13

Wat is uw opvatting over attribuut gebaseerde authenticatie als wijze van elektronische identificatie?

Ik sta in zijn algemeenheid positief tegenover het gebruik van attribuut gebaseerde authenticatie, mits deze voldoet aan de Europese eisen aan privacy (AVG) en inlogmiddelen (eIDAS).
Vooropgesteld merk ik op dat bij (elektronische) identificatie het erom gaat om iemands identiteit vast te stellen. Dit kan via een WID maar langs elektronische weg ook bijvoorbeeld via gezichtsherkenning in combinatie met een ander attribuut. Bij authenticatie wordt gecontroleerd of iemand is wie hij zegt dat hij is. Als we het hebben over authenticatie als wijze van elektronische identificatie, gaat het om de stap nadat een gebruiker zich heeft geïdentificeerd middels een bewijs van identiteit.
Of de authenticatie kan plaats vinden met een attribuut zal afhangen van de vraag of de dienstverlener kan vertrouwen op de juistheid en actualiteit van de attributen en dat deze daadwerkelijk toebehoren aan de betrokken burger. Hoe hoger het vereiste betrouwbaarheidsniveau bij het inloggen, hoe meer eisen aan dit vertrouwen zullen worden gesteld. Ik kijk met interesse uit naar middelen die aan deze eisen voldoen.
Vraag 14

Kunt u voorbeelden geven van een app die een rechtspersoon of een natuurlijk persoon is?

Een app is geen van beide. Een app is software die gemaakt wordt en/of geëxploiteerd wordt door een natuurlijke of rechtspersoon en onder diens verantwoordelijkheid valt.
Vraag 15

Wanneer iemand een BSN intypt op een tekstverwerker en diegene gebruikmaakt van Microsoft, dient Microsoft als verwerker van het BSN dan ook een wettelijke grondslag te hebben?

Wanneer iemand een natuurlijke persoon is en bij de uitoefening van een zuiver persoonlijke of huishoudelijke activiteit een BSN intypt in een clouddienst, dan is de AVG niet van toepassing. In de overige gevallen waar een BSN wordt ingetypt en opgeslagen in een clouddienst, is degene die de clouddienst aanbiedt verwerker. De clouddienst wordt conform AVG aangemerkt als een verwerker wanneer hij ten behoeve van een verwerkingsverantwoordelijke persoonsgegevens verwerkt. In de meeste gevallen bestaat er bij een clouddienst een dergelijke situatie. Voor de verwerking geldt dan de grondslag voor gegevensverwerking van de verwerkingsverantwoordelijke. In dat geval is een verwerkersovereenkomst verplicht. Deze verwerkersovereenkomst zal dan meestal onderdeel uitmaken van de algemene voorwaarden waaronder de clouddienst wordt aangeboden. Wanneer een BSN wordt ingetypt in een offline softwareapplicatie waarbij het BSN niet op een server wordt opgeslagen, tijdelijk vastgehouden of op een of andere manier via een clouddienst wordt verwerkt, is de aanbieder van de softwareapplicatie geen verwerker. Dit laat overigens de verantwoordelijkheid van de aanbieder van een applicatie om zorg te dragen voor een veilige applicatie onverlet.
Vraag 16

Waarom zijn volgens u de gegevens van de burger, die nu in handen zijn van het overheidsbedrijf Logius (door het gebruik van DigiD), veiliger en betrouwbaarder belegd dan wanneer ze in handen van de burger zelf blijven, wanneer hij of zij zich elektronisch identificeert via het gebruik van de persoonlijke kluis van IRMA?

Veiligheid hangt af van inrichting en waarborgen die met betrekking tot gegevensverwerking worden getroffen. Daarbij maakt het niet uit of de gegevensverwerking plaatsvindt onder verantwoordelijkheid van de overheid of van een private organisatie. Hierbij moet rekening gehouden worden met alle privacybeginselen uit de AVG, waaronder het helpen van de persoon over wie gegevens worden verwerkt in geval van problemen, bijvoorbeeld als zijn identificatiemiddel is gestolen. Deze mogelijkheid wordt beperkt indien niet te achterhalen is op welk moment tijdens het inloggen wie wat heeft gedaan. Dit is het geval wanneer gegevens enkel in handen van de burger zelf blijven.
De verwerking van gegevens door de Minister van BZK/Logius is met specifieke wettelijke waarborgen omkleed (in de Wet EBV en Besluit verwerking persoonsgegevens digitale infrastructuur), die vooralsnog tot inwerkingtreding van de Wet digitale overheid voor private middelen ontbreken.
Een aandachtspunt bij attributendiensten is wel dat het mogelijk maakt dat burgers zo laagdrempelig gegevens kunnen wisselen, ook met instanties die daartoe geen recht hebben, maar waarvan de burger afhankelijk is. In dit kader verwijs ik naar het overheidsbrede programma Regie op Gegevens dat de Minister van BZK gestart is en dat beoogt om kaders te stellen voor het digitaal delen van persoonsgegevens die afkomstig zijn uit overheidsregistraties.
Vraag 17

Heeft u, mede in het licht van de Wet Digitale Overheid, bezwaar tegen het gebruik van IRMA in de zorg, zoals nu bijvoorbeeld gerealiseerd door Medipark Uden? Zo ja, hoe gaat u vormgeven aan uw bezwaar?

Het is belangrijk dat burgers een adequate beveiliging wordt geboden bij de digitale toegang tot hun medische gegevens. Betrouwbaar inloggen is daarvoor essentieel. Onder de Wet digitale overheid kies ik bewust voor het toelaten van private middelen (op minimaal betrouwbaarheidsniveau substantieel) vanuit het oogpunt van brede dekking en innovatie. De Wet digitale overheid stelt hier regels voor die aansluiten bij de Europese regels (eIDAS) voor inlogmiddelen. Ook IRMA zal hieraan moeten voldoen, om na inwerkingtreding van de Wet digitale overheid als Nederlands middel toegelaten te kunnen worden. Dit is nog niet vastgesteld. Daarnaast geldt dat IRMA ook als Europees middel niet genotificeerd is. In Europa zijn op dit moment enkele tientallen middelen eIDAS-genotificeerd. Voor IRMA geldt dat dit nog niet heeft plaatsgevonden.

4 november 2019 - 10 december 2019

36 dagen

De berichten ‘Hoe T-Mobile zichzelf in de voet schoot met omweg dataverkeer’ en ‘Klachten bij toezichthouder over traag internet bij T-Mobile‘
	Arne Weverling (VVD), Thierry Aartsen (VVD)
	Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA)

Bronnen

1. https://fd.nl/ondernemen/1322696/hoe-t-mobile-zichzelf-in-de-voet-sch…
2. https://nos.nl/artikel/2308170-klachten-bij-toezichthouder-over-traag…

Vraag 1

Bent u bekend met het bericht «Hoe T-Mobile zichzelf in de voet schoot met omweg dataverkeer»1 en het bericht «Klachten bij toezichthouder over traag internet bij T-Mobile»?2

Ja.
Vraag 2

Wat is uw mening over het feit dat T-Mobile het Nederlandse dataverkeer niet meer via AMS-IX heeft geleid, maar in plaats daarvan via de eigen «backbone» in Duitsland, met een flinke afname van de reactiesnelheid tot gevolg?

Een private onderneming als T-Mobile heeft een grote mate van vrijheid om te bepalen hoe zij het verkeer van haar abonnees routeert.
Mijn ministerie heeft naar aanleiding van de berichtgeving navraag gedaan bij T-Mobile en de Autoriteit Consument en Markt (ACM). T-Mobile erkent dat er verkeer via het netwerk van Deutsche Telekom is geleid. Dat betrof een omleiding naar een onderdeel van het netwerk van Deutsche Telekom dat fysiek gevestigd is in de buurt van Amsterdam, waarna het verkeer langs diverse routes werd verwerkt. Dit kan onder meer via Duitsland zijn gebeurd.
Vraag 3

Hoe verhoudt het omleiden van Nederlands dataverkeer via het buitenland en de gevolgen daarvan voor de reactiesnelheid van gebruikers zich tot de Nederlandse ambities om met het 5G netwerk een digitale koploper op het gebied van het leveren van snel internet te zijn?

Ik begrijp dat de routering van het verkeer door T-Mobile enkel betrekking had op het verkeer afkomstig van het vaste netwerk. Dus van klanten die een abonnement hebben bij T-Mobile Thuis via koper (het oude telefoonnetwerk) of glasvezel. De 2G, 3G, en 4G dienstverlening van T-Mobile werd zodoende niet beïnvloed door de omleiding van het verkeer. Indien T-Mobile reeds een 5G-netwerk had, dan zou die dienstverlening ook niet zijn beïnvloed.
Vraag 4

Deelt u de mening dat het, met het oog op het waarborgen van het goede Nederlandse vestigingsklimaat voor aanbieders van digitale diensten, onwenselijk is als de reactiesnelheid voor gebruikers omlaag gaat wanneer Nederlands dataverkeer via het buitenland omgeleid wordt?

De reactiesnelheid die in de genoemde berichtgeving wordt beschreven noemt men ook wel latency, en wordt gemeten in milliseconden. Het is de tijd dat een signaal er over doet om van A naar B te reizen, en weer terug. Deze reactiesnelheid wordt een steeds belangrijker aspect van de kwalitatief hoogwaardige connectiviteit waar ik naar streef en daarmee belangrijk voor het Nederlandse vestigingsklimaat.
Overigens verschilt de behoefte aan reactiesnelheid per dienst. Op dit moment is de reactiesnelheid onder meer van belang voor diensten als gaming en bellen via internet («VoIP»). Voor andere diensten is de reactiesnelheid weliswaar van belang voor de gebruikservaring, maar niet essentieel voor een goede werking. Het is bijvoorbeeld fijn als een e-mail direct na verzending wordt afgeleverd, maar als het iets langer duurt gaat er niet meteen iets mis. De verwachting is echter dat er in de komende jaren steeds meer diensten komen waar een lage reactiesnelheid noodzakelijk is om goed te kunnen functioneren. Voorbeelden hiervan zijn zelfrijdende auto’s, augmented of virual reality, en spraakassistenten.
Ik ben blij om te zien dat het handelen van T-Mobile zo veel reacties heeft uitgelokt, en dat T-Mobile de omleiding vrijwel direct heeft teruggedraaid. In dit geval heeft de markt zijn werk gedaan.
Vraag 5

Wat zijn volgens u de risico’s voor de positie van AMS-IX en andere Nederlandse exchanges bij het op dergelijke wijze omleiden van dataverkeer? En wat zijn volgens u de risico’s voor Nederland als internationaal knooppunt van internetverkeer?

Voor de positie van de AMS-IX als een van de belangrijkste internetknooppunten in de wereld is van belang dat er zo veel mogelijk ondernemingen op haar locaties verkeer uitwisselen. Wanneer ondernemingen besluiten om verkeer uit te wisselen op een andere wijze dan vermindert dat de klandizie voor de AMS-IX. Omdat de AMS-IX een internetknooppunt is waar véél meer ondernemingen op zijn aangesloten dan enkel T-Mobile valt te betwijfelen of het anders routeren van verkeer door alleen T-Mobile van significante invloed is op de AMS-IX. Wel kan ik me voorstellen dat AMS-IX de trend waarbij grote internetaanbieders en dienstverleners steeds vaker rechtstreekse interconnecties met elkaar aangaan als bedreiging wordt ervaren.
Vraag 6

Kunt u aangeven hoe het selectief omleiden van Nederlands dataverkeer via het buitenland, het zogeheten «double dipping», met als gevolg een lagere reactiesnelheid voor gebruikers of voor sommige Nederlandse websites, zich verhoudt tot de wettelijke plicht voor internetaanbieders om de netneutraliteit te waarborgen?

Eerst wil ik opmerken dat het omleiden van Nederlands dataverkeer via het buitenland niet hetzelfde is als wat er in de berichtgeving wordt bedoeld met double dipping. Double dipping verwijst naar de volgens de berichtgeving vermeende intentie achter het handelen van T-Mobile, of eigenlijk moedermaatschappij Deutsche Telekom. De stelling in de berichtgeving is dat Deutsche Telekom ondernemingen wiens diensten veel bandbreedte en/of een lage reactiesnelheid nodig hebben, dwingt tot betalen voor een goede verbinding met haar netwerk. De omleiding van het verkeer zou het voor Deutsche Telekom mogelijk maken om de toegang tot de abonnees van T-Mobile Thuis in te zetten als fiche in het onderhandelingsspel met dit soort dienstverleners. Op die manier kan Deutsche Telekom twee keer dippen. Oftewel, geld verdienen aan haar netwerk. Aan de ene kant door internettoegang en andere diensten te verkopen aan consumenten en zakelijke gebruikers. Aan de andere kant door een hoogwaardige verbinding met haar netwerk – zgn. «interconnectie» – te verkopen aan de ondernemingen die diensten leveren aan consumenten en zakelijke gebruikers.
De relatie tussen netneutraliteit en interconnectiebeleid wordt geregeld door de Europese netneutraliteitsregels zoals vastgelegd in Verordening 2015/2120/EU. Voor de toepassing van de Verordening heeft BEREC (Europese organisatie van nationale telecomtoezichthouders) richtsnoeren opgesteld. In die richtsnoeren is uitgelegd dat interconnectiebeleid onder artikel 3, eerste lid, van de Verordening getoetst kan worden als de daarin genoemde eindgebruikersrechten er door beperkt worden. Dit kan bijvoorbeeld het geval zijn wanneer interconnectiebeleid wordt ingezet om de intenties van de Verordening te omzeilen. In dergelijke gevallen kunnen nationale toezichthouders volgens BEREC in het kader van de netneutraliteitsregels interconnectieovereenkomsten onderzoeken. Dit betekent dat het interconnectiebeleid van internetaanbieders door de ACM kan worden getoetst aan de netneutraliteitsregels.
Vraag 7

Deelt u de mening dat de Nederlandse digitale ondernemers, zoals aanbieders van websites, net zoals de consument recht hebben op gelijke behandeling wat betreft netneutraliteit en dat het selectief omleiden van Nederlands dataverkeer via het buitenland deze netneutraliteit schaadt?

Zie antwoord vraag 6.
Vraag 8

Bent u bekend met vergelijkbare voorbeelden van internetaanbieders, die het Nederlandse dataverkeer omleiden via het buitenland, met mogelijke gevolgen voor de reactiesnelheid of de netneutraliteit? Zo niet, kunt u nagaan of ook andere internetaanbieders het Nederlands dataverkeer ook omleiden via het buitenland?

Nee, ik ben daar niet mee bekend. Ik zie voorts geen aanleiding om nader onderzoek te verrichten naar de routering van dataverkeer door Nederlandse internetaanbieders.
Vraag 9

Deelt u de mening dat het verstandig zou zijn als de Autoriteit Consumet & Markt onderzoek doet naar de potentiële gevolgen voor de netneutraliteit van het omleiden van het dataverkeer door T-Mobile en eventuele andere gevallen die u bekend zijn?

De ACM is een onafhankelijk toezichthouder. Ten behoeve van die onafhankelijkheid acht ik het niet verstandig om mij uit te laten over de eventuele wenselijkheid van enig onderzoek. Overigens heeft de ACM mij wel laten weten dat zij contact heeft gehad met T-Mobile om vragen te stellen over diens handelen. De ACM verwacht nog nadere gesprekken met T-Mobile te gaan voeren over dit voorval.
Tot slot wil ik opmerken dat de ACM de ontwikkelingen in de interconnectiemarkt volgt. Zowel zelfstandig als in het verband van BEREC. Zo heeft BEREC reeds in 2012 onderzoek gedaan naar de relatie tussen netneutraliteit en interconnectie, benoemt ze op haar website interconnectie als aandachtspunt voor het waarborgen van netneutraliteit, en benoemt ze in haar recent geconsulteerde werkplan de optie van een workshop over het onderwerp. Het doel van zo’n workshop is om toezichthouders te informeren over de laatste ontwikkelingen in de interconnectiemarkt. Daarnaast heeft mijn ministerie reeds in 2015 aan de ACM gevraagd om onderzoek te verrichten naar de ontwikkelingen op de interconnectiemarkt. Dit onderzoek is gepubliceerd op de website van de ACM.3Uw Kamer is reeds eerder over ontwikkelingen in de interconnectiemarkt geïnformeerd bij brief van 23 december 2014.4 Er is dus aandacht voor ontwikkelingen als deze.

9 oktober 2019 - 19 november 2019

41 dagen

Het bericht ‘Minister bezorgd om versleuteling Facebook’
	Kees Verhoeven (D66)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. Dagblad van het Noorden, 4 oktober 2019, https://www.dvhn.nl/binnenla…
2. Kamerstuk 26 643, nr. 383

Vraag 1

Bent u bekend met het bericht «Minister bezorgd om versleuteling Facebook»?1

Ja.
Vraag 2

Bent u bekend met het kabinetsstandpunt over versleuteling?2

Ja.
Vraag 3

Wanneer gaat u naar Washington om met uw Amerikaanse collega over deze kwestie te praten?

Ik ben van 4 tot en met 7 december 2019 op werkbezoek in de Verenigde Staten.
Vraag 4

Gaat u tijdens uw gesprek dit kabinetsstandpunt overbrengen en niet uw zorgen die in strijd zijn met dit kabinetsstandpunt?

Mijn zorgen zijn niet in strijd met het kabinetsstandpunt uit 2016. In het kabinetsstandpunt wordt onder meer gemeld dat encryptie het (tijdig) verkrijgen van inzicht in de communicatie ten behoeve van de bescherming van de nationale veiligheid en de opsporing van strafbare feiten bemoeilijkt, vertraagt of onmogelijk maakt. Dit geldt bijvoorbeeld voor de opsporing naar het vervaardigen, verspreiden of bezitten van kinderporno, zware criminaliteit en terrorisme. De mogelijkheid om gegevens in onversleutelde vorm te vorderen bij een dienstverlener is minder vaak beschikbaar. In toenemende mate worden bij moderne toepassingen van encryptie de gegevens nog slechts in versleutelde vorm door dienstverleners verwerkt.
Daarnaast vermeldt het kabinetsstandpunt het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland.
Ik zal de diverse betrokken belangen en de conclusie uit het kabinetsstandpunt dat het niet wenselijk is om beperkende wettelijke maatregelen te nemen ten aanzien van de ontwikkeling, de beschikbaarheid en het gebruik van encryptie binnen Nederland onder de aandacht brengen.
Vraag 5

Bent u ook bezorgd over het afzwakken van versleutelingssoftware waardoor buitenlandse mogendheden en criminelen toegang kunnen krijgen tot de privécommunicatie van mensen?

Ik onderschrijf het belang van encryptie voor de veilige communicatie tussen burger, bedrijf en overheid, de bescherming van de persoonlijke levenssfeer en de toegevoegde waarde voor de digitale economie in Nederland. Goede encryptie helpt Nederlandse burgers en organisaties zich te beschermen tegen buitenlandse mogendheden en criminelen. Ik streef daarom naar oplossingen die binnen de kaders van het kabinetsstandpunt recht doen aan de belangen van de opsporing en de nationale veiligheid. Daarvoor is samenwerking en overleg met publieke en private belanghebbenden noodzakelijk.

20 september 2019 - 4 november 2019

45 dagen

Het gebruik van kunstmatige intelligentie in zedenzaken
	Kathalijne Buitenweg (GL)
	Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

1. Het Financieele Dagblad, 18 september 2019, «Nederlandse #MeToo-chatbot biedt misbruikslachtoffers luisterend oor»

Vraag 1

Kent u het bericht over onderzoekers van de Universiteit Maastricht die een chatbot hebben ontwikkeld voor slachtoffers van aanranding, verkrachting of andere vormen van seksuele intimidatie?1

Ja.
Vraag 2

Acht u het mogelijk dat de overheid gebruik gaat maken van een dergelijke chatbot voor het helpen van slachtoffers van seksueel geweld?

In zijn algemeenheid wil ik opmerken dat digitale mogelijkheden de bestaande wijzen van hulpverlening kunnen aanvullen. Het kan er niet voor in de plaats komen, maar wel vanuit slachtofferperspectief ondersteunend werken.
Van de Universiteit van Maastricht heb ik begrepen dat de chatbot, waar uw vragen naar verwijzen, als doel heeft om geanonimiseerd meldingen te ontvangen, de melder te steunen en een advies te geven over het opnemen van contact met de bij de melder passende instantie. Dit kan bijvoorbeeld een psycholoog zijn. De ontwikkelingen op dit gebied zijn interessant en die volg ik. Het is echter te vroeg om voor dit concrete geval te zeggen of het door de overheid gebruikt kan worden.
Vraag 3

Klopt het dat deze chatbot draait op een algoritme dat emoties van burgers interpreteert? Zo ja, wat vindt u ervan als de overheid met algoritmes gaat werken die emoties analyseren?

Het systeem is gemaakt door de Universiteit Maastricht. Zij hebben mij laten weten dat er geen emotie-herkenningsmodule in het systeem zit.
Vraag 4

Welke data zijn gebruikt om het algoritme te ontwikkelen? Zijn dat data van Nederlandse meldingen? Waren de indieners van de gebruikte meldingen ervan op de hoogte dat deze gebruikt konden worden voor het ontwikkelen van een algoritme?

De Universiteit van Maastricht heeft mij laten weten dat de meldingen grotendeels afkomstig zijn uit India, maar ook uit enkele andere landen komen, zoals de Verenigde Staten van Amerika en Zuid-Afrika. Het betreft anonieme meldingen, die tevens ontdaan zijn van gegevens over eventuele daders.2
Vraag 5

Welk juridisch en ethisch kader is op een dergelijke bot van toepassing? Vindt u dat dit huidige kader voldoet? Zo nee, waarom niet en welke voorwaarden bent u voornemens aan dit soort bots te stellen?

Belangrijk element van het juridische kader dat op een dergelijke bot van toepassing zal zijn is het gegevensbeschermingsrecht. Hieraan moet in eerste instantie worden voldaan bij het verkrijgen en gebruiken van de reeds in de beantwoording bij vraag 4 genoemde trainingsdata. Zoals ik vernam waren deze in dit geval reeds geanonimiseerd toen zij door de Universiteit werden verkregen, waardoor er voor de training van het algoritme in beginsel geen persoonsgegevens zijn verwerkt. Indien de chatbot echter in gebruik zou worden genomen voor een concrete doelgroep dan ligt het voor de hand dat er persoonsgegevens verwerkt gaan worden, waaronder naar alle waarschijnlijkheid ook bijzondere persoonsgegevens. Bij de ontwikkeling en het gebruik van een dergelijke bot zal men zich moeten houden aan alle vereisten die de Algemene Verordening Gegevensbescherming stelt aan het verwerken van de desbetreffende persoonsgegevens. Daarbij zal speciale aandacht uit moeten gaan naar de vraag of die bijzondere persoonsgegevens verwerkt mogen worden.
In algemene zin geldt dat AI zich in hoog tempo ontwikkelt en dat er nationaal en internationaal wordt bezien of daar gevolgen aan moeten worden verbonden voor regelgeving. Zo is de verwachting dat de nieuwe Europese Commissie op korte termijn een voorstel gaat doen voor een verordening op het gebied van AI.
Het kabinetsstandpunt over de omgang met Artificial Intelligence is recent verwoord in een drietal publicaties, namelijk het Strategisch Actieplan AI,3 de Beleidsbrief AI,4 publieke waarden en mensenrechten, en de brief over Waarborgen tegen risico’s van data-analyses door de overheid.5
Vraag 6

Wie is er verantwoordelijk wanneer een dergelijke bot een fout zou maken in de beoordeling van een melding?

Als een chatbot in gebruik wordt genomen, dan is de partij die de bot beschikbaar stelt verantwoordelijk voor de deugdelijkheid van het systeem. Voor eventuele vragen van aansprakelijkheid gelden de algemene regels uit het Burgerlijk Wetboek. Aansprakelijkheid vraagt een beoordeling van de omstandigheden van het geval. De deugdelijkheid van het systeem, de informatie over de werking daarvan en de wijze waarop de gebruiker er gebruik van heeft gemaakt zijn aspecten die in dat licht van belang kunnen zijn.

20 september 2019 - 15 oktober 2019

25 dagen

De integratie van XS4ALL door KPN en de gevolgen voor de keuzevrijheid
	Frank Futselaar (SP)
	Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA)

Bronnen

1. https://www.nu.nl/tech/5995076/bestuur-xs4all-wil-tegen-advies-ondern…

Vraag 1

Bent u bekend met het bericht dat KPN de organisatie XS4ALL volledig laat verdwijnen, ondanks een negatief advies van de ondernemingsraad (OR) en mogelijk negatieve bedrijfseconomische gevolgen?1

Ja.
Vraag 2

Kunt u aangeven welke gevolgen het verdwijnen van het merk XS4ALL heeft voor de keuzevrijheid en of er internetaanbieders zijn die dezelfde kwaliteit dienstverlening aanbieden? Bent u bereid de Autoriteit Consument & Markt (ACM) te vragen hiernaar een marktanalyse uit te voeren?

Het staat marktpartijen in Nederland vrij om specifieke dienstverlening te ontwikkelen en in de markt te zetten. Zij kunnen zich voor de levering daarvan wenden tot de infrastructuur aanbieders om toegang tot hun netwerken te verkrijgen. Die toegang wordt gereguleerd en zoals u weet is mijn beleid erop gericht om die gereguleerde toegangsmogelijkheden te verruimen. Ik heb vanzelfsprekend geen oordeel over de onderscheidende kwalitatieve kenmerken van specifieke dienstverlening. Het oordeel daarover is aan de consument.
Vraag 3

Deelt u de mening dat het negatieve advies van de OR slechts een formaliteit is en geen invloed zal hebben op de beslissing van de besturen van XS4ALL en KPN? Zo nee, kunt u voorbeelden noemen waarin een negatief advies van werknemers heeft geleid tot een ander besluit in de bestuurskamers?

Ik heb geen mening over hoe de besturen van XS4ALL en KPN het advies van de Ondernemingsraad wegen; dat is besluitvorming die in de betreffende bestuurskamers ligt. Daarbij heb ik er het volste vertrouwen in dat de wijze waarop we in Nederland deze ondernemingsrechtelijke bevoegdheden hebben belegd, bij de uiteindelijke besluitvorming adequaat worden meegewogen. Overigens blijkt uit recent onderzoek dat in ruim vier op de tien gevallen (42,6%) de Ondernemingskamer in het voordeel van de personeelsvertegenwoordiging oordeelt.2
Vraag 4

Hoe vaak heeft een OR met succes beroep aangetekend bij de rechter en hiermee een strategische beslissing van deze aard tegengehouden?

Zie antwoord vraag 3.
Vraag 5

Welke mogelijkheden hebben huidige abonnees van XS4ALL om hetzelfde niveau van dienstverlening en privacybescherming te krijgen? Bestaan er wettelijke belemmeringen, bijvoorbeeld op het gebied van niet-concurrentiële bedingen, voor werknemers en abonnees van XS4ALL om een nieuwe provider op te richten die hetzelfde niveau biedt?

Als consumenten behoefte hebben aan specifieke dienstverlening, dan geeft dat kansen aan marktpartijen om bij het verdwijnen daarvan in het gat te springen. Er bestaan (gereguleerde) toegangsmogelijkheden voor nieuwe marktpartijen die diensten leveren via de telecomnetwerken. In hoeverre eventuele niet-concurrentiële bedingen van werknemers dat in de weg staan, kan ik in deze niet beoordelen. Deze arbeidscontractuele bepalingen zijn, binnen algemene wettelijke regels, een nadrukkelijke verantwoordelijkheid van werkgever en werknemer.

10 september 2019 - 1 oktober 2019

21 dagen

De uitzending van De Monitor over ICT in de zorg
	Maarten Hijink (SP)
	Bruno Bruins (minister volksgezondheid, welzijn en sport) (VVD)

Vraag 1

Wat is uw reactie op de uitzending van De Monitor over ICT in de zorg? Hoe erg is het volgens u dat de twee partijen die systemen ontwikkelen om gegevens in de zorg uit te wisselen, Epic en Chipsoft, zoveel macht hebben?

Er zijn meerdere partijen die uitwisseling in de zorg mogelijk (kunnen) maken. Ik ben op de hoogte van de markt voor ziekenhuis EPD leveranciers (= Elektronisch Patiëntendossier; verwijzend naar een centraal informatiesysteem voor patiëntendossiers in een ziekenhuis). Deze markt wordt inderdaad gekenmerkt door een beperkt aantal aanbieders en alternatieven.
Op dit moment bekijk ik samen met het zorgveld hoe ik kan ondersteunen bij het bundelen van krachten in de onderhandelingen met de EPD leveranciers. Het doel hiervan is om gemeenschappelijke wensenlijsten op te stellen (voor doorontwikkeling en innovatie), beter passende en open systemen te krijgen, gewenste veranderingen sneller door te laten voeren en betere prijsonderhandelingen te kunnen doen. De Autoriteit Consument & Markt (ACM) is de onafhankelijke toezichthouder. De ACM ziet op grond van de Mededingingswet erop toe dat bedrijven eerlijk met elkaar concurreren en treedt onder meer op tegen bedrijven die hun machtspositie misbruiken. Bedrijven kunnen bij de ACM terecht met hun signalen over mogelijk oneerlijke concurrentie. Het is de rol van de ACM om te oordelen over of in te grijpen op eventueel verstoorde markten. De ACM heeft mij laten weten in gesprek te gaan met de zorgsector over de mogelijkheden en risico’s van voorgenomen samenwerkingen tussen zorgaanbieders bij de inkoop van ICT.
Vraag 2

Wat is uw oordeel over bedrijven in de zorg die extreem veel geld verdienen terwijl medici steen en been klagen over wat ze doen?

Het is aan zorgpartijen zelf om de juiste ICT-producten tegen de juiste prijzen in te kopen. Bedrijven mogen een eerlijke prijs vragen voor het leveren van hun producten of diensten, er mag geen sprake zijn van misbruik van een economische machtpositie. Ik neem signalen over hoge winsten van ICT leveranciers die actief zijn in de gezondheidszorg serieus. In mijn brief van 9 juli jl. (Kamerstuk 35 000-XVI, nr. 133) heb ik u reeds mijn standpunt over winstuitkering in de zorg medegedeeld. Hetzelfde standpunt heb ik in relatie tot winsten van ICT leveranciers actief in de zorg.
Bij deze maatschappelijke verantwoordelijkheid horen ook de juiste bekostigingsmodellen (met zoveel mogelijk vermijding van bijvoorbeeld perverse prikkels die uitwisseling in de weg staan; zoals kosten per uitwisseling) en transparantie van onder andere ontwikkelkosten en prijsopbouw. In dat kader vind ik het onwenselijk dat ICT-leveranciers bijvoorbeeld niet aan dezelfde transparantieverplichtingen dienen te voldoen als de sector waarvoor ze werken.
Vraag 3

Wat is uw reactie op het bericht in de uitzending dat een grote ICT-leverancier ziekenhuizen en hun personeel totaal onder controle heeft en alleen helpt voor geld terwijl ze de uitwisseling van patiëntengegevens ophouden? Vindt u dit acceptabel?

Ziekenhuizen en ander zorgverleners zijn vrij in de keuze voor systemen waarmee zij patiëntgegevens verwerken. Het is aan zorgpartijen zelf om met ICT leveranciers te onderhandelen over de juiste prijzen en eisen. Tegelijkertijd vind ik het ook van belang dat informatie goed uitgewisseld kan worden. In december 2018 heb ik daarom aangekondigd regie te nemen op het versnellen van de totstandkoming van gegevensuitwisseling, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166).
Digitalisering van gegevensuitwisseling is een behoorlijke uitdaging. Er zijn tekortkomingen in taal en techniek. Zo spreken alle betrokken beroepsgroepen hun eigen taal en die moet op elkaar worden afgestemd in alle mogelijke gegevensuitwisselingen. Daarnaast zijn er ook heel veel technische standaarden (die voor beelden bijvoorbeeld anders zijn dan voor documenten) en is er niet in elke regio al een infrastructuur voor elektronische uitwisseling. In mijn brief over elektronische gegevensuitwisseling van 12 juli jl. heb ik aangegeven gedetailleerde technische eisen aan ICT-producten te stellen op het gebied van eenheid van taal en techniek en aangekondigd leveranciers van ICT-systemen hieraan te gaan binden door dit via certificering af te dwingen. VWS voert zo actief beleid op het open maken van systemen. Deze wettelijk verplichte technische standaarden voor infrastructuren en gegevensuitwisseling maken dat de markt open wordt gemaakt voor andere aanbieders die voldoen aan deze eisen. Dit moet leiden tot meer innovatie, nieuwe toetreders en meer transparantie in de markt en draagt daardoor bij aan een beter functionerende markt.
Vraag 4

Hebben ICT-bedrijven volgens u een belang bij (het verlenen van) goede zorg en een goede informatie-uitwisseling of bent u van mening dat de belangen van deze bedrijven ergens anders liggen, bijvoorbeeld bij het verdienen van veel geld?

Zie antwoord vraag 3.
Vraag 5

Wat vindt u er eigenlijk van dat allerlei partijen in de zorg met verschillende systemen werken die onderling niet goed met elkaar samen kunnen werken waardoor zorgverleners in de uitwisseling van gegevens op allerlei barrières stuiten? Hoe kan het bijvoorbeeld dat zelfs ziekenhuizen die gebruik maken van dezelfde ICT-systemen van dezelfde leverancier onderling geen informatie uit kunnen wisselen? Vindt u dit ook onwenselijk en onbegrijpelijk? Hoe kan het dat de systemen helemaal niet zijn afgestemd op hoe artsen werken? Waarom zijn de systemen niet ontworpen vanuit de gebruikers, namelijk de patiënt en zorgverlener?

Een technische koppeling (eenheid van techniek) is slechts een van de onderdelen die nodig is voor goede gegevensuitwisseling. Zo ook afspraken over proces, dossiervoering en taal. Ziekenhuizen en andere zorgverleners hebben zelf systemen geselecteerd waarmee zij patiëntgegevens voor eigen gebruik opslaan. Lange tijd zijn deze systemen aangepast op de eisen en wensen van de individuele zorginstellingen, passend bij hun eigen proces. Ook EPD’s van dezelfde leverancier bij verschillende ziekenhuizen kunnen hierdoor fors verschillen qua inrichting. Ook hierom ondersteun ik (zoals in mijn antwoord op vraag 1 al gesteld) het zorgveld bij het bundelen van gemeenschappelijke inrichtingseisen en wensen.
Ziekenhuizen werken nou eenmaal met verschillende informatiesystemen, maar dat die niet of moeilijk met elkaar kunnen communiceren vind ik niet wenselijk. Daarom heb ik in december 2018 aangekondigd regie te nemen op het versnellen van de totstandkoming van gegevensuitwisseling en aangekondigd leveranciers van ICT-systemen hieraan te gaan binden, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166).
Vraag 6

Deelt u de mening dat de zorg soms suboptimaal is en daarmee ook beter zou kunnen als de ICT-systemen beter zouden werken en uitwisseling van informatie makkelijker wordt?

Een veilige en goed werkende elektronische uitwisseling van gegevens kan zorgen voor een efficiënter en effectiever zorgproces. Zorgverleners beschikken te vaak niet over de informatie die ze nodig hebben en zijn teveel tijd kwijt met faxen of het op DVD branden van gegevens. Mensen moeten te vaak opnieuw hun verhaal vertellen terwijl ze denken «dokter dat weet u toch wel». Ik vind daarom dat digitaal het nieuwe normaal moet worden en ik ga – zoals ik hierboven schreef – in concrete stappen elektronische gegevensuitwisseling wettelijk verplicht stellen.
Vraag 7

Hoeveel tijd kost het zorgverleners op dit moment om alle benodigde gegevens over een patiënt beschikbaar te krijgen? Kunt u hiervan een inschatting maken?

De wijze waarop zorgverleners op dit moment alle benodigde gegevens over een patiënt beschikbaar krijgen, maar ook de winst die te behalen valt met betere elektronische gegevensuitwisseling, is sterk afhankelijk van de individuele patiënt, het zorgproces, de zorgverlener en casuïstiek. Er zijn helaas voorbeelden uit de praktijk te noemen waarin het zorgverleners veel tijd kost om alle benodigde gegevens over een patiënt beschikbaar te krijgen. Er is dus voldoende aanleiding dat dat snel anders moet, ter verbetering van de veiligheid van patiënten en voor de verlaging van de administratieve werklast van zorgverleners.
Vraag 8

Erkent u dat het momenteel niet mogelijk is om over te stappen naar een ander ICT-systeem vanwege de kosten die daarmee samenhangen? Erkent u tevens dat ICT-leveranciers misbruik maken van die positie?

De implementatie van een groot en belangrijk ICT systeem in een zorginstelling (zoals een EPD), gaat gepaard met hoge kosten en een grote impact voor een organisatie. Het wisselen van EPD is voor een ziekenhuis een risicovol, complex en kostbaar traject. Bij het overstappen dienen ziekenhuizen te investeren in nieuwe apparatuur, voorzieningen, training van medewerkers, adviseurs en verlies aan productie. Toch stappen in de praktijk ziekenhuizen over naar een andere EPD-leverancier.
Ik wil elementen die nu het overstappen hinderen, zoveel mogelijk wegnemen. Dit doe ik bijvoorbeeld door (in de aanpak van het Programma elektronische gegevensuitwisseling) het in wet en normen gaan afdwingen van open systemen en door het doorvoeren van standaardisatie, zodat gegevens ook door andere systemen te gebruiken zijn. Zo kan er een markt ontstaan, doordat de informatie niet langer opgesloten zit in een enkel systeem en ook overstappen technisch eenvoudiger kan dan nu.
Ik omarm dan ook het initiatief vanuit het bedrijfsleven en de zorgsector, samen met VNO-NCW; het Manifest «Samen Vooruit». De ondertekenaars hiervan spreken steun uit voor de wettelijke verplichting van digitale gegevensuitwisseling, open systemen en open infrastructuren.
Vraag 9

Klopt het dat de bereikbaarheid van de ICT-leveranciers na implementatie vaak te wensen over laat?

De mate van ondersteuning na implementatie is onderwerp van gesprek tussen zorginstelling en aanbieder en wordt onderhandeld en contractueel vastgelegd, zo laten zorgpartijen mij weten.
Vraag 10

Deelt u de mening dat de winst van de ICT-leveranciers omgezet zou moeten worden in betere functionaliteit, ook aangezien het hier gaat om publiek geld? Vindt u de 45% netto winst van Chipsoft te verdedigen als een betere functionaliteit geen prioriteit is voor het bedrijf?

Een optimale inzet van ICT-systemen is een combinatie van openheid van dat systeem, functionaliteit maar zeker ook inpassing in het werkproces van de eindgebruiker. De zorg heeft dus goede ICT leveranciers nodig om haar zorgverlening te ondersteunen. Het is aan zorgpartijen zelf om de juiste ICT producten tegen de juiste prijzen in te kopen. Of de geleverde dienstverlening in verhouding staat tot de kosten, is aan de klant van de diensten om te beoordelen.
Zoals ik in mijn antwoord op vraag 2 al aangeef, komen mijn standpunt over winsten van ICT leveranciers actief in de zorg, overeen met de eerder in mijn brief van 9 juli jl. (Kamerstuk 35 000-XVI, nr. 133) genoemde standpunten.
Vraag 11

Bent u op de hoogte van de winst die Epic de afgelopen jaren heeft gemaakt? Zo ja, wat is deze winst? Zo nee, bent u bereid dit uit te zoeken? Bent u van mening dat aangezien de ICT-systemen voor informatie-uitwisseling een belangrijk onderdeel zijn van een goede zorgverlening een dergelijk gegeven, als de gemaakte winst, transparant moet zijn?

Zie antwoord vraag 10.
Vraag 12

Vindt u de gemaakte winst van vele miljoenen in verhouding staan met de geleverde prestaties? Bent u van mening dat slecht ontworpen informatie-uitwisselingssystemen ten koste gaan van de gezondheid (en soms zelfs het leven) van mensen en de kosten van de gezondheidszorg?

Zie antwoord vraag 10.
Vraag 13

Wat gaat u doen om de informatie-uitwisseling tussen zorgverleners te verbeteren en wanneer kunnen zorgverleners effect verwachten?

Ik vind het van groot belang dat informatie tussen zorgverleners op een goede en veilige manier wordt uitgewisseld. In december 2018 heb ik daarom al aangekondigd regie te nemen op het versnellen van de totstandkoming van elektronische gegevensuitwisseling in de zorg, onder anderen door het wettelijke verplicht stellen van elektronische gegevensuitwisseling (Kamerstuk 27 529, nr.166). Ik heb in december 2018 ook mijn voornemen uitgesproken leveranciers van ICT-systemen hieraan te gaan binden. In mijn brief van 12 juli jl. (Kamerstuk 27 529, nr. 189) heb ik aangegeven dit te doen door gedetailleerde technische eisen aan ICT-producten te stellen op het gebied van eenheid van taal en techniek. Dit zal ik vervolgens via normering en certificering af dwingen. In 2020 dien ik daarom een wetsvoorstel in waarmee ik stapsgewijs elektronische gegevensuitwisseling verplicht zal stellen. De laatste jaren heb ik door versnellingsprogramma’s de informatie-uitwisseling tussen patiënt en professional bevordert (VIPP ziekenhuizen en VIPP voor overige medisch specialistische instellingen). In de nieuwe VIPP regeling voor instellingen voor medisch specialistische zorg wordt ook de uitwisseling tussen instellingen onderling gestimuleerd. Ik verwacht deze regeling eind dit jaar te publiceren.

Titel

Status

Indiener (persoon)

Indiener (partij)

Onderwerpen

709 kamervragen gevonden

beantwoord onbeantwoord uitgesteld

Alle

17 februari 2020 - 30 juni 2020

134 dagen

Aukje de Vries (VVD), Dennis Wiersma (VVD)

Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA), Ingrid van Engelshoven (minister onderwijs, cultuur en wetenschap) (D66)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

Vraag 11

Vraag 12

Vraag 13

Vraag 14

Vraag 15

Vraag 16

7 februari 2020 - 9 maart 2020

31 dagen

Martin Bosma (PVV)

Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

31 januari 2020 - 6 maart 2020

35 dagen

Harry van der Molen (CDA), Chris van Dam (CDA), Joba van den Berg-Jansen (CDA)

Ferdinand Grapperhaus (minister justitie en veiligheid) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

23 januari 2020 - 10 februari 2020

18 dagen

Thierry Aartsen (VVD), Helma Lodders (VVD), Jan Middendorp (VVD)

Raymond Knops (staatssecretaris binnenlandse zaken en koninkrijksrelaties) (CDA), Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA), Wopke Hoekstra (minister financiën) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

Vraag 5

Vraag 6

Vraag 7

Vraag 8

Vraag 9

Vraag 10

23 januari 2020 - 18 maart 2020

55 dagen

Kees Verhoeven (D66)

Mona Keijzer (staatssecretaris economische zaken en klimaat) (CDA)

Bronnen

Vraag 1

Vraag 2

Vraag 3

Vraag 4

21 januari 2020 - 2 maart 2020

41 dagen

Kathalijne Buitenweg (GL)

Sander Dekker (minister zonder portefeuille justitie en veiligheid) (VVD)

Bronnen

Vraag 1