Vraag 1

Bent u bekend met het artikel «Maakbedrijven trekken naar India wegens groeiend gebrek aan Nederlandse ingenieurs»?1

Ja, dit artikel is mij bekend.

Vraag 2

Heeft u inzicht in hoe groot het verwachte tekort aan hoogopgeleid technisch personeel in de komende jaren is?

Door de economische groei en door de toepassing van technologie neemt de vraag naar voldoende en goed opgeleid technisch talent alleen maar toe. Het tekort aan bèta-technici is een belemmering voor de Nederlandse economische groei in de komende jaren. Uit de recente rapportage De Arbeidsmarkt naar opleiding en beroep tot 2022van het Researchcentrum voor onderwijs en arbeidsmarkt (ROA) van de Universiteit Maastricht, kan indicatief afgeleid worden dat de verwachte tekorten op de bèta-technische arbeidsmarkt groot zijn (zie tabel). Het is goed om te beseffen dat we niet alleen behoefte hebben aan hoogopgeleide bèta en technisch geschoolde mensen, maar vooral ook aan vakmensen. Mensen die dingen kunnen maken zoals lassers, installateurs, metselaars, elektriciens etc.
9.200
16.700
7.500
107.000
106.500
–500
7.100
5.800
–1.300
12.200
14.300
2.100
24.400
19.300
–5.100
4.200
7.500
3.300
11.000
14.500
3.500
10.700
8.100
–2.600
20.600
18.100
–2.500
16.800
18.900
2.100
13.800
11.800
–2.000
101.800
83.500
–18.300
7.700
26.400
18.700
18.900
5.900
–13.000
22.700
5.800
–16.900
5.800
4.000
–1.800
mbo 4 voertuigtechniek
8.900
5.400
–3.500
mbo 4 techniek overig
14.800
17.200
2.400
mbo 4 bouw en infra
16.300
7.900
–8.400
mbo 4 transport en logistiek
6.700
10.800
4.100
120.700
60.800
–59.900
16.100
13.200
–2.900
32.500
9.800
–22.700
22.900
14.400
–8.500
12.000
3.100
–8.900
28.000
13.500
–14.500
9.300
6.900
–2.400
15.500
13.700
–1.800
10.100
10.000
–100
5.400
3.700
–1.700
61.700
29.500
–32.200
19.500
8.300
–11.200
25.100
11.800
–13.300
17.100
9.400
–7.700
19.500
21.600
2.100
11.900
14.200
2.300
7.600
7.400
–200

Vraag 3

Hoeveel schade loopt de Nederlandse economie op doordat bedrijven uit Nederland vertrekken vanwege een tekort aan technisch personeel?

Er worden (door het CBS) geen gegevens bijgehouden over aantallen bedrijven die uit Nederland vertrekken. Ook is er geen informatie bekend over de specifieke landen waar deze bedrijven naar vertrekken. Er zijn, kortom, geen integrale gegevens beschikbaar over hoeveel bedrijven uit Nederland vertrekken en daarbij een gebrek aan technisch geschoold personeel als reden aangeven. Bij bedrijfsbeslissingen over vestigingslocaties, zien we in de praktijk dat een breed palet aan vestigingsklimaatfactoren een rol speelt. Een besluit om te vertrekken of omgekeerd, in Nederland te gaan vestigen, is dus zelden aan slechts één factor van het vestigingsklimaat toe te wijzen. Naast de factor arbeid (o.a. beschikbaarheid van goed opgeleid personeel), zijn ook andere locatiefactoren van belang, zoals bijvoorbeeld fiscaliteit, infrastructuur en kwaliteit van leven en leefomgeving.
Er is dus ook geen prognose te maken over hoeveel bedrijven uit Nederland de komende 10 jaar zullen vertrekken vanwege een tekort aan technisch geschoold personeel. Dat laat onverlet dat dit een belangrijke factor is van ons vestigingsklimaat. Het CBS heeft recent nieuwe informatie verzameld over de outsourcing van bedrijfsonderdelen. Daarin wordt o.a. gevraagd naar «Ingenieursdiensten en gerelateerde technische diensten» en naar motieven voor verplaatsing, waaronder een tekort aan personeel. Het CBS verwacht de resultaten in april te hebben. Wellicht dat deze studie meer inzicht kan bieden over het belang van deze locatiefactor.
Uiteraard bereiken ons wel signalen, ook vanuit de casuïstiek, dat voldoende beschikbaarheid van technisch geschoold personeel een aandachtspunt in het Nederlandse vestigingsklimaat is. Dit blijkt ook uit de recent gepubliceerde Global Talent Competitiveness Index (GTCI). De GTCI is een jaarlijkse meetlat waarin het concurrentievermogen van 119 landen op het gebied van talent wordt vergeleken. Nederland scoort goed in deze ranglijst en staat op plaats 9 (vorig jaar 11e). Nederland scoort met name op het vermogen om talent te ontwikkelen (1ste plek). Op andere subonderdelen van de lijst, zoals het aantrekken van talent, het faciliteren van talent, het vermogen om talenten te binden en de beschikbare voorraden van beroeps- en technische vaardigheden en hoger opgeleiden vaardigheden, doet Nederland het goed, maar staat het net iets achter de koplopers. Onder andere via het Techniekpact zet het Kabinet zich in om de positie van Nederland op deze laatste subfactor te verbeteren (zie ook het antwoord op vraag 7).
Aangezien er geen helder beeld is over hoeveel bedrijven in de afgelopen 10 jaar vanwege een tekort aan technisch personeel zijn vertrokken, is ook geen beeld te schetsen van hoeveel niet-technische arbeidsplaatsen hierdoor zijn vervallen. Bekend is dat in technische sectoren ook werkgelegenheid is voor niet-technici. Daarnaast levert een bedrijf ook regionale werkgelegenheid op, bijvoorbeeld bij toeleveranciers en facilitaire dienstverlening.

Vraag 4

Hoeveel bedrijven zijn de afgelopen 10 jaar vanwege een tekort aan technisch opgeleid personeel vertrokken uit Nederland? Wat is de prognose voor de komende 10 jaar?

Zie antwoord vraag 3.

Vraag 5

Heeft u inzicht in hoeveel niet-technische arbeidsplaatsen er vervallen doordat bedrijven naar India zijn vertrokken of gaan vertrekken?

Zie antwoord vraag 3.

Vraag 6

Heeft u inzicht in hoe in de ons omringende landen wordt omgegaan met eventuele tekorten aan technisch opgeleid personeel? Kunt u de Kamer informeren over de in die landen toegepaste oplossingen?

Veel landen in Europa kampen met tekorten aan bèta-technisch opgeleiden en zijn, net als Nederland, zoekende naar de juiste manier om dit gat te dichten. Recent hebben geïnteresseerde landen de handen ineen geslagen in de EU STEM Coalition om informatie uit te wisselen over het dichten van het gat. Dat de Nederlandse aanpak van het Techniekpact in Europees verband wordt gezien als een voorbeeld, blijkt uit de vele buitenlandse delegaties die Nederland over dit onderwerp ontvangt en uit het feit dat landen zoals Denemarken en Estland naar Nederlands voorbeeld een eigen Techniekpact zijn gestart. Op de site van de EU Stem Coalition staan verschillende voorbeelden genoemd van aanpakken om de tekorten aan bèta-technisch personeel aan te pakken. Zie: http://www.stemcoalition.eu.

Vraag 7

In hoeverre bent u in gesprek met bedrijven over de mogelijke oplossingen voor de tekorten aan technisch personeel in Nederland? Kunt u de Kamer informeren over deze mogelijke oplossingen?

Vraag 8

Bent u voornemens om maatregelen te nemen teneinde te zorgen voor meer in de techniek opgeleide mensen? Zo ja, welke maatregelen zijn dat?

Vraag 9

Bent u van plan om maatregelen te nemen om al in het primair onderwijs leerlingen enthousiast te maken voor een technische opleiding? Zo ja, welke maatregelen zijn dat?

Vraag 10

Wat vindt u van het feit dat universiteiten een numerus fixus instellen voor technische opleidingen? Deelt u de mening dat het goed is deze beperking van instroom in technische studies met ingang van het komend schooljaar op te heffen?

Vraag 1

Bent u bekend met het feit dat in andere landen, zoals de Verenigde Staten, de verwachting is dat in bepaalde steden al in 2018 gebruik kan worden gemaakt van 5G?

Ik ben bekend met recente persberichten van onder meer AT&T en Verizon, waarin zij stellen in de loop van 2018 5G uit te rollen in een select aantal steden in de Verenigde Staten. De informatie die AT&T verstrekt is echter zodanig beperkt dat de berichtgeving moeilijk op waarde is te schatten.1 Verizon is duidelijker en stelt van plan te zijn om 5G-technologie in te zetten voor het leveren van breedbandinternet aan bewoners van drie tot vijf steden, als alternatief voor breedbandinternet over koper of kabel.2 Deze toepassing is vergelijkbaar met het huidige gebruik van de 3,5 GHz-band in bijvoorbeeld het buitengebied van Zeeland voor het leveren van breedbandinternet aan bewoners daar door middel van een zeer geavanceerde vorm van 4G.3 Verder zijn Zuid-Koreaanse mobiele telecomaanbieders van plan om demonstraties van 5G-technologie te tonen tijdens de Olympische Winterspelen van Pyeongchang.
In Nederland en andere EU-lidstaten wordt aan vergelijkbare initiatieven gewerkt rond EURO2020, terwijl Japan werkt aan initiatieven rond de Olympische Zomerspelen van 2020.

Vraag 2

Deelt u de mening dat Nederland op dit punt absoluut niet achter kan blijven en dat de uitrol van 5G zo snel mogelijk moet plaatsvinden omdat anders innovatie wordt geremd en nieuwe kansen voor CO2-reductie onbenut dreigen te blijven?

De snelle uitrol van 5G speelt een belangrijke rol bij het mogelijk maken van nieuwe diensten en dienstverleningsconcepten. Samen met andere technologieën, zoals LoRaWAN en ITS-5G wordt zo de communicatie-infrastructuur ontwikkeld voor innovatie in allerlei sectoren.4 De visie voor 5G is dat mobiele netwerken straks ook diensten kunnen leveren waar op dit moment nog «dedicated» netwerken voor bestaan, zoals portofoonnetwerken die onder meer worden gebruikt in de evenementen-, beveiligings- en mediasector. Verder moet 5G diensten en dienstverleningsconcepten mogelijk maken die op dit moment in ontwikkeling zijn, zoals inspecties op afstand, monitoring door middel van grote hoeveelheden sensoren, en zelfrijdende auto’s. Afhankelijk van de precieze toepassing kan dit ook een bijdrage leveren aan CO2-reductie. Later dit jaar kom ik met een Actieplan Digitale Connectiviteit. Daarin zal ik acties aankondigen ten behoeve van de juiste randvoorwaarden voor verdere uitrol van vaste en mobiele netwerken in Nederland, waaronder dus ook 5G.
Voor de uitrol van 5G in Nederland is beschikbaarstelling van diverse frequenties van belang. Zo wordt voor de 700 MHz-, 3,5 GHz- en de 26 GHz-banden 5G technologie ontwikkeld. Ik werk reeds aan het landelijk beschikbaar stellen van de 700 MHz-band per 2020. Tevens bereid ik het beschikbaar stellen van de 26 GHz-band voor om na EU-besluitvorming over die band – naar verwachting later dit jaar – de inzet van 5G met die frequenties mogelijk te maken in heel Nederland.
Daarnaast en daaropvolgend zal 5G naar verwachting ook worden uitgerold in de frequentiebanden waar vandaag de dag 2G, 3G, en 4G mee worden aangeboden (800 MHz, 900 MHz, 1.800 MHz, 2.100 MHz en 2.600 MHz).

Vraag 3

Bent u in gesprek met de Autoriteit Consument en Markt (ACM) over mogelijke manieren om het door u aangekondigde uitstel van de Nota Mobiele Communicatie1 en de mede daarop te baseren besluitvorming rondom de frequentieveilingen alsnog zo min mogelijk vertraging te laten oplopen?

Ja.

Vraag 4

Kunt u nader toelichten waarom dit uitstel nodig is, of het echt onvermijdelijk is en uiteenzetten wat voor u de uiterste datum is waarop betrokken partijen én de Kamer geïnformeerd dienen te zijn over op zijn minst de voorgenomen opzet van de frequentieveilingen?

Door de aangekondigde overname van Tele2 door T-Mobile is onzeker hoe de markt er over een aantal maanden uit ziet en daarmee of, en zo ja welke maatregelen er getroffen moeten worden om een effectief concurrerende markt te waarborgen. Bij de inrichting van een frequentieveiling is het van het grootste belang om te weten hoe de concurrentiesituatie in de markt is, en welke voorwaarden er eventueel moeten worden gesteld om een effectief concurrerende markt te waarborgen of verbeteren. De Nota Mobiele Communicatie zet uiteen hoe ik dat bij de aankomende frequentieveilingen ga doen. Frequentieveilingen zijn namelijk bij uitstek vormende momenten voor de concurrentiesituatie in de (mobiele) telecommarkt. Ze bepalen de verhoudingen tussen de diverse marktpartijen. Immers, meer frequenties hebben dan je concurrent betekent dat je meer capaciteit in je netwerk hebt. Dat vertaalt zich onder meer in de mogelijkheid om hogere snelheden en grotere databundels aan klanten te kunnen bieden, en de prijs die een marktpartij daarvoor moet rekenen.
De ACM heeft laten weten dat zij mij pas van advies kan voorzien zodra een besluit is genomen over de aangekondigde overname van Tele2. Om deze reden kan ik nog geen datum geven, ook niet een uiterste. Ik streef er naar om ongewenste vertragingen te voorkomen. De frequentiebanden die geveild worden, komen beschikbaar vanaf 2020 en ik streef ernaar dat vanaf die datum ook daadwerkelijk gebruik kan worden gemaakt van deze belangrijke frequenties. Tegelijkertijd geldt wel dat de voorbereiding van de veiling een zorgvuldig proces behoeft, met betrokkenheid van belanghebbende partijen en uw Kamer, waardoor het nog spannend kan worden om de veiling tijdig te realiseren en uit te voeren. Bij beantwoording van de motie Weverling c.s. zal ik de Tweede Kamer verder informeren over mijn planning.6

Vraag 5

Bent u bereid om ook een andere optie te overwegen, namelijk door nu versneld twee scenario’s uit te werken: een scenario waarin er sprake is van een goedkeuring van Nederlandse en Europese mededingingsautoriteiten voor de overname van Tele2 door T-Mobile Nederland en een scenario waarin dat niet het geval is? Bent u bereid om op basis van deze twee scenario’s toch al de Nota Mobiele Communicatie uit te brengen en twee verschillende opzetten voor de frequentieveilingen te publiceren, zodat er niet nodeloos tijd verloren gaat, partijen tijdig geïnformeerd worden en – niet op de laatste plaats – voorkomen wordt dat de Kamer vanwege tijdsdruk voor (bijna) voldongen feiten wordt geplaatst? Zo nee, waarom niet?

Ik herken de scenario’s die u noemt. Goedkeuring van de overname kan echter onder tal van verplichtingen en/of voorwaarden worden verleend, en sommige daarvan raken rechtstreeks aan de vormgeving van de aanstaande veiling. Er zijn dus nog tal van sub-scenario’s denkbaar. Ik wijs bijvoorbeeld op de voorwaarde die de Europese Commissie stelde aan haar goedkeuring voor de fusie tussen Hutchison3G en Orange in Oostenrijk. Hierbij werd goedkeuring enkel verleend onder de voorwaarde dat de Oostenrijkse toezichthouder bij de eerstvolgende frequentieveiling vergunningen reserveerde voor een nieuwe partij.7 Het is onwenselijk om voor alle mogelijke (sub)scenario’s de opzet van de veiling uit te werken en te publiceren. Door te speculeren over de mogelijke besluitvorming van de Europese Commissie en/of de ACM zou ik hun besluitvormingsproces frustreren. Voorts zouden derden de indruk kunnen krijgen dat ik op basis van voorkennis bepaalde scenario’s wel of niet beschouw. Dat kan onder meer van invloed zijn op beurskoersen waardoor aandeelhouders onnodig worden geschaad, of op besluiten van financiers om al dan niet kapitaal te verschaffen aan Tele2, T-Mobile, of hun concurrenten.

Vraag 6

Is er inmiddels al zicht op een concrete oplossing voor het satellietgrondstation in Burum en wanneer kan de Kamer daarover nadere informatie tegemoet zien?

Ik ben op dit moment in gesprek met de Ministers van Defensie en Binnenlandse Zaken en Koninkrijksrelaties die beide belang hebben bij de activiteiten in Burum om te onderzoeken welke oplossingsmogelijkheden ter hand kunnen worden genomen. Zoals gevraagd in de motie Weverling c.s. zal uw Kamer uiterlijk voor de Voorjaarsnota op de hoogte worden gebracht van de eerste voortgang hierin.

Vraag 7

Bent u nu al in staat en bereid de garantie af te geven dat deze kwestie geen vertraging zal opleveren voor de uitrol van 5G in Nederland (boven de lijn Amsterdam–Zwolle)?

Voor wat betreft de uitrol van 5G in de 3,5 GHz band in heel Nederland kan een dergelijke garantie alleen bij volledig inzicht in de consequenties van de uitrol voor het grondstation worden gegeven. Zoals gezegd is daarvoor eerst grondig onderzoek noodzakelijk.

Vraag 1

Hebt u kennisgenomen van het bericht «Cybersecurity hoogleraren vrezen dat Nederland digitaal onder water komt te staan» en het bijbehorende position paper?1

Ja.

Vraag 2

Hoe verklaart u dat Nederland zo weinig investeert in wetenschappelijk onderzoek naar digitale veiligheid? Onderschrijft u dat het onderzoeksgeld in Nederland in het niet valt bij de investeringen die de Duitse overheden doen in onder andere het Helmholtz Center in Saarbrücken, Center for Advanced Security Research (CASED) in Darmstadt en Forschungszentrum Cyber Defence (CODE) in München? Herkent u het beeld dat topwetenschappers de Nederlandse universiteiten daardoor verlaten?

Vraag 3

Welke langetermijngevolgen kan dit hebben voor de digitale veiligheid van de Nederlandse samenleving?

Vraag 4

Hoe past het idee van een kennisfonds voor onderzoeksgroepen in de prioriteit die cybersecurity heeft gekregen in het regeerakkoord? Vindt u een bedrag van € 6 miljoen per jaar realistisch als aanzet voor zo’n fonds? Welke ambitie heeft u als het gaat om leerstoelen voor cybersecurity?

Vraag 5

Als de Kamer een gerichte impuls zou willen geven aan dit soort onderzoek, ligt het dan voor de hand dit via de begroting van Onderwijs, Cultuur en Wetenschap te doen? Of zou een dergelijke investering juist gedaan moeten worden via het topsectorenbeleid, dan wel via een van de ministeries die zich bezighouden met cybersecurity?

Vraag 6

Bent u bereid deze vragen te beantwoorden voor de aanstaande begrotingsbehandelingen van de ministeries van Onderwijs, Cultuur en Wetenschap, Economische Zaken en Klimaat en Justitie en Veiligheid?

Vraag 1

Kent u het onderzoek van de Consumentenbond waaruit blijkt dat bedrijven ongevraagd klantgegevens met Facebook delen?1

Ja.

Vraag 2

Hoeveel bedrijven delen hun gegevens ongevraagd met Facebook of andere online platforms? Hoeveel gegevens van klanten zijn hier bij betrokken?

Facebook heeft desgevraagd geen cijfermatige informatie verstrekt over het delen van klantgegevens door bedrijven met Facebook.

Vraag 3

Hoeveel bedrijven sluiten geen overeenkomst met Facebook af waarin de voorwaarden voor het gebruik van gegevens zijn vastgelegd terwijl zij wel gebruikersgegevens delen?

Zie antwoord vraag 2.

Vraag 4

Deelt u de mening dat direct marketing niet als zwaarwegend bedrijfsbelang moet worden gezien en dat deze bedrijven hiermee de Wet bescherming persoonsgegevens (Wbp) overtreden? Zo nee, waarom niet?

Om een rechtmatigheidsoordeel te kunnen vellen, is (nader) onderzoek nodig naar de wijze waarop de bedrijven persoonsgegevens van betrokkenen verwerken. Met het toezicht op de naleving en de handhaving van de Wet bescherming persoonsgegevens heeft de wetgever de onafhankelijke Autoriteit Persoonsgegevens belast, die als onafhankelijke toezichthouder zelf haar prioriteiten bepaalt. Naar aanleiding van het onderzoek van de Consumentenbond heeft de Autoriteit Persoonsgegevens laten weten dit signaal serieus te nemen; zij doet echter geen uitspraken over de vraag of zij ook zelf een onderzoek zal instellen.
Het is aan de Autoriteit Persoonsgegevens om te beoordelen of bij Facebook Custom Audience targeting sprake is van een gerechtvaardigd belang waarop de gegevensverwerking kan worden gebaseerd.

Vraag 5

Hoe vaak heeft de Autoriteit Persoonsgegevens in de afgelopen vijf jaar sancties opgelegd aan bedrijven die op deze manier de Wbp overtreden? Hoe hoog waren eventuele opgelegde dwangsommen en boetes? In welke mate verschilt het aantal overtredingen van het aantal opgelegde dwangsommen en boetes? Kunt u een verklaring geven voor dit verschil?

Per 1 januari 2016 kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Tot op heden heeft zij van die bevoegdheid nog geen gebruik gemaakt. In haar jaarverslagen heeft zij opgenomen in hoeveel trajecten sprake was van een last onder dwangsom (https://autoriteitpersoonsgegevens.nl/nl/publicaties/jaarverslagen). De AP laat weten dat door haar onderzochte bedrijven en organisaties veelal al maatregelen nemen om de geconstateerde overtredingen te beëindigen naar aanleiding van het voornemen tot het opleggen van de last en de daarop volgende hoorzitting.

Vraag 6

Deelt u de mening dat, indien het aantal beboete bedrijven laag is, het begrip «zwaarwegend bedrijfsbelang» nader dient te worden geduid zodat helder is dat direct marketing zonder toestemming van klanten niet toegestaan is?

Hiervoor verwijs ik u naar het antwoord op vraag 4.

Vraag 7

Welke mogelijkheden hebben klanten die op deze wijze worden benadeeld om het bedrijf dat de gegevens heeft doorgespeeld naar een online platform de direct marketing te laten stoppen?

De betrokkene kan vragen om de gegevensverwerking voor deze doeleinden te beëindigen. Indien het gegevensverwerking in het kader van direct marketing betreft, kan verzet worden aangetekend op grond van artikel 41 van de Wbp. Indien de gegevensverwerking was gebaseerd op toestemming, kan de toestemming worden ingetrokken op grond van artikel 5, tweede lid, van de Wbp. In beide gevallen moet de verwerking van de persoonsgegevens eindigen. Het is niet nodig dat de betrokkene een motivering geeft. Vanaf 25 mei 2018 – als de Algemene verordening gegevensbescherming van toepassing wordt – kunnen betrokkenen een klacht indienen bij de AP indien zij menen dat onrechtmatig met hun persoonsgegevens wordt omgegaan.

Vraag 8

Welke stappen gaat u ondernemen om ervoor te zorgen dat bedrijven zich ook op dit vlak aan de Wbp gaan houden?

Hiervoor verwijs ik u naar het antwoord op vraag 4.

Vraag 1

Herinnert u zich dat u op 8 februari 2017 het volgende aan de Kamer schreef: «Naar aanleiding van de signalen over mogelijke onregelmatigheden bij de aanbesteding van de ondersteuning van het programma Broedkamer, heb ik een extern forensisch onderzoek in gang gezet naar deze aanbestedingsprocedure. Bij het uitzetten van de opdracht wordt er op gelet dat de uitvoerende partij onafhankelijk is ten opzichte van alle deelnemers aan de aanbesteding en niet eerder op enigerlei wijze betrokken is geweest. In het onderzoek zal onder meer aandacht worden besteed aan de rechtmatigheid en ordelijkheid van de aanbestedingsprocedure zelf, aan mogelijke voorkennis over de opdracht bij de leverancier waaraan de opdracht is gegund en mogelijke banden tussen medewerkers van de Belastingdienst en van de gekozen leverancier. Het onderzoek wordt verricht in opdracht van de directeur-generaal Belastingdienst en ondersteund door een begeleidingscommissie. Mocht uit dit onderzoek blijken dat sprake is van een vermoeden van een strafbaar feit, dan zal daarvan aangifte worden gedaan. De onderzoeker wordt verzocht zijn rapport half mei op te leveren»?1

Ja.

Vraag 2

Wie voert het extern forensisch onderzoek uit? Welke uiterste leveringstermijn is bij de opdrachtverlening gegeven?

Het onderzoek wordt uitgevoerd door advocatenkantoor NautaDutilh. In het contract is geen opleverdatum opgenomen, omdat vooraf moeilijk een schatting kon worden gemaakt van de omvang van de met de opdracht gemoeide werkzaamheden. In eerst instantie is aan de onderzoekers gevraagd het rapport medio mei op te leveren. Ik heb uw Kamer in april en juni geïnformeerd over het feit dat het onderzoek langer duurt dan voorzien en over de redenen voor de uitloop.2

Vraag 3

Heeft u een tussentijdse rapportage ontvangen? Zo ja, kunt u die aan de Kamer doen toekomen?

Ik heb geen tussentijdse rapportages ontvangen, omdat dat niet past in het onafhankelijke en forensische karakter van het onderzoek. Periodiek heeft overleg plaatsgevonden tussen NautaDutilh en de begeleidingscommissie over de voortgang van het onderzoeksproces.

Vraag 4

Kunt u de brieven, mails en rapporten die zijn uitgewisseld tussen de onderzoekers en de begeleidingscommissie en anderen bij de rijksoverheid aan de Kamer doen toekomen?

Het onafhankelijke onderzoek bevindt zich in een afrondende fase. De onderzoekers leggen de bevindingen vast in een rapportage en geven een verantwoording over het onderzoek, waarin ook zal worden ingegaan op de medewerking van het ministerie en de looptijd van het onderzoek. Zodra ik het rapport heb ontvangen zal ik uw Kamer informeren en het rapport toesturen.

Vraag 5

Heeft u aangifte gedaan naar aanleiding van tussentijdse signalen? Zo ja, wanneer en tegen wie?

Tijdens van het onderzoek naar de aanbestedingsprocedure voor de Broedkamer heb ik geen signalen ontvangen. Of het nodig is om aangifte te doen of andere acties te ondernemen kan daarom ook pas na afronding van het onderzoek worden bepaald.
In mijn brief van 8 februari 20173 heb ik aangegeven dat bezien zou worden hoe de checks en balances in het inkoopproces versterkt zouden kunnen worden. Dat heeft geleid tot een aantal maatregelen:

Vraag 6

Heeft u naar aanleiding van het onderzoek andere actie ondernomen? Zo ja, welke actie?

Zie antwoord vraag 5.

Vraag 7

Kunt u aangeven wat u vindt van het feit dat in de voorlopers van de Broedkamer:

Dat belastinggegevens van zeer veel belastingplichtigen beschikbaar waren bij de Broedkamer (waaronder begrepen de voorlopers daarvan) is een direct gevolg van het karakter van dit programma. Het in samenhang analyseren van deze gegevens was de basis voor uit te voeren toezicht op naleving van de belastingwetgeving.
Er waren bij de Broedkamer 18 medewerkers met een USB-ontheffing die ook gebruik maakten van de analyseomgeving AWS, waarin ook persoonsgegevens stonden. Dit waren alleen interne medewerkers. De USB-ontheffingen zijn inmiddels in de hele Belastingdienst ingetrokken en er geldt een zeer stringent beleid voor het verstrekken van nieuwe ontheffingen. Bij de afdeling D&A zijn sinds intrekking in februari 2017 geen ontheffingen meer verleend. Van USB-sticks werd wel gelogd dat zij gebruikt werden, maar niet de inhoud van het dataverkeer.
De servers waarop zich de gegevens bevonden stonden in beveiligde ruimtes die niet voor alle belastingdienstmedewerkers toegankelijk waren. Toegang tot de kantoorruimtes van het programma Broedkamer was voor belastingdienstmedewerkers mogelijk met een Rijkspas.
Dat medewerkers gegevens naar buiten konden mailen vanuit de analyseomgeving was niet conform de beveiligingsvoorschriften van de Belastingdienst. Deze mogelijkheden zijn dan ook afgesloten.
Dat geen besluitvorming is aangetroffen over opvolging van signalen over risico’s voor oneigenlijk gebruik of het buiten de Belastingdienst brengen van gegevens past bij de indruk dat bij de Broedkamer sprake was van een werkwijze waarin het resultaat centraal stond en ten koste ging van zorgvuldige omgang met gegevens. Het management heeft hier onvoldoende op gestuurd en ook de technische maatregelen bleken uiteindelijk onvoldoende. Het toont aan dat er niet voldoende aandacht was voor de wijze waarop wordt omgegaan met gegevens. De IT-beveiligingsmuren om de Belastingdienst zijn hoog en stevig, maar daarbinnen moeten het besef van en de concrete maatregelen voor veilig omgaan met gegevens beter. Daarvoor zijn al verschillende maatregelen getroffen, zoals ik in de brieven van 30 juni en 2 oktober 2017 heb aangegeven.4

Vraag 8

Kunt u de «bedreigingen- en kwetsbaarhedenanalyse» die is uitgevoerd over de databeveiling bij de voorlopers van de Broedkamer in 2015 aan de Kamer doen toekomen?2

Het document waar u naar vraagt betreft een intern memo dat is gewisseld tussen ambtenaren. Ik acht het onwenselijk als communicatie tussen ambtenaren onderling onderdeel van het publieke debat wordt. Hiervoor verwijs ik ook naar de kabinetslijn in het kader van artikel 68 van de Grondwet omtrent het verstrekken van inlichtingen staat beschreven in de Kamerbrief van 25 april 2016 van de Minister van BZK6. Ik kan u wel in geobjectiveerde vorm kort de strekking van het memo geven. Het memo beoogt alleen een theoretische classificatie te geven van denkbare situaties die de continuïteit en veiligheid van de werkzaamheden van de Broedkamer kunnen bedreigen.
De theoretische classificaties zijn in het memo als volgt beschreven:
Bedreiging: een situatie die een nadelige invloed kan hebben op het betrouwbaar functioneren van (een deel van) de bedrijfsvoering.
Kwetsbaarheid: hoe gevoelig ben je voor de bedreiging, in relatie tot de preventieve maatregelen die je getroffen hebt.
Hoofdsoorten bedreigingen:
Kans (zonder preventieve maatregelen):
Zeer laag: Kans van optreden gemiddeld eens per 1.000 jaar
Laag: Kans van optreden gemiddeld eens per 100 jaar
Midden: Kans van optreden gemiddeld eens per 10 jaar
Hoog: Kans van optreden gemiddeld eens per 5 jaar
Zeer hoog: Kans van optreden gemiddeld eens per jaar
Kwetsbaarheid niveau (met preventieve maatregelen):
Laag: Kans dat ernstige schade geleden wordt is minder dan 25%
Midden: Kans dat ernstige schade geleden wordt ligt tussen 25% en 50%
Hoog: Kans dat ernstige schade geleden wordt is groter dan 50%
Het memo bevat niet de uitkomst van een analyse van de feitelijke bedreigingen en kwetsbaarheden van de Broedkamer. Ter illustratie is een overzicht van denkbare situaties bijgevoegd.

Vraag 9

Kunt u het rapport «investigating data streams» van Oliver Wyman uit 2015 aan de Kamer doen toekomen? Kunt u een reactie geven op de bevindingen daarin en de opvolging die daaraan is gegeven?

De onderzoekers concluderen dat de aanbevelingen in de onderzochte periode niet zijn opgevolgd in formele besluiten. Dat is de periode daarna, in juni 2016, wel gebeurd. In lijn met de hoofdaanbevelingen in het rapport heeft de toenmalige Raad van Bestuur van de Belastingdienst in juni 2016 besloten een Datamanagement Forum in te richten bij de Belastingdienst, met als opdracht om integraal datamanagement vorm te geven. Eind 2016 is dit van start gegaan. Binnen de structuur van het Forum worden operationele en beleidsmatige kwesties rond gebruik van gegevens behandeld. De eerste resultaten daarvan zijn de ontwikkeling van een beleidsvisie op het omgaan met gegevens en het oplossen van een aantal concrete operationele kwesties rond gebruik van gegevens.
De activiteiten die in het kader van het Datamanagement Forum worden verricht, krijgen een plaats in de nieuwe structuur van de Belastingdienst. Datamanagement (waarvan informatiebeveiliging onderdeel uitmaakt) wordt in alle lagen van de Belastingdienst doorgevoerd: in strategie, uitvoering en control.
Gelet op de aard van dit rapport en de mogelijke risico’s van brede verspreiding, stuur ik het gehele rapport nu ter vertrouwelijke inzage aan de Kamer7. Ik streef ernaar u voorafgaand aan het Algemeen Overleg op woensdag 25 oktober een openbare8 versie te sturen waarin de vertrouwelijke passages onzichtbaar gemaakt zijn.

Vraag 10

Kunt u een appreciatie geven bij elk van de bevindingen van «het Rapport van bevindingen onderzoek informatiebeveiliging programma Broedkamer en voorlopers»?

De appreciatie van de bevindingen uit de twee onderzoeken heb ik gegeven in de brief van 2 oktober 2017.

Vraag 11

Van welke datalekken die zijn geconstateerd, is aangifte gedaan bij de autoriteitspersoonsgegevens? Kunt u per geconstateerde datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Over de periode van de Broedkamer is één geval geconstateerd waarin gegevens via e-mail buiten de Belastingdienst zijn gebracht. Dit geval is niet gemeld bij de Autoriteit Persoonsgegevens, omdat hierbij geen sprake was van persoonsgegevens maar van gegevens van bedrijven, zonder vermelding van de bedrijfsnaam.
Ik neem aan dat in vraag 15 wordt gedoeld op de periode van de afdeling D&A. Op 2 februari 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van een vermoedelijk datalek op grond van de mededeling van het programma Zembla dat het beschikte over een USB-stick met een groot aantal documenten. Op 29 juni 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van 11 incidenten die mogelijk als datalek te kwalificeren waren. Deze melding is gedaan op grond van tussentijdse bevindingen in het onderzoek naar gegevensgebruik bij D&A.

Vraag 12

Welke maatregelen zijn er genomen tegen de medewerkers van de Belastingdienst die via bankrekeningnummers gegevens van belastingplichtigen en gegevens van VIP’s hebben opgevraagd?3

In de onderzoeksrapporten wordt een aantal gevallen genoemd waar mogelijk sprake was van niet-functionele gegevensopvragingen. Deze zijn vervolgens nader onderzocht. Bij deze nadere analyse zijn geen indicaties gevonden dat de persoonsgegevens niet functioneel zijn gebruikt. Er zijn om die reden geen maatregelen getroffen tegen de desbetreffende medewerkers.

Vraag 13

Kunt u een appreciatie geven van elk van de bevindingen in het «Rapport van bevindingen onderzoek gegevensgebruik D&A»?

Zie antwoord vraag 10.

Vraag 14

Hoe vaak hebben medewerkers gezocht naar de gegevens van individuele belastingplichtigen? Welke acties zijn ondernomen tegen deze medewerkers?

Zie antwoord vraag 12.

Vraag 15

Van welke datalekken die zijn geconstateerd is aangifte gedaan bij de Autoriteit Persoonsgegevens? Kunt u per geconstateerd datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Zie antwoord vraag 11.

Vraag 16

Kunt u een overzicht geven van de signalen die klokkenluiders gegeven hebben over de beveiliging van de gegevens bij de Broedkamer en haar voorlopers en wat er met deze signalen gebeurd is?

In het onderzoek naar gegevensgebruik bij de Broedkamer en voorlopers hebben de onderzoekers signalen over risico’s en feiten ten aanzien van het daadwerkelijk oneigenlijk gegevensgebruik of het buiten de Belastingdienst brengen van gegevens geïnventariseerd. Zij hebben zich gericht op drie typen bronnen. Het eerste type betrof memo’s en mailberichten. Hierin werden vier signalen aangetroffen over vermeend onveilige hardware en vermeende aanschaf van hardware buiten de gebruikelijke inkoopprocedure. Het tweede type betrof twee rapporten van Oliver Wyman en Liquid Hub waarin adviezen en randvoorwaarden voor inrichting van de Broedkamer waren opgenomen; deze adviezen gingen ook over de beveiliging. Er is in de periode waarover het onderzoek zich uitstrekt geen formele besluitvorming aangetroffen over maatregelen naar aanleiding van de signalen uit deze twee typenbronnen. Over het rapport van Oliver Wyman heeft buiten de onderzoeksperiode wel besluitvorming plaatsgevonden (zie het antwoord op vraag10.
Het derde type betrof het logboek van beveiligingsincidenten. Bij analyse van dit logboek zijn door de onderzoekers geen incidenten aangetroffen die het buiten de Belastingdienst brengen van gegevens betroffen.
Overigens is nooit met zekerheid te zeggen dat een dergelijk overzicht volledig is, omdat men uiteraard geen kennis kan hebben van wat men niet gezien heeft.

Vraag 17

Waarom verklaarde u in de Kamer dat er actief gemonitord is, terwijl uit de onderzoeken blijkt dat er in het geheel geen monitoring heeft plaatsgevonden?

Zoals ik in mijn brief van 2 oktober 2017 heb aangegeven, heeft wel monitoring plaatsgevonden, maar deze was dominant gericht op de continuïteit in de bedrijfsvoering en op monitoring van kwaadaardige invloeden van buiten naar binnen. Monitoring van e-mailverkeer op het buiten de Belastingdienst brengen van persoonsgegevens vond niet systematisch plaats.

Vraag 18

Kunt u deze vragen een voor een beantwoorden en voor dinsdag 24 oktober 2017 te 11 uur aan de Kamer doen toekomen?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het artikel «Hacker steelt Australische JSF-bestanden»?1

Ja.

Vraag 2

Kunt u bevestigen dat er bij de Australische krijgsmacht informatie is gestolen over het F-35 project? Onderschrijft u de lezing van uw Australische collega dat hierbij geen sprake is geweest van diefstal van uiterst geheime informatie die de nationale veiligheid in gevaar brengt? Kunt u uw antwoord toelichten?

In het desbetreffende artikel wordt gesproken over een inbraak in het computernetwerk van een Australische leverancier. Deze is bij het F-35 programma betrokken via commerciële contracten met onderleveranciers van de Amerikaanse hoofdcontractanten. De Australische krijgsmacht is geen partij bij die contracten. Uit onderzoek dat Australië naar de toedracht van het incident heeft ingesteld, is gebleken dat de F-35 gegevens waartoe mogelijk toegang is verkregen geen gerubriceerde (geheime) informatie bevatten.

Vraag 3

Had hierbij informatie gestolen kunnen worden die de Nederlandse nationale veiligheid had kunnen bedreigen, nu of in de toekomst? Zo ja, heeft u de garantie dat dit niet gebeurd is?

Het verlies van niet-gerubriceerde informatie brengt de nationale veiligheid niet in gevaar.

Vraag 4

Om wat voor documenten ging het wel en welke waarde kunnen die documenten hebben voor derden, waaronder andere landen? Geven de documenten bijvoorbeeld belangrijke informatie over technische specificaties, waarmee derden een F-35 of onderdelen daarvan zouden kunnen ontwerpen/bouwen, of waarmee offensieve of defensieve capaciteiten van de F-35 kwetsbaar worden? Kunt u uw antwoord toelichten?

Er zijn geen details over de niet-gerubriceerde F-35 informatie verstrekt. Informatie benodigd voor het ontwerp en de bouw van complexe onderdelen, alsmede informatie over de capaciteiten van de F-35 is hoog-gerubriceerd (geheim/zeer geheim). Tot dergelijke informatie is blijkens het onderzoek geen toegang verkregen.

Vraag 5

Welke protocollen bestaan er binnen de internationale F-35 projectgroep bij eventuele diefstal van informatie? Zijn deze effectief gebleken?

Verlies van informatie wordt behandeld als een veiligheidsincident, waarnaar het desbetreffende partnerland en/of het Joint Program Office (JPO) altijd een onderzoek instelt. Hierbij bepaalt de ernst van het incident de omvang en diepgang van het onderzoek. Onderzoeksuitkomsten die relevant zijn voor de internationale F-35 projectgroep, waartoe ook Nederland behoort, worden aan de groepsleden beschikbaar gesteld om soortgelijke incidenten in de toekomst te voorkomen. Aangezien het bij dit incident informatie van een commerciële partij betrof, zijn de International Traffic in Arms Regulations (ITAR) van toepassing en is in eerste instantie melding gemaakt van het incident in de commerciële keten van de Australische leverancier, andere betrokken contractpartijen en de hoofdcontractant.

Vraag 6

Bestaan er binnen de internationale F-35 projectgroep bepaalde voorwaarden op het gebied van cybersecurity om als partnerland beschikking te krijgen tot de geheime informatie aangaande het F-35 project? Zo ja, voldeed Australië aan deze voorwaarden? Zo ja, dienen deze voorwaarden in het licht van dit hack dan verder aangescherpt te worden?

Het JPO ziet erop toe dat de beveiligingsmaatregelen, ook op het gebied van cybersecurity, die partnerlanden moeten toepassen op informatie die betrekking heeft op het F-35 programma, correct worden uitgevoerd. Daartoe dienen landen aan hoge veiligheidseisen te voldoen, wat voor Australië het geval is. Cybersecurity heeft bij het JPO en de F-35 partnerlanden hoge prioriteit en is een voortdurend punt van aandacht. Indien nodig worden de veiligheidseisen en maatregelen aangescherpt. Daarnaast is in de Amerikaanse International Traffic in Arms Regulations (ITAR) vastgelegd aan welke eisen commerciële bedrijven moeten voldoen voor de bescherming van informatie.

Vraag 7

Kunt u garanderen dat alle F-35 informatie in Nederland veilig is voor diefstal? Heeft u informatie gehad van uw Australische collega over dit hack en heeft dit geleid tot aanpassingen c.q. intensivering van de Nederlandse cybersecurity?

Nederland voldoet aan alle veiligheidseisen die het JPO partnerlanden oplegt voor de bescherming van F-35 informatie. Verder verwijs ik naar het antwoord op vraag 5.

Vraag 8

Wordt er nader onderzoek gedaan naar wie achter de hack heeft gezeten? Kunt u uw antwoord toelichten?

Om veiligheidsredenen kan ik niet op deze vraag ingaan en verwijs ik naar het antwoord op vraag 5.

Vraag 1

Wat is de stand van zaken van het project met de slimme camera’s in de Rotterdamse haven?1

De stand van zaken is dat de ondertekening van een convenant door de betrokken – publieke en private – partners aanstaande is. Er is dan ook geen aanleiding voor het Kabinet om nu in gesprek te gaan met deze partners. Als de vereiste handtekeningen gezet zijn, zal de – gefaseerde – uitwerking plaatsvinden en kunnen de camera's door de betreffende partners in het kader van hun onderscheidenlijke werkzaamheden uitgelezen gaan worden. Volgens de huidige planning van de partners zal na afronding van de aanbesteding de operationele realisatie van het cameraproject in de periode 2018–2021 plaatsvinden.

Vraag 2

Worden de camera’s inmiddels uitgelezen? Zo ja, wie leest deze camera’s uit? Zo nee, waarom niet?

Zie antwoord vraag 1.

Vraag 3

Klopt het dat er een patstelling is tussen de partners die het cameraproject moeten financieren? Zo ja, bent u bereid om met deze partners in gesprek te gaan zodat dit probleem snel kan worden opgelost?

Zie antwoord vraag 1.

Vraag 4

Kloppen de schattingen dat slechts eenvijfde deel van de cocaïnesmokkel wordt onderschept?

Het is mij niet bekend waarop de schatting van een vijfde is gebaseerd. Over de totale hoeveelheid cocaïne die Nederland binnenkomt heb ik geen informatie. Wel is mij duidelijk dat de handel in en smokkel van cocaïne als dreiging wordt gekwalificeerd, zoals ook door de politie is gedaan in het Nationaal Dreigingsbeeld 20172. Cijfers over inbeslagnames laten zien dat door het HARC team Rotterdam, een samenwerkingsverband van Zeehavenpolitie, Douane, FIOD en Openbaar Ministerie, met betrekking tot 2016 de inbeslagneming van 13.312 kg cocaïne is geregistreerd.

Vraag 5

Bent u het eens met het voornemen van de burgermeester van Rotterdam, om te kijken of de camera’s gekoppeld kunnen worden aan de meldkamer van de politie? Zo ja, heeft dit personele implicaties?

De beelden van de huidige camera’s in de haven van Rotterdam kunnen al worden doorgezet naar de meldkamer van de politie. Dat gebeurt indien daar aanleiding voor is, bijvoorbeeld bij incidenten of ten behoeve van de opsporing van strafbare feiten. De extra camera’s die in de haven zullen worden geplaatst kunnen op dezelfde wijze worden gekoppeld. De extra camera’s worden – zoals nu ook het geval is – niet «live» uitgekeken en dit heeft dan ook geen verdere personele implicaties.

Vraag 6

Functioneert inmiddels de «Haventafel», waarover eerder gesproken is, om de problematiek omtrent de drugsinvoer in de Rotterdamse haven te bespreken?2

De eerste bijeenkomst van de Haventafel heeft plaatsgevonden op 5 september jongstleden. Daarbij zijn goede afspraken gemaakt over de inrichting van dit publiek-private overlegmodel.

Vraag 1

Kent u het artikel «Fox IT houdt zeggenschap staat af»?1

Ja.

Vraag 2

Is het waar dat de Nederlandse overheid (mede)zeggenschap wenste over besluiten en benoemingen bij Fox Crypto, over enig besluit tot fusie, afsplitsing of ontbinding van Fox Crypto, over de zekerheid dat het ICT-systeem van Fox Crypto wordt afgescheiden van de rest van Fox IT/NCC en voorts de zekerheid dat alle lopende en nieuwe overheidsopdrachten ondergebracht worden bij Fox Crypto? Zo ja, kunt u concreet aangeven in hoeverre deze eisen inmiddels in afspraken zijn verwerkt?

Ja. Aan het verzoek om de ICT-systemen van Fox Crypto B.V. te scheiden van die van andere delen van het moederbedrijf en het onderbrengen van de lopende en nieuwe relevante overheidsopdrachten bij Fox Crypto B.V. is voldaan. De voorwaarden met betrekking tot zeggenschap en eigendom zijn nog onderwerp van nadere bespreking met Fox-IT.

Vraag 3

Klopt het dat de overheid niet langer inzet op een eerste recht op koop van aandelen in geval Fox Crypto c.q. Fox IT verkocht wordt door NCC Group? Zo ja, waarom heeft u de eis betreffende het eerste recht op koop laten vallen?

Ja, dat klopt. Het afzien van het eerste recht van koop heeft geen consequenties voor de cryptografische bescherming van staatsgeheime informatie. Er bleken doeltreffender middelen te zijn om eventueel maatregelen te nemen bij een ongewenste overname. Zo heeft het kabinet besloten tot de voorbereiding van wetgeving ter bescherming van nationale veiligheidsbelangen bij buitenlandse overnames van bedrijven die zich bezighouden met de (cryptografische) bescherming van staatsgeheime informatie, zoals Fox-IT. Dit traject bevindt zich in de verkennende fase.

Vraag 4

Is met Fox IT/NCC afgesproken dat de overheid c.q. de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) geïnformeerd wordt wanneer technologie, kennis en/of ervaring binnen Fox IT naar het Verenigd Koninkrijk wordt overgebracht?

Ja. In aanvulling hierop merk ik op dat dit reeds voortvloeit uit de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO), waarin staat dat gerubriceerde informatie niet aan anderen dan daartoe gerechtigden beschikbar mag worden gesteld. Fox Crypto B.V. voldoet aan de ABDO.

Vraag 5

Hoe verklaart u het feit dat bijna twee jaar na de overname van Fox IT door NCC nog geen sluitende afspraken over de bescherming van staatsgeheimen zijn gemaakt? Hoe beoordeelt u in dat licht de betrokkenheid van de Nederlandse regering bij de afspraken over de overname in 2015? Kunt u aangeven in hoeverre de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en MIVD destijds betrokken zijn geweest bij het beschermen van Nederlandse veiligheidsbelangen rondom het overnamebesluit?

Na de overname van Fox IT door het Britse NCC Group heeft de MIVD aan Fox IT aanvullende voorwaarden gesteld in het kader van de ABDO. Alle partijen hebben baat bij een zorgvuldige uitwerking van deze voorwaarden. De gesprekken hierover tussen Defensie en Fox IT verlopen constructief en bevinden zich in een afrondende fase.
Van het ontbreken van sluitende afspraken over de bescherming van staatsgeheimen is geen sprake. In het geval van Fox-IT is het bedrijfsonderdeel waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, een in Nederland ingeschreven B.V. Voor zowel personen, materieel, informatie als de fysieke locatie zijn onverkort Nederlandse wetgeving en contractuele eisen van kracht op het gebied van de bescherming van staatsgeheimen. Ook hier geldt dat de Staat toezicht houdt op de naleving van deze wettelijke en contractuele beveiligingseisen. Zo moeten bedrijven, die in opdracht van Defensie omgaan met bijzondere informatie, voldoen aan de ABDO. Fox Crypto B.V. voldoet aan de ABDO. In de nieuwe ABDO 2017 zijn de beveiligingseisen aangepast aan de huidige dreigingen. Hierbij krijgt het hoofdstuk Cyber prominent aandacht.
Over (eventuele) specifieke aandachtsgebieden van de AIVD en MIVD kan ik slechts uitspraken doen via de daartoe geëigende kanalen.

Vraag 6

Kunt u aangeven in hoeverre Fox IT dan wel Fox Crypto ook informatie beveiligt van ministeries die betrokken zijn bij de Brexit-onderhandelingen?

Nee. Om veiligheidsredenen ga ik niet in op specifieke vragen over de beveiliging van staatsgeheimen.

Vraag 7

Heeft u alternatieve aanbieders in kaart gebracht indien de gesprekken met Fox IT niet tot een gewenste uitkomst leiden?

Zoals gesteld (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1349) in antwoord op schriftelijke vragen van het lid Verhoeven (D66), zijn er in Nederland maar in beperkte mate alternatieve aanbieders beschikbaar voor de ontwikkeling van producten voor de cryptografische bescherming van staatsgeheime informatie.

Vraag 1

Kent u het bericht «Fox-IT houdt zeggenschap staat af»?1

Ja

Vraag 2

Klopt het dat de onderhandelingen met Fox-IT over de zeggenschap nog steeds niet zijn afgerond? Zo ja, waardoor komt dit?

Na de overname van Fox IT door het Britse NCC Group heeft de MIVD aan Fox IT aanvullende voorwaarden gesteld in het kader van de ABDO. Alle partijen hebben baat bij een zorgvuldige uitwerking van deze voorwaarden, waaronder de voorwaarden over zeggenschap en eigendom. De gesprekken hierover tussen Defensie en Fox IT verlopen constructief en bevinden zich in een afrondende fase. Van een plan B is daarom geen sprake.

Vraag 3

Klopt het dat Fox-IT en de Britse eigenaar NCC Group bezwaar hebben tegen het in de statuten opnemen van de vereisten dat de verkoop van het bedrijfsonderdeel en/of de benoeming van nieuwe bestuurders alleen na instemming van het Ministerie van Defensie zou mogen geschieden? Zo ja, waarom hebben Fox-IT en de NCC Group hier bezwaar tegen?

Zie antwoord vraag 2.

Vraag 4

Klopt het dat de overheid de eis, om bij eventuele verkoop van het bedrijfsonderdeel van Fox-IT waar de staatsgeheimen worden bewaard, als eerste de aandelen te mogen kopen heeft laten varen? Zo ja, waarom worden deze eisen nu niet meer gesteld? Wat zijn de mogelijke consequenties voor de veiligheid van Nederlandse staatsgeheimen wanneer niet aan deze eis voldaan wordt?

Ja, dat klopt. Het afzien van het eerste recht van koop heeft geen consequenties voor de cryptografische bescherming van staatsgeheime informatie. Er bleken doeltreffender middelen te zijn om eventueel maatregelen te nemen bij een ongewenste overname. Zo heeft het kabinet besloten tot de voorbereiding van wetgeving ter bescherming van nationale veiligheidsbelangen bij buitenlandse overnames van bedrijven die zich bezighouden met de (cryptografische) bescherming van staatsgeheime informatie, zoals Fox-IT (Kamerstuk 30 821, nr. 38). Dit traject bevindt zich in de verkennende fase.

Vraag 5

Hoe wordt gewaarborgd dat de randvoorwaarden die van te voren zijn opgesteld om de staatsgeheimen op een veilige manier bij Fox-IT onder te brengen worden nagekomen?

In het geval van Fox-IT is het bedrijfsonderdeel waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, een in Nederland ingeschreven B.V. Voor zowel personen, materieel, informatie als de fysieke locatie is onverkort Nederlandse wetgeving en contractuele eisen op het gebied van bescherming van staatsgeheimen van kracht. De Staat houdt toezicht op de naleving van deze wettelijke en contractuele beveiligingseisen.
Bedrijven die in opdracht van Defensie omgaan met bijzondere informatie, moeten voldoen aan de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). Fox Crypto B.V. voldoet aan de ABDO. In de nieuwe ABDO 2017 zijn de beveiligingseisen aangepast aan de huidige dreigingen. Hierbij krijgt het hoofdstuk Cyber prominent aandacht.

Vraag 6

Welke mogelijke consequenties zijn er wanneer u met Fox-IT niet uit de onderhandelingen komt? Ligt er een plan B klaar voor dit geval? Zo ja, wat is dit plan B? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 7

Zijn er meer van dit soort situaties waarbij de Nederlandse overheid problemen ondervindt met buitenlandse overnames van bedrijven die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt? Zo ja, welke situaties betreft dit?

Vraag 8

Hoe wordt voorkomen dat er in de toekomst opnieuw problemen ontstaan in de samenwerking met bedrijven in sectoren die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt? Kunt u daarbij ingaan op de conclusies van onderzoekers van de Radboud Universiteit in Nijmegen in het rapport «Vitale Vennootschappen in Veilige Handen»?

Vraag 9

Hoe zijn de belangen van de samenleving in dit proces gewaarborgd door een onafhankelijke toetsing? Ziet u hier een rol weggelegd voor de commissie Toezicht Inlichtingen en Veiligheid? Zo nee, waarom niet?

Vraag 1

Kent u het bericht «Reclameborden op A'dam CS weten wanneer en hoelang jij kijkt»?1

Ja.

Vraag 2

Hoeveel slimme reclameborden gebruiken Exterion en eventuele andere exploitanten in Nederland?

NS heeft aangegeven dat er op 21 september 2017 74 van dit type reclameborden op treinstations stonden. Het is op voorhand niet zeker of er sprake is van verwerking van persoonsgegevens, omdat niet duidelijk is of de camera's identificeerbare beelden verwerken. Alle exploitanten dienen zich, wanneer zij persoonsgegevens verwerken, te houden aan de hiervoor geldende wet- en regelgeving. Wanneer een exploitant zich hier niet aan houdt, kan dit een reden zijn voor de Autoriteit Persoonsgegevens om vragen te stellen, onderzoek te doen en eventueel een sanctie op te leggen. De Autoriteit Persoonsgegevens heeft aangekondigd informatie in te winnen en, indien hier aanleiding voor is, maatregelen te nemen. Alle borden vallen binnen de bevoegdheid van de Autoriteit Persoonsgegevens.
Het is ons niet bekend hoeveel van de in het bericht bedoelde type reclameborden worden gebruikt door Exterion en eventuele andere exploitanten in Nederland, noch welke data en technieken hiervoor worden gebruikt. Naar aanleiding van de maatschappelijke onrust heeft Exterion overigens bekend gemaakt dat de camera's voorlopig zijn uitgeschakeld.2

Vraag 3

Welke data verzamelen de slimme reclameborden van Exterion op Amsterdam Centraal en welke technieken worden hiervoor gebruikt?

Zie antwoord vraag 2.

Vraag 4

Kunnen mensen voorkomen dat hun beeltenis gekoppeld wordt aan andere gegevens die door apparaten worden uitgezonden? Zo ja, hoe?

Wij hebben geen aanwijzing dat er gegevens die door apparaten worden uitgezonden, worden gekoppeld aan de beeltenis van mensen.

Vraag 5

In welke mate gebruiken staatsdeelnemingen en andere bedrijven digitale volgsystemen en welke data wordt hiermee verzameld? Deelt u de mening dat bedrijven dit alleen zouden moeten kunnen doen als zij hiervoor uitdrukkelijk toestemming hebben van burgers via een «opt-in» van gebruikers?

Staatsdeelnemingen verschillen in hun rechtspositie onder de Wbp niet wezenlijk van andere bedrijven. Het is in zijn algemeenheid niet mogelijk om een overzicht te geven van bedrijven die data verzamelen, noch van de technieken waarmee data worden verzameld. Dit is immers geen limitatieve verzameling van bedrijven en technieken. Staatsdeelnemingen en andere bedrijven dienen in al hun handelen, en daarmee ook in de verwerking van persoonsgegevens, binnen de grenzen van de wet te blijven. Verwerking van persoonsgegevens is alleen toegestaan wanneer dit rechtmatig geschiedt voor een welbepaald doel en proportioneel is. Toestemming of «opt-in» is hiervoor één van de grondslagen, maar niet de enige. De verwerking van persoonsgegevens kan bijvoorbeeld ook noodzakelijk zijn voor de uitvoering van een overeenkomst, voor het vervullen van een wettelijke plicht, of in het gerechtvaardigd belang van de verwerkingsverantwoordelijke zijn. De Wbp bepaalt voor alle verwerkingsverantwoordelijken wanneer een nieuwe verwerking van persoonsgegevens moet worden gemeld. In beginsel wordt een nieuwe geautomatiseerde verwerking gemeld, tenzij een verwerking is vrijgesteld. Overigens is het in casu niet duidelijk of er sprake is van verwerking van persoonsgegevens. Wij zien geen aanleiding om staatsdeelnemingen te verplichten advies te vragen aan de Autoriteit Persoonsgegevens in andere gevallen dan in de wet is voorgeschreven.

Vraag 6

Kunt u een overzicht geven van bedrijven die data verzamelen en technieken waarmee zij data verzamelen? Zo nee, bent u bereid hier onderzoek naar te doen en dit onderzoek met de Kamer te delen?

Zie antwoord vraag 5.

Vraag 7

In hoeverre bespreekt u de exploitatie van de ruimte op stations met de NS en Prorail om ervoor te zorgen dat die exploitatie binnen de kaders van de wet plaatsvindt?

NS exploiteert de stations in Nederland. Voor een groot deel vindt de exploitatie plaats door derden. Alle exploitanten hebben zelfstandig de verplichting om voor wat betreft hun exploitatie zich te houden aan wet- en regelgeving. NS geeft aan dat zij ook in haar contracten met derden vastlegt dat deze zich dienen te houden aan wet- en regelgeving.
Het Ministerie van Infrastructuur en Milieu heeft regelmatig overleg met NS en Prorail, ook specifiek over stations. De voorliggende vragen over reclameborden zijn in het overleg niet naar voren gekomen, omdat NS geen aanleiding had te denken dat het wellicht niet binnen de kaders van de wet zou plaatsvinden.

Vraag 8

Kunt u aangeven waarom de NS zelf niet onderzoekt of de exploitatie van deze borden binnen de grenzen van de Wet bescherming persoonsgegevens (Wbp) plaatsvindt?

De exploitant Exterion is zelfstandig verantwoordelijk dat de exploitatie binnen de grenzen van de Wbp plaatsvindt. Dit geldt ook voor eventuele verwerking van persoonsgegevens met behulp van de cameratoepassing in de borden en exploitant zal daarom in dat kader zelf een afweging moeten maken. In april 2017 heeft NS naar aanleiding van een vraag van een journalist bij de exploitant van de borden, Exterion, navraag gedaan over de werking van de borden. Daarbij heeft Exterion expliciet aangeven dat met de gebruikte techniek geen beelden worden vastgelegd of persoonsgegevens worden verwerkt en dat zij voldoen aan wet- en regelgeving. Op basis van de verklaring van Exterion was er voor NS geen aanleiding om te veronderstellen dat Exterion mogelijk niet in overeenstemming met privacy wet- en regelgeving zou handelen.

Vraag 9

Vragen staatsdeelnemingen advies aan organisaties als de Autoriteit Persoonsgegevens over innovaties die mogelijk de Wbp of andere wetgeving overtreden? Zo nee, kunt u aangeven waarom dit niet gebeurt en bent u bereid hen hier opdracht toe te geven?

Zie antwoord vraag 5.

Vraag 10

Voorziet u problemen met de opkomst van dergelijke apparatuur enerzijds en de verwachte toename van het aantal apparaten met netwerktoegang door het zogenaamde «internet of things»?

De opkomst van deze apparaten en het «internet of things» hangt nauw samen met keuzes van consumenten. Wanneer in dit kader verwerking van persoonsgegevens plaatsvindt, zal dit, net als in andere situaties, wel binnen de grenzen van de wet moeten blijven. Transparantie over het gebruik van deze apparatuur is ons inziens van groot belang om consumenten in staat te stellen bewust om te gaan met het beschermen van hun privacy en te voorkomen dat hierover maatschappelijke onrust ontstaat.

Vraag 1

Wat is uw reactie op de plannen van De Nederlandsche Bank (DNB) om het databeheer uit te besteden?1 Kunt u uw antwoord toelichten?

DNB heeft veel gevoelige en (toezichts-)vertrouwelijke data in haar beheer. Daarom moeten het databeheer en de bijbehorende informatiebeveiliging van DNB van het hoogste niveau zijn, om de snel wijzigende uitdagingen op het gebied van digitalisering het hoofd te bieden. Ik vind het daarom positief dat DNB onderzoekt wat de mogelijkheden zijn om op het terrein van databeheer samen te werken met een externe partij. Omdat DNB (toezichts)vertrouwelijke data onder zich heeft, vraagt dit maximale zorgvuldigheid in de aanbestedingsprocedure en in de samenwerking met de externe partij. DNB blijft uiteindelijk zelf verantwoordelijk voor de data die zij uit hoofde van haar taak heeft verkregen.

Vraag 2

Welke scenario’s liggen er precies op tafel om de «datakluis» uit te besteden aan derden?

DNB overweegt het beheer van haar datacentrum uit te besteden aan een externe partij. Het betreft dan middelen, personeel en diensten. Het programma van eisen wordt op dit moment bepaald. Vervolgens wordt de aanbestedingsstrategie bepaald. Indien wordt besloten tot uitbesteding dan wordt de start van de aanbestedingsprocedure voorzien in het eerste kwartaal van 2018. Naast datacentrumdiensten wordt ook gekeken naar de uitbesteding van werkplekbeheer en netwerkbeheer.

Vraag 3

Wie zijn er betrokken bij het maken (en uitvoeren) van de plannen?

Deze plannen worden gemaakt in opdracht van de directie van DNB. Er is een speciaal projectteam ingesteld dat zich onder andere bezighoudt met het maken van deze plannen. De Chief Information Officer van DNB heeft de dagelijkse leiding. Onder andere een adviseur van I-interim Rijk neemt deel aan het projectteam.

Vraag 4

Onder welke voorwaarden valt deze uitbesteding, op welke wijze kan worden ingegrepen en welke middelen heeft DNB op het moment dat data in de verkeerde handen valt?

DNB streeft naar een veilige, robuuste en betrouwbare beschikbaarheid van haar ICT-systemen en data. Dit streven zal bij een uitbesteding in de contractvoorwaarden worden vertaald, waaronder in een exitclausule voor het geval DNB ontevreden is over de kwaliteit van de dienstverlenging van de externe partij. De eindverantwoordelijkheid blijft bij DNB. Het uitbesteden van databeheer vraagt daarom actieve aansturing vanuit DNB om te borgen dat haar data op de juiste manier beheerd worden.

Vraag 5

Gaat het om alle digitale gegevens die DNB wil laten uitvoeren door een derde? Kunt u de Kamer informeren welke impactstudies zijn gemaakt op alle onderdelen?

Nee, gegevens met de rubricering «staatsgeheim» zijn uitgezonderd en blijven fysiek bewaard in de kluis van DNB. DNB is van plan om haar overige digitale gegevens bij een externe partij onder te brengen, met extra waarborgen ten aanzien van informatiebeveiliging naarmate de gegevens hoger geclassificeerd zijn.
DNB heeft twee marktanalyses uitgevoerd. De eerste marktanalyse had betrekking op de sourcing naar commerciële partijen en het bepalen van een business case. Hierbij is DNB geholpen door een gerenommeerd adviesbureau. In de tweede marktanalyse is vergaand gekeken naar samenwerking met niet-commerciële partijen in Nederland (zelfstandige bestuursorganen en ministeries) en in het buitenland (met name andere centrale banken in het Europees Stelsel van Centrale Banken).
Ook is onderzocht of het voornemen van DNB in overeenstemming is met de geldende wet- en regelgeving van Nederland (waaronder de Wet op het Financieel Toezicht) en regels vanuit de Europese Centrale Bank. DNB concludeert dat dit het geval is.
Tot slot zijn er diverse referentieonderzoeken uitgevoerd bij andere centrale banken die DNB al voor zijn gegaan bij het uitbesteden van databeheer.

Vraag 6

Welke samenloop hebben deze plannen met het ontwikkelen van nieuwe zaken zoals het aandeelhoudersregister?

Het voornemen van DNB om haar databeheer uit te besteden staat los van de ontwikkeling van een centraal aandeelhoudersregister. DNB is een potentiële publieke gebruiker van het nog nader uit te werken en ontwikkelen centraal aandeelhoudersregister.

Vraag 7

Vindt u het wenselijk dat de toezichthouder op de financiële sector haar gegevens door derden laat beheren? Wat zegt het over haar positie in het veld als DNB zelf het beheer niet kan voeren? Kunt u uw antwoord toelichten?

Het voornemen van DNB sluit aan bij de ontwikkelingen in de financiële markt en de ICT-industrie in het algemeen. Ook andere toezichthouders in Europa hebben reeds gekozen om hun databeheer extern onder te brengen, waaronder enkele Scandinavische centrale banken.
Het databeheer en de bijbehorende informatiebeveiliging van DNB moeten van het hoogste niveau zijn. Ik vind het daarom positief dat DNB onderzoekt wat de mogelijkheden zijn om op het terrein van databeheer samen te werken met een externe partij. Dit vraagt wel maximale zorgvuldigheid in de aanbestedingsprocedure en in de samenwerking met de externe partij. DNB blijft uiteindelijk zelf verantwoordelijk voor de data die zij uit hoofde van haar taak heeft verkregen.

Vraag 8

Vindt u dat DNB, als toezichthouder op een sector waarin technologie een steeds grotere rol speelt, zelf de kennis en kunde dient te ontwikkelen om goed toezicht te kunnen blijven uitoefenen? Kunt u uw antwoord toelichten?

Ja. Ook DNB is van mening dat eigen kennis, kunde en ervaring een goede basis vormen voor goed toezicht op een sector waarin technologie een steeds grotere rol speelt. Daarom blijft DNB investeren in de kennis en expertise van de eigen medewerkers binnen de toezichtdivisies.

Vraag 9

Kunt u ingaan op de stelling: «Je moet als uitbestedende partij voortdurend blijven monitoren en aansturen. Hoe gevoeliger de te beveiligen informatie, hoe meer er afhangt van dat toezicht. Daar heb je deskundigen voor nodig»? In hoeverre deelt u deze mening?

Ik onderschrijf deze stelling. De eindverantwoordelijkheid voor het databeheer blijft bij DNB. DNB zal zich daarom versterken met kennis, kunde en ervaring om de externe partij goed aan te kunnen sturen.

Vraag 10

Welke deskundigen zijn nodig om voortdurend te kunnen blijven monitoren en aansturen? Moet DNB hiervoor ook op zoek naar technisch personeel? Is het aantrekken van het personeel dat hiervoor nodig is gemakkelijker dan het aantrekken van het personeel dat data beheert? Kunt u uw antwoord toelichten?

Goed databeheer door een externe partij vraagt voortdurende en kwalitatief hoogstaande aansturing vanuit de uitbestedende partij. DNB zal hiervoor een regieorganisatie inrichten. DNB verwacht dat hierbij functies ontstaan op het gebied van o.a. contractmanagement. DNB zal deze medewerkers werven, en het is de verwachting dat deze expertise op de arbeidsmarkt beschikbaar is.
Daarnaast zal DNB met het huidige eigen personeel richting blijven geven aan de ICT-strategie en het gebruik van technologie en data. Daarom wordt kennis van de bedrijfskritische applicaties en pakketten niet uitbesteed. DNB heeft het vertrouwen dat zij adequaat de aansturing van het uitbestede werk langdurig op zich kan nemen.

Vraag 11

Ziet u ook de gevaren als verminderde flexibiliteit, meer bureaucratie en beperkingen in de aanbestedingsprocedure als gevolg van het uitbesteden van het databeheer? Zo nee, waarom niet? Welke andere gevaren ziet u?

Elke vorm van uitbesteding heeft voor- en nadelen. Schaalbaarheid en het op de voet volgen van technologische ontwikkelingen zijn aansprekende voordelen. Een nadeel kan zijn de meer zakelijke relatie met de externe partij gebaseerd op contractafspraken, wat als bureaucratisch ervaren kan worden, maar anderzijds ook scherpte kan brengen in de afspraken.

Vraag 12

Klopt het dat het niet gemakkelijk is om te borgen dat degene aan wie de data wordt verstrekt, deze data goed beheert, zoals hoogleraar cybersecurity Michel van Eeten aangaf?2 Waaruit bestaat deze moeilijkheid?

Zie antwoord vraag 10.

Vraag 13

Deelt u de mening dat de overheid zelf de nodige expertise moet opbouwen om data veilig te kunnen beheren, zodat dit niet aan marktpartijen over hoeft te worden gelaten? Zo nee, waarom niet?

Ik vind het van belang dat de rijksoverheid blijvend expertise opbouwt op het terrein van het veilige beheer van data. Die expertise is zowel nodig wanneer dat beheer intern plaatsvindt, alsook wanneer wordt besloten om dit beheer uit te besteden.

Vraag 14

Welke vorderingen in het aantrekken en opleiden van in ICT-gespecialiseerde werknemers zijn gemaakt sinds Minister van Wonen en Rijksdienst in zijn reactie op het rapport van de Tijdelijke commissie ICT (commissie-Elias) heeft toegezegd meer ICT-expertise binnen de rijksoverheid op te bouwen? In hoeverre kunnen uitvoerende organisaties als DNB hiervan gebruik maken?

De Minister van Wonen en Rijksdienst realiseert dit jaar de beoogde verdubbeling van de formatie van I-Interim Rijk, de interne pool van flexibel inzetbare en ervaren professionals op het gebied van informatiemanagement en ICT. Daarnaast start dit jaar ook de tweede tranche van het Rijks ICT-traineeproject. De Minister van Wonen en Rijksdienst zal de Kamer eind dit jaar een plan sturen ter versterking van de arbeidsmarktpositie van het Rijk als ICT-werkgever.
Zelfstandige bestuursorganen zoals DNB kunnen onder voorwaarden gebruik maken van voorzieningen van de rijksoverheid. Hiervoor gelden de voorwaarden zoals vastgelegd in artikel 21a van de Kaderwet Zelfstandige Bestuursorganen.

Vraag 1

Heeft u kennisgenomen van het onderzoek dat een meerderheid van de zorgwebsites geen veilige HTTPS-verbinding heeft?1

Ja.

Vraag 2

Deelt u de opvatting dat zorgwebsites de plicht hebben om gevoelige gegevens optimaal te beveiligen? Zo nee, waarom niet?

Ik verwijs allereerst naar de schriftelijke vragen van Kamerleden Dijkstra en Verhoeven (D66) en de antwoorden daarop over de verplichtingen van zorgaanbieders om gegevens te beveiligen en de concrete maatregelen die in dat kader worden genomen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2690).
Wanneer er bijzondere persoonsgegevens worden verwerkt is het gebruik van HTTPS al verplicht op grond van de Wet bescherming persoonsgegevens (Wbp). Dit heeft de Autoriteit Persoonsgegevens (AP) aangegeven in hun antwoord op de vragen over beveiligde websiteverbindingen door Koninklijk Nederlands Genootschap voor Fysiotherapie (KNGF).2 Zoals de overheid die verantwoordelijkheid heeft voor overheidswebsites, zo hebben zorgaanbieders die voor hun zorgwebsites.

Vraag 3

Bent u bereid om, in navolging van de verplichting dat overheid websites HTPPS beveiligd moeten zijn, dit ook te verplichten voor websites van zorgaanbieders en ziekenhuizen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

Bent u bereid om in gesprek te gaan met ziekenhuizen en zorgaanbieders om het belang van beveiligde websites te benadrukken en de Kamer hierover te rapporteren? Zo nee, waarom niet?

Met het «Actieplan (informatie-) beveiliging patiëntgegevens» wordt veel aandacht besteed aan de bewustwording op dit onderwerp. Hierin wordt ook dit onderwerp meegenomen. De Autoriteit Persoonsgegevens houdt toezicht op de veiligheid van de persoonsgegevens.

Vraag 5

Ziet u nog andere concrete maatregelen om de beveiliging van medische gegevens van patiënten op websites van zorgaanbieders en ziekenhuizen zo optimaal mogelijk te beveiligen? Zo ja, kunt u deze verder toelichten?

Zie antwoord vraag 2.

Vraag 1

Bent u bekend met het bericht «Meerderheid zorgsites onbeveiligd, privacy autoriteit dreigt met boetes»?1

Ja.

Vraag 2

Wat is uw eerste reactie op het feit dat twee op de drie websites van zorginstellingen geen gebruik maken van een veilige verbinding?

De vertrouwelijkheid van medische informatie en de vertrouwelijke omgang met persoonsgegevens in de gezondheidszorg is essentieel en is een kernwaarde voor zowel patiënten als zorgaanbieders. Ik vind het van belang dat zorgaanbieders hun verantwoordelijkheid moeten en kunnen nemen ten aanzien van informatiebeveiliging.
Zoals aangegeven in mijn eerdere reactie op vraag 2, 4 en 5 van Kamerlid Oosenburg (PvdA) over de beveiliging van ziekenhuiswebsites (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1216) zijn informatiebeveiliging en privacybescherming in de eerste plaats verantwoordelijkheden van de zorgaanbieder zelf. De Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke het nemen van passende technische en organisatorische maatregelen waarbij het beveiligingsniveau passend moet zijn bij de aard van de te beschermen gegevens. In de gezondheidszorg zijn de NEN 7510, NEN 7512 en NEN 7513 de normen om dit beveiligingsniveau te bereiken. Het versleutelen van het informatieverkeer via een beveiligde (https-) verbinding is een voorbeeld van een maatregel, die uit die norm kan voortkomen. Voor iedere website en dienst zal de verantwoordelijke organisatie moeten bepalen of een beveiligde verbinding nodig is.
De Autoriteit Persoonsgegevens (AP) ziet hierop toe en kan zo nodig handhavend optreden. Ook de Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg.
Om zorgaanbieders nog beter toe te rusten om hun verantwoordelijkheden ten aan zien van informatiebeveiliging te nemen heb ik aanvullend hierop met branchepartijen het «Actieplan (informatie-) beveiliging patiëntgegevens» opgesteld. Hierover heb ik u geïnformeerd in mijn brief van 20 juni jl. (Kamerstuk 31 765, nr. 275). Het «Actieplan (informatie-) beveiliging patiëntgegevens» benoemt in de praktijk bewezen «good practices». Deze «good practices» hebben betrekking op de cultuur, structuur en compliance aan bestaande regelgeving van zorgaanbieders. Ik ben voornemens het «Actieplan (informatie-) beveiliging patiëntgegevens» uit te breiden naar andere sectoren (zoals bijvoorbeeld apothekers en huisartsen) ter verhoging van informatieveiligheid en de privacybescherming. De NVZ-campagne ZEKER is mijns inziens een mooi voorbeeld van het oppakken van de eigen verantwoordelijkheid door de zorgsector om de bewustwording op informatiebeveiliging en privacybescherming te verhogen.
Ik wil tot slot benadrukken dat patiënten er op moeten kunnen vertrouwen dat de bescherming van medische gegevens goed is geregeld. Dit is noodzakelijk voor de vertrouwensrelatie met de zorgverlener. Beveiliging van patiëntgegevens is een doorlopend punt van aandacht en zal altijd een onderwerp blijven waar alle partijen zich voor moeten hardmaken. Met het «Actieplan (informatie)beveiliging patiëntgegevens» heeft de sector een belangrijke stap gezet om de bescherming van medische gegevens verder te verbeteren. De Autoriteit Persoonsgegevens kan ook handhavend optreden als een aanbieder de beveiliging desondanks niet op orde heeft.

Vraag 3

Heeft u een verklaring waarom minder dan een kwart van de websites van de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie een veilige verbinding afdwingt? Zo ja, wat is deze verklaring? Zo nee, kunt u dit laten uitzoeken?

Ik heb niet een specifieke verklaring waarom de ene zorgsector een hoger percentage beveiligde verbindingen heeft dan de andere zorgsector. Een mogelijke verklaring kan gevonden worden in een conclusie van PBLQ-rapport «Onderzoek naar de beveiliging van patiëntgegevens» (Kamerstuk 31 765, nr. 259). Daarin staat dat er groeiende bewustwording is bij zorgaanbieders als het gaat om informatiebeveiliging en privacybescherming. Dat leidt tot het nemen van maatregelen en beschikbaar stellen van capaciteit door zorgaanbieders op dat terrein. Het bewustwordingsproces is dus gaande, maar nog niet voltooid. In het nieuwsbericht van de NOS van 17 augustus jl. wordt bewustwording ook als verklaring genoemd. Ik wil door middel van de verbreding van het «Actieplan (informatie-) beveiliging patiëntgegevens» bijdragen aan een vergroting van de bewustwording en daarmee betere beveiliging, maar dat is niet een vrijblijvende keuze. Iedere zorgaanbieder zal dit op orde moeten hebben.

Vraag 4

Hoe komt het dat ziekenhuizen en huisartsen het relatief gezien goed doen? Is er een «best practice» te destilleren die door andere professionals overgenomen kan worden?

Zie antwoord vraag 3.

Vraag 5

Deelt u de mening dat het onwenselijk is als informatie onderschept wordt via onbeveiligde websites? Zo ja, welke mogelijkheden ziet u om dit aan te pakken? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 6

Deelt u de mening dat het van groot belang is dat de veiligheid van gegevens wordt beschermd en dat de zorgsector voldoende geëquipeerd moet zijn om zich te kunnen wapenen tegen kwaadwillende meelezers?

Zie antwoord vraag 2.

Vraag 1

Heeft u kennisgenomen van de artikelen «Betalen door data te delen»1 en «Roomba maker may share maps of users» homes with Google, Amazon or Apple»2?

Ja.

Vraag 2

Vindt u het wenselijk dat producten of diensten gratis of met korting kunnen worden aangeschaft wanneer consumenten sociale media gegevens – waaronder de vriendenkring, interesses en persoonsgegevens – moeten afstaan?

Het gratis of met korting aanbieden van producten of diensten is een marketinginstrument dat al lange tijd gebruikt wordt om verkoop te bevorderen, zoals de «1 + 1 gratis» aanbiedingen in de winkel. Ook in de digitale wereld worden producten en diensten gratis of met korting aangeboden. Vaak staat daar iets Beantwoording vragen over het betalen door data te delen tegenover zoals het afstaan van (persoons)gegevens of het via sociale media verspreiden van informatie over het product of de dienst.
In ons bestaande systeem van consumentenbescherming is het van belang dat de consument zelf kan beslissen of hij een product of dienst gratis of met korting aanschaft, op voorwaarde dat hij helder en volledig geïnformeerd wordt als er voorwaarden worden gesteld aan de aanschaf zoals het delen van gegevens. De consument moet op basis van volledige en begrijpelijke informatie kunnen beslissen of hij wel of niet bereid is op die voorwaarden een product of dienst aan te schaffen. Daarnaast zijn gegevens die kunnen worden herleid tot een identificeerbaar persoon (persoonsgegevens) beschermd door de Wet bescherming persoonsgegevens (Wbp). Met ingang van 25 mei 2018 wordt de Wbp vervangen door de Algemene verordening gegevensbescherming (AVG). Uit de Wbp en de AVG volgt dat persoonsgegevens alleen mogen worden verwerkt wanneer hiervoor een in die wet dan wel verordening genoemde rechtsgrond aanwezig is, zoals ondubbelzinnige toestemming van de betrokkene.

Vraag 3

Vindt u dat mensen voldoende bewust worden gemaakt van de gevolgen van het prijsgeven van persoonlijke data om ergens korting op te kunnen krijgen? Vindt u het bijvoorbeeld voldoende als het bedrijf betreffende voorwaarden alleen opneemt in de algemene voorwaarden, zoals in Engeland – bij wijze van experiment – gebeurde bij een WiFi-provider die mensen verplicht stelde toiletten schoon te maken?3

Zoals hierboven aangegeven mogen persoonsgegevens alleen worden verwerkt wanneer hiervoor een rechtsgrond aanwezig is. In dit geval is het op grond van de Wbp noodzakelijk dat de betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven. Het is aan de toezichthouder – de Autoriteit persoonsgegevens (AP) – en, in ultimo, aan de rechter, om te bepalen of in voorkomende gevallen aan deze voorwaarde voldaan is. Daarbij is onder meer relevant of betrokkene voldoende is geïnformeerd over de gegevensverwerking en of betrokkene een (voorafgaande) keuzemogelijkheid heeft gehad om in te stemmen met de gegevensverwerking dan wel om deze te weigeren.
De AVG stelt nadere voorwaarden aan de toestemming als rechtsgrond voor gegevensverwerking. De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, moet het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Betrokkene heeft het recht zijn toestemming te allen tijde op eenvoudige wijze in te trekken.
Daarnaast bepaalt artikel 11.7a Telecommunicatiewet (Tw) dat voor het plaatsen en lezen van informatie op het randapparaat van een eindgebruiker (bijvoorbeeld in de vorm van cookies) toestemming nodig is van die eindgebruiker en dat deze toestemming moet worden verkregen nadat de eindgebruiker hierover duidelijk en volledig is geïnformeerd, onder andere over het doel van het plaatsen en lezen van informatie en de personen met wie deze informatie wordt gedeeld. Toestemming in de zin van artikel 11.7a Tw kan niet worden verkregen door middel van acceptatie van de algemene voorwaarden. De toestemming is een wilsuiting die vrij, specifiek en op informatie berustend moet zijn. De wilsuiting moet dus ook specifiek zien op het accepteren van de voorgestelde verwerking van gegevens dan wel het plaatsen of uitlezen van gegevens. Voor een rechtsgeldige toestemming is verder van belang dat deze blijkt uit een handeling van de eindgebruiker zoals het «doorklikken» op een webpagina nadat de eindgebruiker er op is gewezen dat deze handeling betekent dat hij akkoord is met het plaatsen en lezen van cookies. Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers wordt gevolgd om gebruiksprofielen op te stellen op grond waarvan de eindgebruiker anders wordt behandeld dan andere eindgebruikers, geldt sinds januari 2013 het bij amendement Van Bemmel/
Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.
In het generieke consumentenrecht zoals opgenomen in ons Burgerlijk Wetboek (BW) worden regels gesteld die zien op informatieverstrekking aan consumenten. Op grond van artikel 230l, lid 1, aanhef en onder g, respectievelijk 230m lid 1, aanhef en onder r van boek 6 van het BW moeten handelaren en degene die namens hem of voor zijn rekening optreedt, voordat de consument gebonden is aan een overeenkomst of een aanbod daartoe, op duidelijke en begrijpelijke wijze informatie verstrekken over de functionaliteit van digitale inhoud, waaronder mede wordt verstaan het gebruik maken van tracking en/of personalisering.
Op grond van de regels omtrent oneerlijke handelspraktijken mag, kortgezegd, de handelaar en degene die ten behoeve van hem handelt geen onjuiste of misleidende informatie verstrekken of weglaten, verborgen houden of op onduidelijke, onbegrijpelijke, dubbelzinnige wijze dan wel laat verstrekken als de gemiddelde consument hierdoor een ander besluit over een overeenkomst neemt of kan nemen, dan hij anders had genomen. Een voorbeeld is de situatie waarin een product als gratis wordt aangeboden en de consument op een niet duidelijke plaats geïnformeerd wordt over wat er met zijn gegevens gebeurt. De consument kan dan namelijk zijn keuze onder meer niet op dit belangrijke aspect baseren.
Er zijn dus verschillende wettelijke kaders die voorwaarden stellen aan het gebruik van persoonlijke data. Bovendien wordt er toezicht gehouden op de naleving van deze wettelijke kaders, namelijk als het gaat om bescherming van persoonsgegevens door de Autoriteit persoonsgegevens en als het gaat om generieke consumentenbescherming door de Autoriteit Consument en Markt (ACM).

Vraag 4

Hoe wenselijk vindt u het dat huishoudelijke apparatuur privacygevoelige informatie deelt met de fabrikanten en derde (commerciële) partijen?

Het verwerken van een persoonsgegeven is een inbreuk op de persoonlijke levenssfeer van de betrokkene. Deze inbreuk kan alleen gerechtvaardigd zijn wanneer de verwerking geschiedt in overeenstemming met de beginselen voor verwerking, waaronder rechtmatigheid, doelbinding, dataminimalisatie en transparantie zoals vastgelegd in de eerdergenoemde wettelijke kaders.
In de situatie die hier aan de orde is betekent dit dat verwerking van persoonsgegevens door Google alleen mag plaatsvinden wanneer hier een rechtsgrond, zoals ondubbelzinnige toestemming van de betrokkene, voor is. De betrokkene moet hier helder en volledig geïnformeerd worden over de verwerking van zijn persoonsgegevens. Wil de overheid inzicht in diezelfde informatie over de leefomgeving van de woning, dan dient krachtens artikel 10, eerste lid, van de Grondwet, een wettelijke bepaling te bestaan die de overheid een dergelijke bevoegdheid toekent.
De verwerking moet blijven binnen het doel waarvoor de gegevens worden verzameld en op transparante wijze geschieden. Verdere verwerking door een private partij voor een ander doel, zoals verstrekking aan een derde partij, kan wederom alleen wanneer betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven of indien, in het geval van de overheid, de wet daarvoor een grondslag kent. Daarnaast is het essentieel dat bedrijven zorgvuldig omgaan met de data die ze in dit kader verwerken.
De technologische ontwikkelingen en adoptie hiervan gaan snel. Er zijn toepassingsmogelijkheden die voorheen niet voorstelbaar waren. Ook ontstaan er nieuwe business modellen. Dit biedt kansen voor onze maatschappij en economie. Het kabinet vindt het belangrijk dat wet- en regelgeving voldoende ruimte bieden aan innovatie, vernieuwing en ondernemerschap, met inbegrip van de publieke belangen en waarden die door regelgeving geborgd moeten worden. Op het gebied van het omgaan met persoonsgegevens heeft de overheid zowel in Europees als nationaal verband voorwaarden en waarborgen vastgesteld, zoals hierboven aangegeven. De genoemde wetgeving bevat algemene verplichtingen voor private en publieke organisaties en rechten voor burgers. Hieraan moet het bedrijfsleven en de overheid zich houden.

Vraag 5

Vindt u dat Google of de overheid, bijvoorbeeld via data verkregen door een stofzuiger, inzicht moet kunnen hebben in het fysieke leefomgeving van een woning, het schoonmaakgedrag van gezinnen en andere privacygevoelige details?

Zie antwoord vraag 4.

Vraag 6

Vindt u dat de voorwaarden die van toepassing zijn op producten voldoende duidelijk maken dat data die verzameld worden door apparatuur met een internetverbinding commercieel uitgebuit kunnen worden? Moeten consumenten niet beter geïnformeerd worden over en beschermd worden tegen het verkopen van privacygevoelige informatie?

Het is niet mogelijk hier in zijn algemeenheid een uitspraak over te doen. Het is primair de verantwoordelijkheid van bedrijven om in overeenstemming met de wet te handelen, transparant te communiceren over het gebruik van persoonsgegevens en het consumentenvertrouwen te behouden. Indien bedrijven zich niet aan de wet houden, dan is het aan de AP om op te treden dan wel, bij overtreding van de consumentenregels, aan de ACM.
De overheid hecht groot belang aan veiligheid en vertrouwen in het digitale domein en vervult een actieve rol in de bewustwording bij consumenten over ontwikkelingen rondom persoonsgegevens. De overheid heeft haar verantwoordelijkheid daarbij vertaald in wet- en regelgeving die erop gericht is om de consument te beschermen. Daarnaast neemt de overheid verantwoordelijkheid in het voorlichten van burgers, bijvoorbeeld via veiliginternetten.nl. Hierop staan onder meer praktische adviezen op het gebied van privacy. Ook is de overheid initiatiefnemer van en partner in de campagne Alert Online.
De ACM geeft via haar informatieloket ConsuWijzer informatie aan consumenten over het beschermen van online privacy https://www.consuwijzer.nl/thema/online-privacy en over de toepassing van artikel 11.7a Tw bijvoorbeeld in de Q&A’s via https://www.acm.nl/nl/download/publicatie/?id=14496. De AP geeft via haar website voorlichting aan burgers en bedrijven over de rechten en plichten op het gebied van privacybescherming (https://autoriteitpersoonsgegevens.nl).

Vraag 7

Acht u het denkbaar dat in de nabije toekomst commerciële partijen of de overheid via Internet of Things (IoT) apparatuur inzicht krijgen in praktisch alle elementen van het dagelijks bestaan van mensen waaronder het gebruik van de wasmachine, de inhoud van de koelkast, het schoonmaakpatroon en het gebruik van sociale media?

Het is moeilijk om een algemene uitspraak te doen over de ontwikkeling van Internet of Things in de toekomst, omdat dit afhangt van veel verschillende factoren, waaronder ook de behoefte aan slimme apparaten bij de consument zelf en de bereidheid om deze gegevens te delen. Waar inzicht in deze gegevens wordt verlangd door private partijen is zoals hiervoor beschreven in het antwoord op de vragen 4 en 5 thans de Wbp en vanaf uiterlijk 25 mei 2018 de AVG maatvoerend. Voor zover de overheid hiermee inzicht zou willen verkrijgen in het gedrag van burgers inzake het gebruik van de wasmachine, inhoud van de koelkast en schoonmaakpatroon lijkt sprake te zijn van een inbreuk op de persoonlijke levenssfeer en is de overheid mitsdien gebonden aan de eisen die artikel 10, eerste lid, van de Grondwet en 8 van het EVRM stellen. Een inbreuk op de persoonlijke levenssfeer dient te zijn voorzien bij formele wet, en moet tevens noodzakelijk en proportioneel zijn in relatie tot het te dienen doel dat met de inbreuk op de persoonlijke levenssfeer wordt nagestreefd.

Vraag 8

Kunt u aangeven in welke landen wetgeving van kracht is die dergelijke praktijken strenger reguleert dan nu in Nederland het geval is? Welke mogelijkheden ziet u om Nederlandse burgers beter te informeren en beschermen tegen het ongewenst delen van persoonlijke data?

Vanaf 25 mei 2018 zal in alle Europese lidstaten de Algemene verordening gegevensbescherming van kracht zijn, waarmee het kader voor bescherming van persoonsgegevens van consumenten in belangrijke mate geharmoniseerd zal zijn. Dit betekent dat alle burgers een zelfde niveau van bescherming zullen hebben binnen de Europese Unie.
De AVG bevat een uitgewerkte regeling van de informatie die door de verwerkingsverantwoordelijke aan de betrokkene moet worden verstrekt bij de verkrijging van persoonsgegevens, zowel wanneer de gegevens bij de betrokkene zelf worden verzameld als wanneer de gegevens niet van de betrokkene zijn verkregen. Ook het recht op inzage en het recht op rectificatie en het wissen van de gegevens zijn in de AVG verankerd. Bovendien bepaalt de AVG dat de communicatie met de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moet plaatsvinden.

Vraag 1

Wat is uw reactie op de berichtgeving dat de ov-chipkaart op de mobiele telefoon flopt?1

De introductie van OV-chip mobiel is niet vlekkeloos verlopen. Translink geeft aan dat de problemen technisch van aard waren en te maken hadden met het registreren/aanmelden. De problemen zijn volgens Translink inmiddels opgelost. OV-chip mobiel wordt door de openbaar vervoerbedrijven fasegewijs toegankelijk gemaakt voor reizigers.
Om het publieke belang van een goed en betaalbaar openbaar vervoer te borgen, moeten reizigers op een goede wijze kunnen betalen voor het openbaar vervoer (OV). In het Nationaal Openbaar Vervoer Beraad (NOVB) zet ik mij hiervoor in. Omdat er met de OV-chipkaart een goed middel is voor reizigers om te betalen voor het OV, is het publieke belang niet in het geding. De waardering van de reiziger voor het gebruiksgemak van de OV-chipkaart is in de OV-klantenbarometer 2016 gestegen naar een 8,1.
Ik vind dat openbaarvervoerbedrijven de ruimte moeten hebben om het betaalsysteem in het openbaar vervoer verder te verbeteren. Zoals ik u op 27 januari 20162 schreef, wordt er door de vervoerders aan verschillende nieuwe mogelijkheden om te betalen gewerkt. Uitgangspunt is dat de nieuwe systemen een toegevoegde waarde moeten hebben ten opzichte van de huidige OV-chipkaart. In NOVB-verband wordt er in de komende jaren door Translink, de openbaar vervoer bedrijven, consumentenorganisaties en overheden onder meer gekeken naar de betrouwbaarheid en betaalbaarheid van de verschillende systemen.

Vraag 2

Kunt u de verschillende beslissingen die zijn genomen in het proces rondom het opstarten, invoeren en uitvoeren van de pilot in een tijdslijn inzichtelijk maken, waarbij per beslissing wordt aangegeven waarom geconcludeerd werd dat een volgende stap mogelijk was en kan in de tijdslijn aangegeven worden wanneer en waarom is afgeweken van de eerdere planning? Zo nee, waarom niet?

De openbaarvervoerbedrijven en Translink zijn verantwoordelijk voor de ontwikkeling van nieuwe betaalwijzen en de invulling van pilots. Translink geeft aan dat de introductie van OV-chip mobiel plaats vond nadat het aanmelden en gebruik uitgebreid getest was met behulp van een testgroep. Na de introductie op 22 mei 2017 was de belangstelling zo groot dat dit technische problemen opleverde. Deze problemen zijn inmiddels opgelost. In deze eerste fase wordt het betaalmiddel conform plan voor maximaal 10.000 reizigers met een Vodafone of KPN-abonnement ter beschikking gesteld. De gebruikers wordt gevraagd naar verbeterpunten om zodoende stap voor stap OV-chip mobiel voor een groter publiek geschikt te maken.

Vraag 3

Kunt u tevens de verschillende beslissingen die zijn genomen in het proces rondom de pilot die reizen met een bankpas mogelijk moet maken inzichtelijk maken in een tijdslijn, waarbij per beslissing wordt aangegeven waarom geconcludeerd werd dat een volgende stap mogelijk was tot het moment dat besloten werd de invoering (voorlopig) niet door te laten gaan? Zo nee, waarom niet?

Net zoals bij OV-chip mobiel, is «reizen met de bankkaart» een innovatie waarmee Nederland tot de voorlopers behoort. Translink geeft aan dat het «reizen met de bankkaart» op dit moment volop in ontwikkeling is. Wel gaat de ontwikkeling minder snel dan verwacht. Het streven is om eind 2017 te starten met een pilot in Den Haag. Voor het kunnen uitvoeren van deze pilot moet onder meer de apparatuur geschikt gemaakt worden en moeten er afspraken met banken worden gemaakt. Ook worden de ervaringen met de OV-chip mobiel hierin meegenomen.

Vraag 4

Hoeveel kosten zijn op tot op 1 juli 2017 door Translink gemaakt met de pilot van een ov-chipkaart op een mobiele telefoon en welke verwachting is er voor het toekomstig uitgavenpatroon?

Translink geeft aan dat er in 2016 € 1,2 miljoen is geïnvesteerd. De telecombedrijven en OV-bedrijven hebben ook investeringen gedaan voor de eerste uitrol van 10.000 OV-chip mobiel gebruikers. Translink geeft aan dat de definitieve business case afhankelijk is van het aantal gebruikers.

Vraag 5

Hoe verhoudt de uitspraak van Translink-directeur Groothedde die stelt dat «de eerste dagen waardeloos zijn geweest» zich tot het feit dat het maanden na de start van deze pilot nog steeds een chaos is?

Translink geeft aan dat de technische problemen bij de opstart van de pilot zijn opgelost en geeft aan dat de 5.400 huidige gebruikers van OV chipmobiel tevreden zijn. Het aantal gebruikers stijgt. Zie verder de antwoorden op de vragen 1 en 2.

Vraag 6

Bent u het eens met de uitspraak van hoogleraar Van Wee van de Technische Universiteit Delft over de pilot dat het «overkomt alsof die niet professioneel is aangepakt»? Kunt u uw antwoord toelichten?

Zoals ik in mijn antwoord op vraag 1 heb aangegeven vind ik dat de introductie van OV-chip mobiel niet vlekkeloos is verlopen. De communicatie over randvoorwaarden en omvang van de pilot had beter gemoeten. Tevens vind ik dat openbaar vervoerbedrijven de ruimte moeten hebben om het betaalsysteem in het openbaar vervoer verder te verbeteren. Ook in de vorm van pilots waarvan niet altijd vooraf duidelijk is of deze in de praktijk direct tot het gewenste resultaat leiden.

Vraag 7

Kunt u garanderen dat de kosten voor de mislukte pilots met de ov-chipkaart op de mobiele telefoon en het reizen met de bankpas niet voor rekening komen van de reizigers of de belastingbetaler? Zo nee, waarom niet?

Zoals eerder aangegeven moeten alternatieve vormen voor betalen in het OV meerwaarde bieden boven de OV-chipkaart. Dit kan bijvoorbeeld doordat het efficiënter is en het openbaar vervoer in totaal goedkoper maakt. Of doordat de nieuwe betaalwijze nieuwe reizigers trekt en bestaande reizigers aantrekkelijke alternatieven biedt. Dit wordt in het NOVB bewaakt, waarmee de positie van de reiziger geborgd wordt. De pilots worden uitgevoerd en betaald door Translink, de openbaar vervoerbedrijven, de telecombedrijven en de banken. Er zijn momenteel geen bijdragen vanuit het Rijk en dus komen kosten niet voor rekening van de belastingbetaler.

Vraag 8

Kunt u inzichtelijk maken met welke pilots Translink op dit moment nog meer bezig is, in welke fase die pilots op dit moment verkeren en hoeveel kosten er al gemaakt zijn hiervoor?

Translink en de OV-bedrijven werken aan alle innovaties zoals afgesproken in de visie OV-betalen3. De pilot van betalen met een chip in de mobiele telefoon bevindt zich nu in de fase dat hij is opengesteld voor 10.000 gebruikers. Er zijn op dit moment 5400 gebruikers van dit alternatief en hun ervaringen worden gebruikt om het product verder te verbeteren. In het jaarverslag 2016 van Translink staat dat voor deze pilot € 1,2 miljoen is geïnvesteerd. De pilot voor het betalen met de bankkaart (EMV) wordt voorbereid (zie antwoord op vraag 3). In het jaarverslag 2016 van Translink staat dat voor deze pilot € 2,4 miljoen geïnvesteerd is. Daaronder vallen ook de kosten voor het vervangen van het kernsysteem van de OV-chipkaart, dat 15 jaar oud was. Hiermee is het systeem verder toekomstbestendig gemaakt. Andere innovatie-trajecten zoals Be in Be out (een systeem met bluetooth) staan verder in de toekomst gepland en daar zijn nog geen pilots van in voorbereiding.

Vraag 9

Bent u bereid om het Bureau ICT Toetsing te vragen de verschillende pilots bij Translink door te lichten? Zo ja, wanneer kunt u de Kamer daarover informeren? Zo nee, waarom niet?

Nee. Het Bureau ICT Toetsing toetst grote projecten van de rijksoverheid met een ICT-component van meer dan € 5 miljoen. De pilots worden uitgevoerd en betaald door Translink en de openbaar vervoerbedrijven en zijn dus geen project van de rijksoverheid. Translink is een private onderneming met als enige aandeelhouder de Coöperatie Openbaar Vervoerbedrijven. Alle bedrijven met openbaar vervoer concessies in Nederland zijn lid van deze coöperatie.

Vraag 1

Kunt u, nu u aangeeft antwoorden op eerdere vragen dat het UWV (UItvoerigsorgaan werknemersverzekeringen) een contract heeft met IBM, garanderen dat data van Nederlandse inwoners die bij het UWV bekend zijn niet in handen kunnen komen van de Amerikaanse overheid?1 2

UWV heeft maatregelen genomen om te borgen dat de persoonsgegevens die IBM verwerkt zodanig zijn beveiligd dat wordt voldaan aan de privacyregelgeving. Zo is IBM contractueel verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. Verder heeft UWV een beveiligingsovereenkomst met IBM gesloten waarbij alle klantspecifieke beveiligingsafspraken tot in detail zijn vastgelegd. Daar waar vereist heeft UWV een European Model Contract gesloten met IBM. In dergelijke modelcontracten (waarvan de tekst is vastgesteld door de Europese Commissie) worden passende waarborgen gegeven voor de bescherming van persoonsgegevens die in lijn zijn met de Europese kaders. Nederland heeft echter geen directe invloed op wetgeving van buiten de EU die de privacyregelgeving zou kunnen doorkruisen. Van een volledige garantie kan dan ook geen sprake zijn (zie ook het antwoord onder 2).
Momenteel loopt een aanbestedingstraject om de datacenterdienstverlening bij UWV opnieuw te verwerven. In de aanbesteding worden uitgebreide, concrete eisen opgenomen over beveiliging. Een beveiligingsovereenkomst gebaseerd op de geldende standaarden vormt onderdeel van de contractset en deze wordt (zoals nu ook bij IBM het geval is) in concrete afspraken uitgewerkt. Ook heeft UWV, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hiermee borgt UWV dat ook bij een nieuw contract voor datacenterdienstverlening een passend beschermingsniveau van persoonsgegevens en een afdoende algemeen beveiligingsniveau wordt geboden.

Vraag 2

Kunt u garanderen dat de persoonsgegevens van Nederlandse burgers, of dat nu via het UWV of een andere overheidsinstantie is, niet in handen kunnen komen van de Amerikaanse overheid? Zo nee, wat gaat u hierop ondernemen?

Nee, die garantie kan ik niet geven. Er bestaat immers een aantal rechtsgrondslagen om persoonsgegevens aan de Amerikaanse overheid te verstrekken. Een voorbeeld hiervan is de samenwerking op strafrechtelijk gebied, waarbij in het kader van opsporingsonderzoeken gegevens kunnen worden doorgegeven aan de overheden van derde landen, waaronder de Verenigde Staten. Dit kan ook gegevens aangaande Nederlandse burgers betreffen. Deze verstrekking geschiedt in beginsel slechts indien een verdrag met het desbetreffende land daarvoor een adequate grondslag biedt. Toepassing van rechtshulpverdragen tussen Nederland en het desbetreffende land is voor strafrechtelijke samenwerking de meest in aanmerking komende oplossing. Met de Verenigde Staten bestaat een dergelijk verdrag. Ook op andere terreinen, zoals bijvoorbeeld de belastingheffing, bestaan verdragen die voorzien in de doorgifte van persoonsgegevens aan derde landen.

Vraag 3

Deelt u de mening dat het opslaan van data op buitenlandse servers de kans vergroot dat deze data in handen komen van buitenlandse overheden, zeker nu Google de gebruikersgegevens moet afstaan? Zo nee, waarom niet? Zo ja, gaat u maatregelen nemen om dit onmogelijk te maken?

Indien gegevens op servers in het buitenland staan, is er sprake van een verhoogde kans op bemoeienis van buitenlandse overheden. Vanzelfsprekend vallen gegevens op servers welke in het buitenland zijn geplaatst onder de jurisdictie van het desbetreffende land. De kans is daarbij aanwezig dat deze gegevens, in zijn algemeenheid en met inachtneming van de ter zake geldende wetgeving in dat land, door instanties in dat land kunnen worden opgevraagd.
Ik ben niet van plan extra maatregelen te nemen om het opslaan van data op buitenlandse servers onmogelijk te maken. Van welke dienstverleners gebruik wordt gemaakt is een afweging die binnen de kaders van wet- en regelgeving wordt gemaakt. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor bijvoorbeeld open data. Overheden die data willen afschermen tegen onbevoegde inzage staan verschillende maatregelen ter beschikking. Het afdwingen van de opslaglocatie is een mogelijke maatregel, maar goede encryptie is bijvoorbeeld ook een optie. De aard van de data en de risico’s die hier verbonden aan zijn, bepalen de mix van deze maatregelen.

Vraag 4

Waarop baseert u dat op dit moment volgens u de Nederlandse inwoners voldoende beschermd zijn tegen het meekijken van buitenlandse mogendheden?

Zoals reeds aangegeven in de beantwoording van eerdere Kamervragen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2149) kan niet worden uitgesloten dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Indien er geconstateerd wordt dat het geval is neemt het kabinet maatregelen.
In zijn brief van 21 juni 2017 (vergaderjaar 2016–2017, Kamerstuk 26 643, nr. 477) bij de aanbieding van het Cybersecuritybeeld Nederland 2017 (CSBN 2017) gaf de Staatssecretaris van Veiligheid en Justitie aan dat de grootste dreiging in het digitale domein blijft uitgaan van beroepscriminelen en statelijke actoren.
Hoewel overheid, bedrijfsleven, wetenschap en burgers in Nederland veel inspanningen verrichten om de digitale weerbaarheid te vergroten laat het CSBN 2017 ook zien dat het bijhouden van de groeiende kwetsbaarheid van de maatschappij als geheel een grote uitdaging blijft. Het beeld laat zien dat investeren in de toekomst nodig zal blijven voor de digitale weerbaarheid.

Vraag 1

Bent u bekend met het bericht «Autoriteit Consument & Markt introduceert rekenhulp voor roaming»?1

Ja.

Vraag 2

Bent u van mening dat consumenten voldoende ingelicht worden over de beperking van de nieuwe roamingafspraken, aangezien de nieuwe roamingafspraken in media veelal worden betiteld als «roam-like-at-home» terwijl er in de praktijk toch beperkingen bestaan? Wat doet u om ervoor te zorgen dat consumenten zich bewust zijn van de beperkingen?

In de EU-regelgeving is vastgelegd dat de klant bij roaming in een andere EU-lidstaat zijn binnenlandse tarief betaalt (roam-like-at-home), binnen de grenzen van redelijk gebruik van roaming. Telecombedrijven mogen een fair use policy hanteren om te voorkomen dat er misbruik of afwijkend gebruik wordt gemaakt van roaming voor andere doelen dan periodiek reizen in de EU. Ook mogen telecombedrijven de hoeveelheid dataroaming zonder toeslag beperken op basis van een afgesproken formule, en bij wijze van uitzondering alsnog een toeslag vragen voor roaming als zij tegenover hun toezichthouder kunnen aantonen de kosten van roaming niet te kunnen terugverdienen. Deze beperkingen zijn bewust toegestaan om te voorkomen dat telecombedrijven te hoge kosten maken als gevolg van roamende klanten en genoodzaakt zijn hun binnenlandse tarieven te verhogen ter compensatie van die kosten. Het staat telecombedrijven vrij om geen gebruik te maken van de beperkingen. Ik ben van mening dat consumenten op grond van de roamingregels in de EU voldoende worden ingelicht over deze beperkingen. Telecombedrijven zijn verplicht hun klanten te informeren over eventuele beperkingen ten aanzien van het roam-like-at-home principe in hun contract. Daarnaast moeten zij de klant hierover informeren iedere keer dat hij de grens passeert (per sms of e-mail), tenzij de klant heeft verzocht dat niet meer te doen. Bovendien moet een telecombedrijf zijn klant waarschuwen als deze het maximum aantal gigabytes dat hij mag verbruiken voor het thuistarief – voor zover een maximum wordt gehanteerd – heeft opgebruikt. De overheid informeert de consument over zijn rechten middels de website consuwijzer.nl.
Overigens valt bellen vanaf het thuisnetwerk naar een ander netwerk in de EU niet onder het begrip roaming zoals de EU-wetgeving dat hanteert, zodat ik dit niet beschouw als een beperking ten opzichte van het roam-like-at-home principe. Deze vorm van bellen wordt internationaal bellen genoemd en is niet gereguleerd. De roamingafspraken hebben alleen betrekking op bellen of sms-en vanaf een ander netwerk in de EU dan het thuisnetwerk (naar een nummer in de EU), op het ontvangen van een telecomgesprek of sms op een ander netwerk in de EU dan het thuisnetwerk, en op internetten op een ander netwerk in de EU dan het thuisnetwerk.

Vraag 3

Bent van mening dat de kosten die telecomproviders voor bellen naar het buitenland binnen de EU (in Nederland tarieven tot soms 90 cent per minuut, en in andere lidstaten tot zelfs 1,99 euro per minuut) in rekening brengen in verhouding staan tot de kostprijs van een minuut bellen binnen de EU?2

De kostprijs voor bellen naar een andere lidstaat in de EU bestaat uit het opbouwen van het gesprek op het thuisnetwerk, een vergoeding voor de internationale transit naar het buitenlands netwerk en een vergoeding aan het buitenlandse netwerk voor het afwikkelen van het gesprek. De laatste twee componenten kunnen zorgen voor een hogere kostprijs vergeleken met bellen binnen Nederland. Het is niet mogelijk om een generieke uitspraak te doen over de vraag of het tarief voor bellen naar een andere EU-lidstaat in verhouding staat tot de kostprijs. De tarieven zijn de uitkomst van vrije prijsvorming en hoeven de kostprijs niet te weerspiegelen. Het tarief verschilt bovendien van aanbieder tot aanbieder en per aanbieder soms van abonnement tot abonnement.

Vraag 4

Bent u ermee bekend dat 150 Europarlementariers de Europese Commissie gevraagd hebben een voorstel te doen om ook het bellen naar buitenlanden binnen de EU te gaan reguleren om zo excessieve prijzen voor data, telefonie en sms te beperken?3

Ja.

Vraag 5

Deelt u de mening dat het wat kosten betreft binnen de EU niet zou moeten uitmaken naar welke Europese lidstaat men belt en dat de vrijheid binnen data-, bel- en sms-bundels ook zou moeten gelden voor bellen en sms’en vanuit het thuisland?

De mogelijkheid om vanuit het thuisland tegen het binnenlands tarief te bellen naar elk land binnen de EU is aantrekkelijk voor de consument, maar heeft nadelen. Het vraagt om EU-regulering die telecombedrijven verplicht voor alle gesprekken vanaf het thuisnetwerk naar een netwerk in de EU het binnenlands tarief te rekenen. Telecombedrijven kunnen het tarief voor internationaal bellen dan niet langer gebruiken als middel om zich te onderscheiden van hun concurrenten in de markt. Ze zouden de gederfde inkomsten door lagere tarieven voor internationaal bellen bovendien kunnen compenseren door hogere binnenlandse tarieven te vragen. Ondertussen lijkt de noodzaak van dit type regulering te zijn ingehaald door de markt. Consumenten die een redelijk tarief willen betalen voor internationaal bellen, kunnen gebruik maken van telecombedrijven en abonnementsvormen die een lager tarief rekenen, van speciale 0900-nummers met lage tarieven voor internationaal bellen4 of zonder kosten bellen over het internet (bijvoorbeeld via Skype, Facetime of Whatsapp). Er is dus keuze op de markt voor internationaal bellen, waar prijsbewuste consumenten gebruik van kunnen maken.

Vraag 6

Bent u bereid om u hiervoor in te zetten door aan te sluiten bij de oproep van de 150 Europarlementariërs en in de Europese Raad en de Raad voor het concurrentievermogen te pleiten voor het reguleren van telefonie, sms-verkeer en datagebruik binnen de EU?

Om de redenen genoemd in mijn antwoord op vraag 5 vind ik het niet wenselijk om in raadsverband te pleiten voor het reguleren van internationaal bellen binnen de EU. Mocht de Europese Commissie besluiten het initiatief te nemen tot een wetgevend voorstel, wat niet in de lijn der verwachting ligt, dan zal ik dat beoordelen op zijn merites en uw Kamer hierover informeren.

Vraag 1

Bent u op de hoogte van het feit dat de gemeente Groningen voornemens is om alle generieke ICT-voorzieningen te privatiseren, ondanks bezwaren van experts?1

Ja.

Vraag 2

Hoeveel gemeenten hebben hun ICT-voorzieningen op vergelijkbare wijze geprivatiseerd?

Op aanbesteding van ICT-diensten zijn Europese en nationale aanbestedingsregels van toepassing. Dat laat onverlet dat er onder omstandigheden ook kan worden gekozen voor het inbesteden (in eigen beheer uitvoeren) van bepaalde diensten. De keuze hiervoor binnen de gemeente is de verantwoordelijkheid van het College van burgemeester en wethouders en de raad van de betreffende gemeenten. De wijze waarop ICT-diensten worden aanbesteed of inbesteed wordt niet centraal vastgelegd. Ik heb hier dus geen overzicht van.

Vraag 3

Vindt u het privatiseren van de ICT-voorzieningen van de gemeente Groningen, waarbij ook nog eens vele mensen hun baan verliezen, wenselijk? Zo ja, waarom? Zo nee, waarom niet?

Zoals ik aangeef in het antwoord op vraag 2 is het aanbesteden of inbesteden van ICT-dienstverlening de verantwoordelijkheid van de gemeenten zelf. De afweging over de gevolgen is aan het College en de Raad. Ik kan als Minister van BZK uw opvatting dat «vele mensen hun baan verliezen» in dit verband noch onderschrijven, noch ontkrachten.

Vraag 4

Kunt u garanderen dat de gegevens van de Groningse inwoners veilig zijn, wanneer de ICT-voorzieningen van de gemeente worden geprivatiseerd? Zo nee, wat gaat u doen om deze veiligheid te garanderen?

Veiligheid is altijd een streven en is nooit te garanderen. Gemeenten doen er alles aan om de veiligheid te realiseren. Bij aanbesteding of inbesteding van de ICT-diensten blijft de aanbestedende dienst verantwoordelijk voor de bescherming van persoonsgegevens. Daarop is de Wet bescherming persoonsgevens van toepassing. De Autoriteit Persoonsgegevens ziet daarop toe. Om de veiligheid van gegevens te garanderen hebben de gemeenten zich gecommitteerd aan de Baseline Informatiebeveiliging voor Gemeenten (BIG). Aanbesteding of uitbesteding verandert daar niets aan.

Vraag 5

Deelt u de zorg dat op deze manier waardevolle ICT-kennis binnen decentrale overheden verdwijnt, zeker nu tweederde van de gemeenten te maken heeft met datalekken?2

Uitbesteden van dienstverlening op het vlak van ICT is en blijft een gemeentelijke afweging. Het is noodzakelijk dat de gemeente in die gevallen een passend opdrachtgeverschap inricht met een daarvoor voldoende inhoudelijke kennis en ervaring. Uitbesteding en/of samenwerking helpt in die zin gemeenten te voorzien in op dit moment schaarse kennis en vaardigheden van de uitvoering van ICT. Deze schaarste doet zich overigens niet alleen bij gemeenten voor.
Uitbesteding van ICT is op zichzelf geen factor bij het voorkomen van datalekken. De gemeente dient passende technische en organisatorische maatregelen te nemen ter voorkoming van datalekken, dit is ook in een situatie van uitbesteding goed mogelijk. Waar nodig wordt, ingevolge de wet bescherming persoonsgegevens (Wbp), een verwerkersovereenkomst opgesteld waarin de afspraken over de omgang met persoonsgegevens worden vastgelegd.

Vraag 6

Kunt u aangeven waarom het Bureau ICT Toetsing (BIT) heeft aangegeven dat er bij dit project geen BIT-toets mogelijk was?

In het Instellingsbesluit tijdelijk Bureau ICT-toetsing (Staatscourant Nr. 21178, 23 juli 2015) wordt het bureau belast met de taak te adviseren over de risico’s en slaagkans van ICT-projecten bij ministeries en publiekrechtelijke zelfstandige bestuursorganen, zoals bedoeld in artikel 4 van de Kaderwet zelfstandige bestuursorganen. Het bureau heeft geen bevoegdheid om te adviseren over ICT-projecten bij gemeenten.

Vraag 7

Vindt u het wenselijk dat ook gemeenten een BIT-toets kunnen doen bij dit soort grote projecten? Zo ja, gaat u dat mogelijk maken? Zo nee, waarom niet?

Nee. Gemeenten hebben een zelfstandige verantwoordelijkheid als het gaat om het beheersen van grote ICT-projecten. Ik zie daarin geen rol voor het BIT.

Vraag 8

Bent u bereid landelijke regels te stellen rondom gemeentelijke privatisering van ICT-voorzieningen? Zo nee, waarom niet?

Nee, er is op dit moment geen aanleiding om de aanbestedingsregels die gelden voor overheidsorganisaties, die voor het laatst in 2016 zijn aangepast, te herzien.

Vraag 1

Kent u het bericht «Waarschuwing voor grote internationale gijzelsoftware-campagne»?1

Ja

Vraag 2

Wat wordt er op dit moment concreet gedaan om te zorgen dat ICT-systemen van de rijksoverheid zelf niet geïnfecteerd raken?

Mij zijn geen gevallen bekend van besmettingen bij de rijksoverheid. Ook bij het Nationaal Cyber Security Centrum (NCSC) zijn geen besmettingen gemeld, zoals de Minister van Veiligheid en Justitie in zijn brief van 2 juni heeft aangegeven. Niettemin heeft de aanval van Wannacry malware en zijn impact ertoe geleid dat bij verschillende organisaties van de Rijksdienst is en wordt nagelopen of ook echt op alle relevante plekken de relevante patches zijn toegepast.
Meer in het algemeen is bij de Rijksdienst een stelsel van regelgeving voor informatiebeveiliging van toepassing. Maar daarmee zijn we er niet. In de strategische I-agenda Rijksdienst is daarom «Verstandige aandacht voor informatiebeveiliging en privacy» één van de vijf thema’s.
Verder informeert en waarschuwt het NCSC organisaties binnen de rijksoverheid zodat ook een dreiging van een passend antwoord kan worden voorzien.
Ten slotte wil ik opmerken dat beveiliging en beheer van ICT een cyclisch proces is. Dat betekent dat acties ten behoeve van beveiliging niet eenmalig zijn, maar voortdurend, en met regelmaat terugkeren.

Vraag 3

Is alle software bij de rijksoverheid voldoende veilig en actueel? Zo nee, welke actie gaat u hiervoor ondernemen?

Zie antwoord vraag 2.

Vraag 4

Kan er een overzicht verstrekt worden van de ICT-systemen die draaien onder de verantwoordelijkheid van Binnenlandse Zaken en Koninkrijksrelaties met een beeld van de laatste stand? Hoe wordt het delen van expertise over het voorkomen van dit soort cyberaanvallen met andere ministeries georganiseerd?

Ik beschik over een omvangrijk overzicht van alle ICT-systemen waarvoor ik opdrachtgever en verantwoordelijk ben. Dit overzicht is zeer divers van aard, en bevat naast de grote systemen zoals DigiD ook een veelheid aan componenten die ten dienste staan van de (interne) bedrijfsvoering of kleinere systemen; alles bij elkaar bestaat dit overzicht uit ongeveer 800 elementen. Wat betreft de stand van zaken: van alle elementen in dit overzicht is mijn beeld dat zij niet getroffen zijn door het Wannacryvirus.
De rijksoverheid maakt gebruik van de expertise van het NCSC. Hierbij verwijs ik nogmaals naar de hiervoor genoemde brief van mijn collega van Veiligheid en Justitie.

Vraag 5

Welke lessen trekt u uit deze cyberaanval? Wat gaat de rijksoverheid anders doen inzake de eigen ICT-systemen ten opzichte van de huidige aanpak, om ervoor te zorgen dat de Rijks- en mede-overheden in de toekomst niet geraakt worden door cyberaanvallen?

Zoals ik hierboven opmerkte, zijn mij geen gevallen bekend van Wannacry besmettingen bij de rijksoverheid. Niettemin constateert de Algemene Rekenkamer helaas ook tekortkomingen in de informatiebeveiliging. De CIO-Rijk is hierover in gesprek met de CIO’s, waarbij specifieke aandachtspunten per departement worden besproken. In het tweede halfjaarlijkse gesprek zal de CIO Rijk de voortgang bespreken op deze aandachtspunten. De Kamer zal eveneens over de voortgang worden geïnformeerd.
Ten aanzien van medeoverheden geldt dat informatiebeveiliging een verantwoordelijkheid is het betreffende bestuursorgaan, dat dus ook zelf verantwoordelijk voor het nemen van eventuele extra maatregelen.

Vraag 1

Wat is uw beleid rondom het opslaan van al dan niet vertrouwelijke gegevens van de rijksoverheid? Vallen belgegevens van medewerkers van de rijksoverheid hieronder?

Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving, een afweging moet maken ten aanzien van de gewenste locatie van data. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Belgegevens zoals telefoonnummers, website bezoek (ip-adressen) en verkeersgegevens vallen onder de Wet bescherming persoonsgegevens (Wbp). De Wbp schrijft voor dat persoonsgegevens slechts onder bepaalde omstandigheden mogen worden opgeslagen buiten de Europese Economische Ruimte (EER). Voor aanbieders van telecommunicatiediensten geldt naast de Wbp ook de Telecommunicatiewet. In hoofdstuk 11 van de Telecommunicatiewet zijn de bepalingen opgenomen ter bescherming van de persoonsgegevens en de persoonlijke levenssfeer van de gebruikers van elektronische communicatienetwerken en -diensten.
Het bovenstaande wettelijke kader geldt ook voor de belgegevens van medewerkers van de rijksoverheid.

Vraag 2

Kunt u aangeven waar de huidige aanbieder van mobiele telefonie voor de rijksoverheid gegevens over het belverkeer van medewerkers van de rijksoverheid opslaat?

VodafoneZiggo slaat persoons- en verkeersgegevens van Nederlandse Vodafoneklanten op in de z.g. switch locaties in Arnhem, Amsterdam, Groningen, Nieuwegein, Utrecht, Rotterdam en Venlo. Daarnaast worden gegevens van Nederlandse Vodafoneklanten opgeslagen in een datacentrum in Ratingen, Duitsland.

Vraag 3

Op welke wijze worden eisen gesteld aan de nieuwe aanbieder om te voorkomen dat belgegevens van Rijksmedewerkers onder de USA Freedom Act vallen? Zijn deze eisen vastgelegd in het eisenpakket voor de nieuwe aanbesteding? Zo ja, hoe?1

De aanbestedende dienst verricht de aanbesteding onder de vigerende wet- en regelgeving, waaronder de Aanbestedingswet 2012, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Wbp. De Aanbestedingswet 2012 laat zeer beperkt ruimte om op voorhand buitenlandse (Europese) partijen, dan wel partijen die afkomstig zijn uit landen die deelnemen aan de Government Procurement Act, uit te sluiten. Uitsluiting van partijen die onder de toepassing van de USA Freedom Act vallen is voor deze aanbesteding vanwege het non-discriminatiebeginsel niet mogelijk.
Om te voorkomen dat in strijd met Nederlandse wet- en regelgeving gegevens door de opdrachtnemer worden verwerkt of gedeeld, zijn eisen in het contract opgenomen. Deze eisen zijn:
Voldoen aan de in de aanbestedingsstukken genoemde kaders betreffende de beveiliging van gegevens waaronder Wbp, ISO standaard voor informatiebeveiliging (27001/2:2013) of gelijkwaardig, BIR, Voorschrift informatiebeveiliging Rijksdienst (VIR) en Voorschrift informatiebeveiliging Rijksdienst bijzondere informatie (VIRBI), waar deze van toepassing zijn.

Vraag 4

Welke eisen werden in de vorige aanbesteding gesteld aan de opdrachtnemer? Is dit in de nieuwe aanbesteding significant gewijzigd?

Voor de vorige aanbesteding geldt: onder Titel 8 («Geheimhouding en (informatie)beveiliging») van het Staatscontract Mobiele Communicatie OT2010 zijn in artikel 31 («Gebruik Persoonsgegevens Eindgebruiker») de voorwaarden opgenomen met betrekking tot persoons- en gebruiksgegevens (voor een pdf van het Staatscontract, zie: https://www.hisict.nl/contracten/ot2010-mobiele-communicatiediensten).
Op de nieuwe aanbesteding IWR2017|MCD (ICT Werkomgeving Rijk|Mobiele CommunicatieDiensten) zijn de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT2016) van toepassing. In artikel 18 («Verwerking persoonsgegevens») van de ARBIT2016 de voorwaarden met betrekking tot de verwerking van persoonsgegevens opgenomen (voor de ARBIT2016, zie: http://wetten.overheid.nl/BWBR0038569/2016-10-04).
Daarnaast zijn de beveiligingskaders vastgelegd de aanbestedingsdocumenten. Zie tevens het antwoord op vraag 3.
Door van toepassingverklaring van de ARBIT2016 en de gestelde voorwaarden met betrekking tot beveiliging en privacy zijn de eisen ten opzichte van de vorige aanbesteding in belangrijke mate gewijzigd.

Vraag 5

Heeft u ontbindingsclausules in de lopende aanbesteding opgenomen voor het geval de dataveiligheid in het gevaar komt? Is de overname van Vodafone door Liberty Global voor u aanleiding geweest hier gebruik van te maken en is uw beleid op enige wijze hierdoor gewijzigd?

Ja, er zijn ontbindings-/opzeggingsclausules in de lopende aanbesteding opgenomen, te weten:
Vanuit het ARBIT2016 art. 30.3 en art. 30.6. Hierin is onder andere genoemd dat ontbinding van het contract door de opdrachtgever, de Staat, mogelijk is wanneer sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de opdrachtnemer. Daarnaast geldt de overeenkomst voor bepaalde duur en is er geen stilzwijgende verlenging mogelijk. De opdrachtgever kan de overeenkomst onder gelijkblijvende voorwaarden driemaal verlengen, telkens voor een periode van 12 maanden. Indien opdrachtgever gebruik maakt van dit recht doet hij hiervan uiterlijk zes maanden voor het einde van de exploitatieperiode van de Raamovereenkomst schriftelijk en aangetekend mededeling aan de opdrachtnemer.
Van een overname van Vodafone door Liberty Global, het moederbedrijf van Ziggo, is overigens geen sprake. Het gaat om een samenvoeging van de Nederlandse divisies van Vodafone en Ziggo in een gezamenlijke onderneming «VodafoneZiggo Group Holding B.V.». Hierin hebben Vodafone en Liberty Global een even groot eigenaarbelang (50/50). De overgang naar VodafoneZiggo was geen aanleiding om de overeenkomst te beëindigen. Ook is het inkoopbeleid hierdoor niet gewijzigd.