Kamervragen
653 kamervragen gevonden
beantwoord onbeantwoord uitgesteld
Alle
30 augustus 2017 - 12 september 2017
13 dagen
Het onderzoek dat een meerderheid van de zorgwebsites geen veilige HTTPS-verbinding heeft |
|
Corinne Ellemeet (GL) |
|
Edith Schippers (minister volksgezondheid, welzijn en sport) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
-
Vraag 1
Heeft u kennisgenomen van het onderzoek dat een meerderheid van de zorgwebsites geen veilige HTTPS-verbinding heeft?1
Ja.
-
Vraag 2
Deelt u de opvatting dat zorgwebsites de plicht hebben om gevoelige gegevens optimaal te beveiligen? Zo nee, waarom niet?
Ik verwijs allereerst naar de schriftelijke vragen van Kamerleden Dijkstra en Verhoeven (D66) en de antwoorden daarop over de verplichtingen van zorgaanbieders om gegevens te beveiligen en de concrete maatregelen die in dat kader worden genomen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2690).
Wanneer er bijzondere persoonsgegevens worden verwerkt is het gebruik van HTTPS al verplicht op grond van de Wet bescherming persoonsgegevens (Wbp). Dit heeft de Autoriteit Persoonsgegevens (AP) aangegeven in hun antwoord op de vragen over beveiligde websiteverbindingen door Koninklijk Nederlands Genootschap voor Fysiotherapie (KNGF).2 Zoals de overheid die verantwoordelijkheid heeft voor overheidswebsites, zo hebben zorgaanbieders die voor hun zorgwebsites. -
Vraag 3
Bent u bereid om, in navolging van de verplichting dat overheid websites HTPPS beveiligd moeten zijn, dit ook te verplichten voor websites van zorgaanbieders en ziekenhuizen? Zo nee, waarom niet?
Zie antwoord vraag 2.
-
Vraag 4
Bent u bereid om in gesprek te gaan met ziekenhuizen en zorgaanbieders om het belang van beveiligde websites te benadrukken en de Kamer hierover te rapporteren? Zo nee, waarom niet?
Met het «Actieplan (informatie-) beveiliging patiëntgegevens» wordt veel aandacht besteed aan de bewustwording op dit onderwerp. Hierin wordt ook dit onderwerp meegenomen. De Autoriteit Persoonsgegevens houdt toezicht op de veiligheid van de persoonsgegevens.
-
Vraag 5
Ziet u nog andere concrete maatregelen om de beveiliging van medische gegevens van patiënten op websites van zorgaanbieders en ziekenhuizen zo optimaal mogelijk te beveiligen? Zo ja, kunt u deze verder toelichten?
Zie antwoord vraag 2.
21 augustus 2017 - 12 september 2017
22 dagen
Het bericht dat meerderheid van de zorgsites onbeveiligd is |
|
Kees Verhoeven (D66), Pia Dijkstra (D66) |
|
Edith Schippers (minister volksgezondheid, welzijn en sport) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Meerderheid zorgsites onbeveiligd, privacy autoriteit dreigt met boetes»?1
Ja.
-
Vraag 2
Wat is uw eerste reactie op het feit dat twee op de drie websites van zorginstellingen geen gebruik maken van een veilige verbinding?
De vertrouwelijkheid van medische informatie en de vertrouwelijke omgang met persoonsgegevens in de gezondheidszorg is essentieel en is een kernwaarde voor zowel patiënten als zorgaanbieders. Ik vind het van belang dat zorgaanbieders hun verantwoordelijkheid moeten en kunnen nemen ten aanzien van informatiebeveiliging.
Zoals aangegeven in mijn eerdere reactie op vraag 2, 4 en 5 van Kamerlid Oosenburg (PvdA) over de beveiliging van ziekenhuiswebsites (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1216) zijn informatiebeveiliging en privacybescherming in de eerste plaats verantwoordelijkheden van de zorgaanbieder zelf. De Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke het nemen van passende technische en organisatorische maatregelen waarbij het beveiligingsniveau passend moet zijn bij de aard van de te beschermen gegevens. In de gezondheidszorg zijn de NEN 7510, NEN 7512 en NEN 7513 de normen om dit beveiligingsniveau te bereiken. Het versleutelen van het informatieverkeer via een beveiligde (https-) verbinding is een voorbeeld van een maatregel, die uit die norm kan voortkomen. Voor iedere website en dienst zal de verantwoordelijke organisatie moeten bepalen of een beveiligde verbinding nodig is.
De Autoriteit Persoonsgegevens (AP) ziet hierop toe en kan zo nodig handhavend optreden. Ook de Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg.
Om zorgaanbieders nog beter toe te rusten om hun verantwoordelijkheden ten aan zien van informatiebeveiliging te nemen heb ik aanvullend hierop met branchepartijen het «Actieplan (informatie-) beveiliging patiëntgegevens» opgesteld. Hierover heb ik u geïnformeerd in mijn brief van 20 juni jl. (Kamerstuk 31 765, nr. 275). Het «Actieplan (informatie-) beveiliging patiëntgegevens» benoemt in de praktijk bewezen «good practices». Deze «good practices» hebben betrekking op de cultuur, structuur en compliance aan bestaande regelgeving van zorgaanbieders. Ik ben voornemens het «Actieplan (informatie-) beveiliging patiëntgegevens» uit te breiden naar andere sectoren (zoals bijvoorbeeld apothekers en huisartsen) ter verhoging van informatieveiligheid en de privacybescherming. De NVZ-campagne ZEKER is mijns inziens een mooi voorbeeld van het oppakken van de eigen verantwoordelijkheid door de zorgsector om de bewustwording op informatiebeveiliging en privacybescherming te verhogen.
Ik wil tot slot benadrukken dat patiënten er op moeten kunnen vertrouwen dat de bescherming van medische gegevens goed is geregeld. Dit is noodzakelijk voor de vertrouwensrelatie met de zorgverlener. Beveiliging van patiëntgegevens is een doorlopend punt van aandacht en zal altijd een onderwerp blijven waar alle partijen zich voor moeten hardmaken. Met het «Actieplan (informatie)beveiliging patiëntgegevens» heeft de sector een belangrijke stap gezet om de bescherming van medische gegevens verder te verbeteren. De Autoriteit Persoonsgegevens kan ook handhavend optreden als een aanbieder de beveiliging desondanks niet op orde heeft. -
Vraag 3
Heeft u een verklaring waarom minder dan een kwart van de websites van de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie een veilige verbinding afdwingt? Zo ja, wat is deze verklaring? Zo nee, kunt u dit laten uitzoeken?
Ik heb niet een specifieke verklaring waarom de ene zorgsector een hoger percentage beveiligde verbindingen heeft dan de andere zorgsector. Een mogelijke verklaring kan gevonden worden in een conclusie van PBLQ-rapport «Onderzoek naar de beveiliging van patiëntgegevens» (Kamerstuk 31 765, nr. 259). Daarin staat dat er groeiende bewustwording is bij zorgaanbieders als het gaat om informatiebeveiliging en privacybescherming. Dat leidt tot het nemen van maatregelen en beschikbaar stellen van capaciteit door zorgaanbieders op dat terrein. Het bewustwordingsproces is dus gaande, maar nog niet voltooid. In het nieuwsbericht van de NOS van 17 augustus jl. wordt bewustwording ook als verklaring genoemd. Ik wil door middel van de verbreding van het «Actieplan (informatie-) beveiliging patiëntgegevens» bijdragen aan een vergroting van de bewustwording en daarmee betere beveiliging, maar dat is niet een vrijblijvende keuze. Iedere zorgaanbieder zal dit op orde moeten hebben.
-
Vraag 4
Hoe komt het dat ziekenhuizen en huisartsen het relatief gezien goed doen? Is er een «best practice» te destilleren die door andere professionals overgenomen kan worden?
Zie antwoord vraag 3.
-
Vraag 5
Deelt u de mening dat het onwenselijk is als informatie onderschept wordt via onbeveiligde websites? Zo ja, welke mogelijkheden ziet u om dit aan te pakken? Zo nee, waarom niet?
Zie antwoord vraag 2.
-
Vraag 6
Deelt u de mening dat het van groot belang is dat de veiligheid van gegevens wordt beschermd en dat de zorgsector voldoende geëquipeerd moet zijn om zich te kunnen wapenen tegen kwaadwillende meelezers?
Zie antwoord vraag 2.
27 juli 2017 - 7 september 2017
42 dagen
Betalen door data te delen en de verkoop van consumentendata aan bedrijven en de overheid |
|
Maarten Hijink (SP) |
|
Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
-
Vraag 1
Heeft u kennisgenomen van de artikelen «Betalen door data te delen»1 en «Roomba maker may share maps of users» homes with Google, Amazon or Apple»2?
Ja.
-
Vraag 2
Vindt u het wenselijk dat producten of diensten gratis of met korting kunnen worden aangeschaft wanneer consumenten sociale media gegevens – waaronder de vriendenkring, interesses en persoonsgegevens – moeten afstaan?
Het gratis of met korting aanbieden van producten of diensten is een marketinginstrument dat al lange tijd gebruikt wordt om verkoop te bevorderen, zoals de «1 + 1 gratis» aanbiedingen in de winkel. Ook in de digitale wereld worden producten en diensten gratis of met korting aangeboden. Vaak staat daar iets Beantwoording vragen over het betalen door data te delen tegenover zoals het afstaan van (persoons)gegevens of het via sociale media verspreiden van informatie over het product of de dienst.
In ons bestaande systeem van consumentenbescherming is het van belang dat de consument zelf kan beslissen of hij een product of dienst gratis of met korting aanschaft, op voorwaarde dat hij helder en volledig geïnformeerd wordt als er voorwaarden worden gesteld aan de aanschaf zoals het delen van gegevens. De consument moet op basis van volledige en begrijpelijke informatie kunnen beslissen of hij wel of niet bereid is op die voorwaarden een product of dienst aan te schaffen. Daarnaast zijn gegevens die kunnen worden herleid tot een identificeerbaar persoon (persoonsgegevens) beschermd door de Wet bescherming persoonsgegevens (Wbp). Met ingang van 25 mei 2018 wordt de Wbp vervangen door de Algemene verordening gegevensbescherming (AVG). Uit de Wbp en de AVG volgt dat persoonsgegevens alleen mogen worden verwerkt wanneer hiervoor een in die wet dan wel verordening genoemde rechtsgrond aanwezig is, zoals ondubbelzinnige toestemming van de betrokkene. -
Vraag 3
Vindt u dat mensen voldoende bewust worden gemaakt van de gevolgen van het prijsgeven van persoonlijke data om ergens korting op te kunnen krijgen? Vindt u het bijvoorbeeld voldoende als het bedrijf betreffende voorwaarden alleen opneemt in de algemene voorwaarden, zoals in Engeland – bij wijze van experiment – gebeurde bij een WiFi-provider die mensen verplicht stelde toiletten schoon te maken?3
Zoals hierboven aangegeven mogen persoonsgegevens alleen worden verwerkt wanneer hiervoor een rechtsgrond aanwezig is. In dit geval is het op grond van de Wbp noodzakelijk dat de betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven. Het is aan de toezichthouder – de Autoriteit persoonsgegevens (AP) – en, in ultimo, aan de rechter, om te bepalen of in voorkomende gevallen aan deze voorwaarde voldaan is. Daarbij is onder meer relevant of betrokkene voldoende is geïnformeerd over de gegevensverwerking en of betrokkene een (voorafgaande) keuzemogelijkheid heeft gehad om in te stemmen met de gegevensverwerking dan wel om deze te weigeren.
De AVG stelt nadere voorwaarden aan de toestemming als rechtsgrond voor gegevensverwerking. De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, moet het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Betrokkene heeft het recht zijn toestemming te allen tijde op eenvoudige wijze in te trekken.
Daarnaast bepaalt artikel 11.7a Telecommunicatiewet (Tw) dat voor het plaatsen en lezen van informatie op het randapparaat van een eindgebruiker (bijvoorbeeld in de vorm van cookies) toestemming nodig is van die eindgebruiker en dat deze toestemming moet worden verkregen nadat de eindgebruiker hierover duidelijk en volledig is geïnformeerd, onder andere over het doel van het plaatsen en lezen van informatie en de personen met wie deze informatie wordt gedeeld. Toestemming in de zin van artikel 11.7a Tw kan niet worden verkregen door middel van acceptatie van de algemene voorwaarden. De toestemming is een wilsuiting die vrij, specifiek en op informatie berustend moet zijn. De wilsuiting moet dus ook specifiek zien op het accepteren van de voorgestelde verwerking van gegevens dan wel het plaatsen of uitlezen van gegevens. Voor een rechtsgeldige toestemming is verder van belang dat deze blijkt uit een handeling van de eindgebruiker zoals het «doorklikken» op een webpagina nadat de eindgebruiker er op is gewezen dat deze handeling betekent dat hij akkoord is met het plaatsen en lezen van cookies. Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers wordt gevolgd om gebruiksprofielen op te stellen op grond waarvan de eindgebruiker anders wordt behandeld dan andere eindgebruikers, geldt sinds januari 2013 het bij amendement Van Bemmel/
Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.
In het generieke consumentenrecht zoals opgenomen in ons Burgerlijk Wetboek (BW) worden regels gesteld die zien op informatieverstrekking aan consumenten. Op grond van artikel 230l, lid 1, aanhef en onder g, respectievelijk 230m lid 1, aanhef en onder r van boek 6 van het BW moeten handelaren en degene die namens hem of voor zijn rekening optreedt, voordat de consument gebonden is aan een overeenkomst of een aanbod daartoe, op duidelijke en begrijpelijke wijze informatie verstrekken over de functionaliteit van digitale inhoud, waaronder mede wordt verstaan het gebruik maken van tracking en/of personalisering.
Op grond van de regels omtrent oneerlijke handelspraktijken mag, kortgezegd, de handelaar en degene die ten behoeve van hem handelt geen onjuiste of misleidende informatie verstrekken of weglaten, verborgen houden of op onduidelijke, onbegrijpelijke, dubbelzinnige wijze dan wel laat verstrekken als de gemiddelde consument hierdoor een ander besluit over een overeenkomst neemt of kan nemen, dan hij anders had genomen. Een voorbeeld is de situatie waarin een product als gratis wordt aangeboden en de consument op een niet duidelijke plaats geïnformeerd wordt over wat er met zijn gegevens gebeurt. De consument kan dan namelijk zijn keuze onder meer niet op dit belangrijke aspect baseren.
Er zijn dus verschillende wettelijke kaders die voorwaarden stellen aan het gebruik van persoonlijke data. Bovendien wordt er toezicht gehouden op de naleving van deze wettelijke kaders, namelijk als het gaat om bescherming van persoonsgegevens door de Autoriteit persoonsgegevens en als het gaat om generieke consumentenbescherming door de Autoriteit Consument en Markt (ACM). -
Vraag 4
Hoe wenselijk vindt u het dat huishoudelijke apparatuur privacygevoelige informatie deelt met de fabrikanten en derde (commerciële) partijen?
Het verwerken van een persoonsgegeven is een inbreuk op de persoonlijke levenssfeer van de betrokkene. Deze inbreuk kan alleen gerechtvaardigd zijn wanneer de verwerking geschiedt in overeenstemming met de beginselen voor verwerking, waaronder rechtmatigheid, doelbinding, dataminimalisatie en transparantie zoals vastgelegd in de eerdergenoemde wettelijke kaders.
In de situatie die hier aan de orde is betekent dit dat verwerking van persoonsgegevens door Google alleen mag plaatsvinden wanneer hier een rechtsgrond, zoals ondubbelzinnige toestemming van de betrokkene, voor is. De betrokkene moet hier helder en volledig geïnformeerd worden over de verwerking van zijn persoonsgegevens. Wil de overheid inzicht in diezelfde informatie over de leefomgeving van de woning, dan dient krachtens artikel 10, eerste lid, van de Grondwet, een wettelijke bepaling te bestaan die de overheid een dergelijke bevoegdheid toekent.
De verwerking moet blijven binnen het doel waarvoor de gegevens worden verzameld en op transparante wijze geschieden. Verdere verwerking door een private partij voor een ander doel, zoals verstrekking aan een derde partij, kan wederom alleen wanneer betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven of indien, in het geval van de overheid, de wet daarvoor een grondslag kent. Daarnaast is het essentieel dat bedrijven zorgvuldig omgaan met de data die ze in dit kader verwerken.
De technologische ontwikkelingen en adoptie hiervan gaan snel. Er zijn toepassingsmogelijkheden die voorheen niet voorstelbaar waren. Ook ontstaan er nieuwe business modellen. Dit biedt kansen voor onze maatschappij en economie. Het kabinet vindt het belangrijk dat wet- en regelgeving voldoende ruimte bieden aan innovatie, vernieuwing en ondernemerschap, met inbegrip van de publieke belangen en waarden die door regelgeving geborgd moeten worden. Op het gebied van het omgaan met persoonsgegevens heeft de overheid zowel in Europees als nationaal verband voorwaarden en waarborgen vastgesteld, zoals hierboven aangegeven. De genoemde wetgeving bevat algemene verplichtingen voor private en publieke organisaties en rechten voor burgers. Hieraan moet het bedrijfsleven en de overheid zich houden. -
Vraag 5
Vindt u dat Google of de overheid, bijvoorbeeld via data verkregen door een stofzuiger, inzicht moet kunnen hebben in het fysieke leefomgeving van een woning, het schoonmaakgedrag van gezinnen en andere privacygevoelige details?
Zie antwoord vraag 4.
-
Vraag 6
Vindt u dat de voorwaarden die van toepassing zijn op producten voldoende duidelijk maken dat data die verzameld worden door apparatuur met een internetverbinding commercieel uitgebuit kunnen worden? Moeten consumenten niet beter geïnformeerd worden over en beschermd worden tegen het verkopen van privacygevoelige informatie?
Het is niet mogelijk hier in zijn algemeenheid een uitspraak over te doen. Het is primair de verantwoordelijkheid van bedrijven om in overeenstemming met de wet te handelen, transparant te communiceren over het gebruik van persoonsgegevens en het consumentenvertrouwen te behouden. Indien bedrijven zich niet aan de wet houden, dan is het aan de AP om op te treden dan wel, bij overtreding van de consumentenregels, aan de ACM.
De overheid hecht groot belang aan veiligheid en vertrouwen in het digitale domein en vervult een actieve rol in de bewustwording bij consumenten over ontwikkelingen rondom persoonsgegevens. De overheid heeft haar verantwoordelijkheid daarbij vertaald in wet- en regelgeving die erop gericht is om de consument te beschermen. Daarnaast neemt de overheid verantwoordelijkheid in het voorlichten van burgers, bijvoorbeeld via veiliginternetten.nl. Hierop staan onder meer praktische adviezen op het gebied van privacy. Ook is de overheid initiatiefnemer van en partner in de campagne Alert Online.
De ACM geeft via haar informatieloket ConsuWijzer informatie aan consumenten over het beschermen van online privacy https://www.consuwijzer.nl/thema/online-privacy en over de toepassing van artikel 11.7a Tw bijvoorbeeld in de Q&A’s via https://www.acm.nl/nl/download/publicatie/?id=14496. De AP geeft via haar website voorlichting aan burgers en bedrijven over de rechten en plichten op het gebied van privacybescherming (https://autoriteitpersoonsgegevens.nl). -
Vraag 7
Acht u het denkbaar dat in de nabije toekomst commerciële partijen of de overheid via Internet of Things (IoT) apparatuur inzicht krijgen in praktisch alle elementen van het dagelijks bestaan van mensen waaronder het gebruik van de wasmachine, de inhoud van de koelkast, het schoonmaakpatroon en het gebruik van sociale media?
Het is moeilijk om een algemene uitspraak te doen over de ontwikkeling van Internet of Things in de toekomst, omdat dit afhangt van veel verschillende factoren, waaronder ook de behoefte aan slimme apparaten bij de consument zelf en de bereidheid om deze gegevens te delen. Waar inzicht in deze gegevens wordt verlangd door private partijen is zoals hiervoor beschreven in het antwoord op de vragen 4 en 5 thans de Wbp en vanaf uiterlijk 25 mei 2018 de AVG maatvoerend. Voor zover de overheid hiermee inzicht zou willen verkrijgen in het gedrag van burgers inzake het gebruik van de wasmachine, inhoud van de koelkast en schoonmaakpatroon lijkt sprake te zijn van een inbreuk op de persoonlijke levenssfeer en is de overheid mitsdien gebonden aan de eisen die artikel 10, eerste lid, van de Grondwet en 8 van het EVRM stellen. Een inbreuk op de persoonlijke levenssfeer dient te zijn voorzien bij formele wet, en moet tevens noodzakelijk en proportioneel zijn in relatie tot het te dienen doel dat met de inbreuk op de persoonlijke levenssfeer wordt nagestreefd.
-
Vraag 8
Kunt u aangeven in welke landen wetgeving van kracht is die dergelijke praktijken strenger reguleert dan nu in Nederland het geval is? Welke mogelijkheden ziet u om Nederlandse burgers beter te informeren en beschermen tegen het ongewenst delen van persoonlijke data?
Vanaf 25 mei 2018 zal in alle Europese lidstaten de Algemene verordening gegevensbescherming van kracht zijn, waarmee het kader voor bescherming van persoonsgegevens van consumenten in belangrijke mate geharmoniseerd zal zijn. Dit betekent dat alle burgers een zelfde niveau van bescherming zullen hebben binnen de Europese Unie.
De AVG bevat een uitgewerkte regeling van de informatie die door de verwerkingsverantwoordelijke aan de betrokkene moet worden verstrekt bij de verkrijging van persoonsgegevens, zowel wanneer de gegevens bij de betrokkene zelf worden verzameld als wanneer de gegevens niet van de betrokkene zijn verkregen. Ook het recht op inzage en het recht op rectificatie en het wissen van de gegevens zijn in de AVG verankerd. Bovendien bepaalt de AVG dat de communicatie met de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moet plaatsvinden.
24 juli 2017 - 30 augustus 2017
37 dagen
Het bericht dat de ov-chipkaart op de mobiele telefoon flopt. |
|
Cem Laçin |
|
Sharon Dijksma (staatssecretaris infrastructuur en waterstaat) (PvdA) |
|
Bronnen
-
Vraag 1
Wat is uw reactie op de berichtgeving dat de ov-chipkaart op de mobiele telefoon flopt?1
De introductie van OV-chip mobiel is niet vlekkeloos verlopen. Translink geeft aan dat de problemen technisch van aard waren en te maken hadden met het registreren/aanmelden. De problemen zijn volgens Translink inmiddels opgelost. OV-chip mobiel wordt door de openbaar vervoerbedrijven fasegewijs toegankelijk gemaakt voor reizigers.
Om het publieke belang van een goed en betaalbaar openbaar vervoer te borgen, moeten reizigers op een goede wijze kunnen betalen voor het openbaar vervoer (OV). In het Nationaal Openbaar Vervoer Beraad (NOVB) zet ik mij hiervoor in. Omdat er met de OV-chipkaart een goed middel is voor reizigers om te betalen voor het OV, is het publieke belang niet in het geding. De waardering van de reiziger voor het gebruiksgemak van de OV-chipkaart is in de OV-klantenbarometer 2016 gestegen naar een 8,1.
Ik vind dat openbaarvervoerbedrijven de ruimte moeten hebben om het betaalsysteem in het openbaar vervoer verder te verbeteren. Zoals ik u op 27 januari 20162 schreef, wordt er door de vervoerders aan verschillende nieuwe mogelijkheden om te betalen gewerkt. Uitgangspunt is dat de nieuwe systemen een toegevoegde waarde moeten hebben ten opzichte van de huidige OV-chipkaart. In NOVB-verband wordt er in de komende jaren door Translink, de openbaar vervoer bedrijven, consumentenorganisaties en overheden onder meer gekeken naar de betrouwbaarheid en betaalbaarheid van de verschillende systemen. -
Vraag 2
Kunt u de verschillende beslissingen die zijn genomen in het proces rondom het opstarten, invoeren en uitvoeren van de pilot in een tijdslijn inzichtelijk maken, waarbij per beslissing wordt aangegeven waarom geconcludeerd werd dat een volgende stap mogelijk was en kan in de tijdslijn aangegeven worden wanneer en waarom is afgeweken van de eerdere planning? Zo nee, waarom niet?
De openbaarvervoerbedrijven en Translink zijn verantwoordelijk voor de ontwikkeling van nieuwe betaalwijzen en de invulling van pilots. Translink geeft aan dat de introductie van OV-chip mobiel plaats vond nadat het aanmelden en gebruik uitgebreid getest was met behulp van een testgroep. Na de introductie op 22 mei 2017 was de belangstelling zo groot dat dit technische problemen opleverde. Deze problemen zijn inmiddels opgelost. In deze eerste fase wordt het betaalmiddel conform plan voor maximaal 10.000 reizigers met een Vodafone of KPN-abonnement ter beschikking gesteld. De gebruikers wordt gevraagd naar verbeterpunten om zodoende stap voor stap OV-chip mobiel voor een groter publiek geschikt te maken.
-
Vraag 3
Kunt u tevens de verschillende beslissingen die zijn genomen in het proces rondom de pilot die reizen met een bankpas mogelijk moet maken inzichtelijk maken in een tijdslijn, waarbij per beslissing wordt aangegeven waarom geconcludeerd werd dat een volgende stap mogelijk was tot het moment dat besloten werd de invoering (voorlopig) niet door te laten gaan? Zo nee, waarom niet?
Net zoals bij OV-chip mobiel, is «reizen met de bankkaart» een innovatie waarmee Nederland tot de voorlopers behoort. Translink geeft aan dat het «reizen met de bankkaart» op dit moment volop in ontwikkeling is. Wel gaat de ontwikkeling minder snel dan verwacht. Het streven is om eind 2017 te starten met een pilot in Den Haag. Voor het kunnen uitvoeren van deze pilot moet onder meer de apparatuur geschikt gemaakt worden en moeten er afspraken met banken worden gemaakt. Ook worden de ervaringen met de OV-chip mobiel hierin meegenomen.
-
Vraag 4
Hoeveel kosten zijn op tot op 1 juli 2017 door Translink gemaakt met de pilot van een ov-chipkaart op een mobiele telefoon en welke verwachting is er voor het toekomstig uitgavenpatroon?
Translink geeft aan dat er in 2016 € 1,2 miljoen is geïnvesteerd. De telecombedrijven en OV-bedrijven hebben ook investeringen gedaan voor de eerste uitrol van 10.000 OV-chip mobiel gebruikers. Translink geeft aan dat de definitieve business case afhankelijk is van het aantal gebruikers.
-
Vraag 5
Hoe verhoudt de uitspraak van Translink-directeur Groothedde die stelt dat «de eerste dagen waardeloos zijn geweest» zich tot het feit dat het maanden na de start van deze pilot nog steeds een chaos is?
Translink geeft aan dat de technische problemen bij de opstart van de pilot zijn opgelost en geeft aan dat de 5.400 huidige gebruikers van OV chipmobiel tevreden zijn. Het aantal gebruikers stijgt. Zie verder de antwoorden op de vragen 1 en 2.
-
Vraag 6
Bent u het eens met de uitspraak van hoogleraar Van Wee van de Technische Universiteit Delft over de pilot dat het «overkomt alsof die niet professioneel is aangepakt»? Kunt u uw antwoord toelichten?
Zoals ik in mijn antwoord op vraag 1 heb aangegeven vind ik dat de introductie van OV-chip mobiel niet vlekkeloos is verlopen. De communicatie over randvoorwaarden en omvang van de pilot had beter gemoeten. Tevens vind ik dat openbaar vervoerbedrijven de ruimte moeten hebben om het betaalsysteem in het openbaar vervoer verder te verbeteren. Ook in de vorm van pilots waarvan niet altijd vooraf duidelijk is of deze in de praktijk direct tot het gewenste resultaat leiden.
-
Vraag 7
Kunt u garanderen dat de kosten voor de mislukte pilots met de ov-chipkaart op de mobiele telefoon en het reizen met de bankpas niet voor rekening komen van de reizigers of de belastingbetaler? Zo nee, waarom niet?
Zoals eerder aangegeven moeten alternatieve vormen voor betalen in het OV meerwaarde bieden boven de OV-chipkaart. Dit kan bijvoorbeeld doordat het efficiënter is en het openbaar vervoer in totaal goedkoper maakt. Of doordat de nieuwe betaalwijze nieuwe reizigers trekt en bestaande reizigers aantrekkelijke alternatieven biedt. Dit wordt in het NOVB bewaakt, waarmee de positie van de reiziger geborgd wordt. De pilots worden uitgevoerd en betaald door Translink, de openbaar vervoerbedrijven, de telecombedrijven en de banken. Er zijn momenteel geen bijdragen vanuit het Rijk en dus komen kosten niet voor rekening van de belastingbetaler.
-
Vraag 8
Kunt u inzichtelijk maken met welke pilots Translink op dit moment nog meer bezig is, in welke fase die pilots op dit moment verkeren en hoeveel kosten er al gemaakt zijn hiervoor?
Translink en de OV-bedrijven werken aan alle innovaties zoals afgesproken in de visie OV-betalen3. De pilot van betalen met een chip in de mobiele telefoon bevindt zich nu in de fase dat hij is opengesteld voor 10.000 gebruikers. Er zijn op dit moment 5400 gebruikers van dit alternatief en hun ervaringen worden gebruikt om het product verder te verbeteren. In het jaarverslag 2016 van Translink staat dat voor deze pilot € 1,2 miljoen is geïnvesteerd. De pilot voor het betalen met de bankkaart (EMV) wordt voorbereid (zie antwoord op vraag 3). In het jaarverslag 2016 van Translink staat dat voor deze pilot € 2,4 miljoen geïnvesteerd is. Daaronder vallen ook de kosten voor het vervangen van het kernsysteem van de OV-chipkaart, dat 15 jaar oud was. Hiermee is het systeem verder toekomstbestendig gemaakt. Andere innovatie-trajecten zoals Be in Be out (een systeem met bluetooth) staan verder in de toekomst gepland en daar zijn nog geen pilots van in voorbereiding.
-
Vraag 9
Bent u bereid om het Bureau ICT Toetsing te vragen de verschillende pilots bij Translink door te lichten? Zo ja, wanneer kunt u de Kamer daarover informeren? Zo nee, waarom niet?
Nee. Het Bureau ICT Toetsing toetst grote projecten van de rijksoverheid met een ICT-component van meer dan € 5 miljoen. De pilots worden uitgevoerd en betaald door Translink en de openbaar vervoerbedrijven en zijn dus geen project van de rijksoverheid. Translink is een private onderneming met als enige aandeelhouder de Coöperatie Openbaar Vervoerbedrijven. Alle bedrijven met openbaar vervoer concessies in Nederland zijn lid van deze coöperatie.
3 juli 2017 - 22 augustus 2017
50 dagen
Het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS |
|
Maarten Hijink (SP), Ronald van Raak (SP) |
|
Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie), Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Kunt u, nu u aangeeft antwoorden op eerdere vragen dat het UWV (UItvoerigsorgaan werknemersverzekeringen) een contract heeft met IBM, garanderen dat data van Nederlandse inwoners die bij het UWV bekend zijn niet in handen kunnen komen van de Amerikaanse overheid?1 2
UWV heeft maatregelen genomen om te borgen dat de persoonsgegevens die IBM verwerkt zodanig zijn beveiligd dat wordt voldaan aan de privacyregelgeving. Zo is IBM contractueel verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. Verder heeft UWV een beveiligingsovereenkomst met IBM gesloten waarbij alle klantspecifieke beveiligingsafspraken tot in detail zijn vastgelegd. Daar waar vereist heeft UWV een European Model Contract gesloten met IBM. In dergelijke modelcontracten (waarvan de tekst is vastgesteld door de Europese Commissie) worden passende waarborgen gegeven voor de bescherming van persoonsgegevens die in lijn zijn met de Europese kaders. Nederland heeft echter geen directe invloed op wetgeving van buiten de EU die de privacyregelgeving zou kunnen doorkruisen. Van een volledige garantie kan dan ook geen sprake zijn (zie ook het antwoord onder 2).
Momenteel loopt een aanbestedingstraject om de datacenterdienstverlening bij UWV opnieuw te verwerven. In de aanbesteding worden uitgebreide, concrete eisen opgenomen over beveiliging. Een beveiligingsovereenkomst gebaseerd op de geldende standaarden vormt onderdeel van de contractset en deze wordt (zoals nu ook bij IBM het geval is) in concrete afspraken uitgewerkt. Ook heeft UWV, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hiermee borgt UWV dat ook bij een nieuw contract voor datacenterdienstverlening een passend beschermingsniveau van persoonsgegevens en een afdoende algemeen beveiligingsniveau wordt geboden. -
Vraag 2
Kunt u garanderen dat de persoonsgegevens van Nederlandse burgers, of dat nu via het UWV of een andere overheidsinstantie is, niet in handen kunnen komen van de Amerikaanse overheid? Zo nee, wat gaat u hierop ondernemen?
Nee, die garantie kan ik niet geven. Er bestaat immers een aantal rechtsgrondslagen om persoonsgegevens aan de Amerikaanse overheid te verstrekken. Een voorbeeld hiervan is de samenwerking op strafrechtelijk gebied, waarbij in het kader van opsporingsonderzoeken gegevens kunnen worden doorgegeven aan de overheden van derde landen, waaronder de Verenigde Staten. Dit kan ook gegevens aangaande Nederlandse burgers betreffen. Deze verstrekking geschiedt in beginsel slechts indien een verdrag met het desbetreffende land daarvoor een adequate grondslag biedt. Toepassing van rechtshulpverdragen tussen Nederland en het desbetreffende land is voor strafrechtelijke samenwerking de meest in aanmerking komende oplossing. Met de Verenigde Staten bestaat een dergelijk verdrag. Ook op andere terreinen, zoals bijvoorbeeld de belastingheffing, bestaan verdragen die voorzien in de doorgifte van persoonsgegevens aan derde landen.
-
Vraag 3
Deelt u de mening dat het opslaan van data op buitenlandse servers de kans vergroot dat deze data in handen komen van buitenlandse overheden, zeker nu Google de gebruikersgegevens moet afstaan? Zo nee, waarom niet? Zo ja, gaat u maatregelen nemen om dit onmogelijk te maken?
Indien gegevens op servers in het buitenland staan, is er sprake van een verhoogde kans op bemoeienis van buitenlandse overheden. Vanzelfsprekend vallen gegevens op servers welke in het buitenland zijn geplaatst onder de jurisdictie van het desbetreffende land. De kans is daarbij aanwezig dat deze gegevens, in zijn algemeenheid en met inachtneming van de ter zake geldende wetgeving in dat land, door instanties in dat land kunnen worden opgevraagd.
Ik ben niet van plan extra maatregelen te nemen om het opslaan van data op buitenlandse servers onmogelijk te maken. Van welke dienstverleners gebruik wordt gemaakt is een afweging die binnen de kaders van wet- en regelgeving wordt gemaakt. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor bijvoorbeeld open data. Overheden die data willen afschermen tegen onbevoegde inzage staan verschillende maatregelen ter beschikking. Het afdwingen van de opslaglocatie is een mogelijke maatregel, maar goede encryptie is bijvoorbeeld ook een optie. De aard van de data en de risico’s die hier verbonden aan zijn, bepalen de mix van deze maatregelen. -
Vraag 4
Waarop baseert u dat op dit moment volgens u de Nederlandse inwoners voldoende beschermd zijn tegen het meekijken van buitenlandse mogendheden?
Zoals reeds aangegeven in de beantwoording van eerdere Kamervragen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2149) kan niet worden uitgesloten dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Indien er geconstateerd wordt dat het geval is neemt het kabinet maatregelen.
In zijn brief van 21 juni 2017 (vergaderjaar 2016–2017, Kamerstuk 26 643, nr. 477) bij de aanbieding van het Cybersecuritybeeld Nederland 2017 (CSBN 2017) gaf de Staatssecretaris van Veiligheid en Justitie aan dat de grootste dreiging in het digitale domein blijft uitgaan van beroepscriminelen en statelijke actoren.
Hoewel overheid, bedrijfsleven, wetenschap en burgers in Nederland veel inspanningen verrichten om de digitale weerbaarheid te vergroten laat het CSBN 2017 ook zien dat het bijhouden van de groeiende kwetsbaarheid van de maatschappij als geheel een grote uitdaging blijft. Het beeld laat zien dat investeren in de toekomst nodig zal blijven voor de digitale weerbaarheid.
23 juni 2017 - 4 juli 2017
11 dagen
Het bericht dat de Autoriteit Consument & Markt een rekenhulp introduceert voor roamingkosten |
|
Jan Paternotte (D66) |
|
Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie), Mark Rutte (minister-president , minister algemene zaken) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Autoriteit Consument & Markt introduceert rekenhulp voor roaming»?1
Ja.
-
Vraag 2
Bent u van mening dat consumenten voldoende ingelicht worden over de beperking van de nieuwe roamingafspraken, aangezien de nieuwe roamingafspraken in media veelal worden betiteld als «roam-like-at-home» terwijl er in de praktijk toch beperkingen bestaan? Wat doet u om ervoor te zorgen dat consumenten zich bewust zijn van de beperkingen?
In de EU-regelgeving is vastgelegd dat de klant bij roaming in een andere EU-lidstaat zijn binnenlandse tarief betaalt (roam-like-at-home), binnen de grenzen van redelijk gebruik van roaming. Telecombedrijven mogen een fair use policy hanteren om te voorkomen dat er misbruik of afwijkend gebruik wordt gemaakt van roaming voor andere doelen dan periodiek reizen in de EU. Ook mogen telecombedrijven de hoeveelheid dataroaming zonder toeslag beperken op basis van een afgesproken formule, en bij wijze van uitzondering alsnog een toeslag vragen voor roaming als zij tegenover hun toezichthouder kunnen aantonen de kosten van roaming niet te kunnen terugverdienen. Deze beperkingen zijn bewust toegestaan om te voorkomen dat telecombedrijven te hoge kosten maken als gevolg van roamende klanten en genoodzaakt zijn hun binnenlandse tarieven te verhogen ter compensatie van die kosten. Het staat telecombedrijven vrij om geen gebruik te maken van de beperkingen. Ik ben van mening dat consumenten op grond van de roamingregels in de EU voldoende worden ingelicht over deze beperkingen. Telecombedrijven zijn verplicht hun klanten te informeren over eventuele beperkingen ten aanzien van het roam-like-at-home principe in hun contract. Daarnaast moeten zij de klant hierover informeren iedere keer dat hij de grens passeert (per sms of e-mail), tenzij de klant heeft verzocht dat niet meer te doen. Bovendien moet een telecombedrijf zijn klant waarschuwen als deze het maximum aantal gigabytes dat hij mag verbruiken voor het thuistarief – voor zover een maximum wordt gehanteerd – heeft opgebruikt. De overheid informeert de consument over zijn rechten middels de website consuwijzer.nl.
Overigens valt bellen vanaf het thuisnetwerk naar een ander netwerk in de EU niet onder het begrip roaming zoals de EU-wetgeving dat hanteert, zodat ik dit niet beschouw als een beperking ten opzichte van het roam-like-at-home principe. Deze vorm van bellen wordt internationaal bellen genoemd en is niet gereguleerd. De roamingafspraken hebben alleen betrekking op bellen of sms-en vanaf een ander netwerk in de EU dan het thuisnetwerk (naar een nummer in de EU), op het ontvangen van een telecomgesprek of sms op een ander netwerk in de EU dan het thuisnetwerk, en op internetten op een ander netwerk in de EU dan het thuisnetwerk. -
Vraag 3
Bent van mening dat de kosten die telecomproviders voor bellen naar het buitenland binnen de EU (in Nederland tarieven tot soms 90 cent per minuut, en in andere lidstaten tot zelfs 1,99 euro per minuut) in rekening brengen in verhouding staan tot de kostprijs van een minuut bellen binnen de EU?2
De kostprijs voor bellen naar een andere lidstaat in de EU bestaat uit het opbouwen van het gesprek op het thuisnetwerk, een vergoeding voor de internationale transit naar het buitenlands netwerk en een vergoeding aan het buitenlandse netwerk voor het afwikkelen van het gesprek. De laatste twee componenten kunnen zorgen voor een hogere kostprijs vergeleken met bellen binnen Nederland. Het is niet mogelijk om een generieke uitspraak te doen over de vraag of het tarief voor bellen naar een andere EU-lidstaat in verhouding staat tot de kostprijs. De tarieven zijn de uitkomst van vrije prijsvorming en hoeven de kostprijs niet te weerspiegelen. Het tarief verschilt bovendien van aanbieder tot aanbieder en per aanbieder soms van abonnement tot abonnement.
-
Vraag 4
Bent u ermee bekend dat 150 Europarlementariers de Europese Commissie gevraagd hebben een voorstel te doen om ook het bellen naar buitenlanden binnen de EU te gaan reguleren om zo excessieve prijzen voor data, telefonie en sms te beperken?3
Ja.
-
Vraag 5
Deelt u de mening dat het wat kosten betreft binnen de EU niet zou moeten uitmaken naar welke Europese lidstaat men belt en dat de vrijheid binnen data-, bel- en sms-bundels ook zou moeten gelden voor bellen en sms’en vanuit het thuisland?
De mogelijkheid om vanuit het thuisland tegen het binnenlands tarief te bellen naar elk land binnen de EU is aantrekkelijk voor de consument, maar heeft nadelen. Het vraagt om EU-regulering die telecombedrijven verplicht voor alle gesprekken vanaf het thuisnetwerk naar een netwerk in de EU het binnenlands tarief te rekenen. Telecombedrijven kunnen het tarief voor internationaal bellen dan niet langer gebruiken als middel om zich te onderscheiden van hun concurrenten in de markt. Ze zouden de gederfde inkomsten door lagere tarieven voor internationaal bellen bovendien kunnen compenseren door hogere binnenlandse tarieven te vragen. Ondertussen lijkt de noodzaak van dit type regulering te zijn ingehaald door de markt. Consumenten die een redelijk tarief willen betalen voor internationaal bellen, kunnen gebruik maken van telecombedrijven en abonnementsvormen die een lager tarief rekenen, van speciale 0900-nummers met lage tarieven voor internationaal bellen4 of zonder kosten bellen over het internet (bijvoorbeeld via Skype, Facetime of Whatsapp). Er is dus keuze op de markt voor internationaal bellen, waar prijsbewuste consumenten gebruik van kunnen maken.
-
Vraag 6
Bent u bereid om u hiervoor in te zetten door aan te sluiten bij de oproep van de 150 Europarlementariërs en in de Europese Raad en de Raad voor het concurrentievermogen te pleiten voor het reguleren van telefonie, sms-verkeer en datagebruik binnen de EU?
Om de redenen genoemd in mijn antwoord op vraag 5 vind ik het niet wenselijk om in raadsverband te pleiten voor het reguleren van internationaal bellen binnen de EU. Mocht de Europese Commissie besluiten het initiatief te nemen tot een wetgevend voorstel, wat niet in de lijn der verwachting ligt, dan zal ik dat beoordelen op zijn merites en uw Kamer hierover informeren.
2 juni 2017 - 22 juni 2017
20 dagen
Het bericht dat de gemeente Groningen de ICT-voorzieningen privatiseert |
|
Ronald van Raak (SP) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Bent u op de hoogte van het feit dat de gemeente Groningen voornemens is om alle generieke ICT-voorzieningen te privatiseren, ondanks bezwaren van experts?1
Ja.
-
Vraag 2
Hoeveel gemeenten hebben hun ICT-voorzieningen op vergelijkbare wijze geprivatiseerd?
Op aanbesteding van ICT-diensten zijn Europese en nationale aanbestedingsregels van toepassing. Dat laat onverlet dat er onder omstandigheden ook kan worden gekozen voor het inbesteden (in eigen beheer uitvoeren) van bepaalde diensten. De keuze hiervoor binnen de gemeente is de verantwoordelijkheid van het College van burgemeester en wethouders en de raad van de betreffende gemeenten. De wijze waarop ICT-diensten worden aanbesteed of inbesteed wordt niet centraal vastgelegd. Ik heb hier dus geen overzicht van.
-
Vraag 3
Vindt u het privatiseren van de ICT-voorzieningen van de gemeente Groningen, waarbij ook nog eens vele mensen hun baan verliezen, wenselijk? Zo ja, waarom? Zo nee, waarom niet?
Zoals ik aangeef in het antwoord op vraag 2 is het aanbesteden of inbesteden van ICT-dienstverlening de verantwoordelijkheid van de gemeenten zelf. De afweging over de gevolgen is aan het College en de Raad. Ik kan als Minister van BZK uw opvatting dat «vele mensen hun baan verliezen» in dit verband noch onderschrijven, noch ontkrachten.
-
Vraag 4
Kunt u garanderen dat de gegevens van de Groningse inwoners veilig zijn, wanneer de ICT-voorzieningen van de gemeente worden geprivatiseerd? Zo nee, wat gaat u doen om deze veiligheid te garanderen?
Veiligheid is altijd een streven en is nooit te garanderen. Gemeenten doen er alles aan om de veiligheid te realiseren. Bij aanbesteding of inbesteding van de ICT-diensten blijft de aanbestedende dienst verantwoordelijk voor de bescherming van persoonsgegevens. Daarop is de Wet bescherming persoonsgevens van toepassing. De Autoriteit Persoonsgegevens ziet daarop toe. Om de veiligheid van gegevens te garanderen hebben de gemeenten zich gecommitteerd aan de Baseline Informatiebeveiliging voor Gemeenten (BIG). Aanbesteding of uitbesteding verandert daar niets aan.
-
Vraag 5
Deelt u de zorg dat op deze manier waardevolle ICT-kennis binnen decentrale overheden verdwijnt, zeker nu tweederde van de gemeenten te maken heeft met datalekken?2
Uitbesteden van dienstverlening op het vlak van ICT is en blijft een gemeentelijke afweging. Het is noodzakelijk dat de gemeente in die gevallen een passend opdrachtgeverschap inricht met een daarvoor voldoende inhoudelijke kennis en ervaring. Uitbesteding en/of samenwerking helpt in die zin gemeenten te voorzien in op dit moment schaarse kennis en vaardigheden van de uitvoering van ICT. Deze schaarste doet zich overigens niet alleen bij gemeenten voor.
Uitbesteding van ICT is op zichzelf geen factor bij het voorkomen van datalekken. De gemeente dient passende technische en organisatorische maatregelen te nemen ter voorkoming van datalekken, dit is ook in een situatie van uitbesteding goed mogelijk. Waar nodig wordt, ingevolge de wet bescherming persoonsgegevens (Wbp), een verwerkersovereenkomst opgesteld waarin de afspraken over de omgang met persoonsgegevens worden vastgelegd. -
Vraag 6
Kunt u aangeven waarom het Bureau ICT Toetsing (BIT) heeft aangegeven dat er bij dit project geen BIT-toets mogelijk was?
In het Instellingsbesluit tijdelijk Bureau ICT-toetsing (Staatscourant Nr. 21178, 23 juli 2015) wordt het bureau belast met de taak te adviseren over de risico’s en slaagkans van ICT-projecten bij ministeries en publiekrechtelijke zelfstandige bestuursorganen, zoals bedoeld in artikel 4 van de Kaderwet zelfstandige bestuursorganen. Het bureau heeft geen bevoegdheid om te adviseren over ICT-projecten bij gemeenten.
-
Vraag 7
Vindt u het wenselijk dat ook gemeenten een BIT-toets kunnen doen bij dit soort grote projecten? Zo ja, gaat u dat mogelijk maken? Zo nee, waarom niet?
Nee. Gemeenten hebben een zelfstandige verantwoordelijkheid als het gaat om het beheersen van grote ICT-projecten. Ik zie daarin geen rol voor het BIT.
-
Vraag 8
Bent u bereid landelijke regels te stellen rondom gemeentelijke privatisering van ICT-voorzieningen? Zo nee, waarom niet?
Nee, er is op dit moment geen aanleiding om de aanbestedingsregels die gelden voor overheidsorganisaties, die voor het laatst in 2016 zijn aangepast, te herzien.
18 mei 2017 - 12 juni 2017
25 dagen
De internationale cyberaanval en de ICT van de Overheid |
|
Jan Middendorp (Volkspartij voor Vrijheid en Democratie) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
-
Vraag 1
Kent u het bericht «Waarschuwing voor grote internationale gijzelsoftware-campagne»?1
Ja
-
Vraag 2
Wat wordt er op dit moment concreet gedaan om te zorgen dat ICT-systemen van de rijksoverheid zelf niet geïnfecteerd raken?
Mij zijn geen gevallen bekend van besmettingen bij de rijksoverheid. Ook bij het Nationaal Cyber Security Centrum (NCSC) zijn geen besmettingen gemeld, zoals de Minister van Veiligheid en Justitie in zijn brief van 2 juni heeft aangegeven. Niettemin heeft de aanval van Wannacry malware en zijn impact ertoe geleid dat bij verschillende organisaties van de Rijksdienst is en wordt nagelopen of ook echt op alle relevante plekken de relevante patches zijn toegepast.
Meer in het algemeen is bij de Rijksdienst een stelsel van regelgeving voor informatiebeveiliging van toepassing. Maar daarmee zijn we er niet. In de strategische I-agenda Rijksdienst is daarom «Verstandige aandacht voor informatiebeveiliging en privacy» één van de vijf thema’s.
Verder informeert en waarschuwt het NCSC organisaties binnen de rijksoverheid zodat ook een dreiging van een passend antwoord kan worden voorzien.
Ten slotte wil ik opmerken dat beveiliging en beheer van ICT een cyclisch proces is. Dat betekent dat acties ten behoeve van beveiliging niet eenmalig zijn, maar voortdurend, en met regelmaat terugkeren. -
Vraag 3
Is alle software bij de rijksoverheid voldoende veilig en actueel? Zo nee, welke actie gaat u hiervoor ondernemen?
Zie antwoord vraag 2.
-
Vraag 4
Kan er een overzicht verstrekt worden van de ICT-systemen die draaien onder de verantwoordelijkheid van Binnenlandse Zaken en Koninkrijksrelaties met een beeld van de laatste stand? Hoe wordt het delen van expertise over het voorkomen van dit soort cyberaanvallen met andere ministeries georganiseerd?
Ik beschik over een omvangrijk overzicht van alle ICT-systemen waarvoor ik opdrachtgever en verantwoordelijk ben. Dit overzicht is zeer divers van aard, en bevat naast de grote systemen zoals DigiD ook een veelheid aan componenten die ten dienste staan van de (interne) bedrijfsvoering of kleinere systemen; alles bij elkaar bestaat dit overzicht uit ongeveer 800 elementen. Wat betreft de stand van zaken: van alle elementen in dit overzicht is mijn beeld dat zij niet getroffen zijn door het Wannacryvirus.
De rijksoverheid maakt gebruik van de expertise van het NCSC. Hierbij verwijs ik nogmaals naar de hiervoor genoemde brief van mijn collega van Veiligheid en Justitie. -
Vraag 5
Welke lessen trekt u uit deze cyberaanval? Wat gaat de rijksoverheid anders doen inzake de eigen ICT-systemen ten opzichte van de huidige aanpak, om ervoor te zorgen dat de Rijks- en mede-overheden in de toekomst niet geraakt worden door cyberaanvallen?
Zoals ik hierboven opmerkte, zijn mij geen gevallen bekend van Wannacry besmettingen bij de rijksoverheid. Niettemin constateert de Algemene Rekenkamer helaas ook tekortkomingen in de informatiebeveiliging. De CIO-Rijk is hierover in gesprek met de CIO’s, waarbij specifieke aandachtspunten per departement worden besproken. In het tweede halfjaarlijkse gesprek zal de CIO Rijk de voortgang bespreken op deze aandachtspunten. De Kamer zal eveneens over de voortgang worden geïnformeerd.
Ten aanzien van medeoverheden geldt dat informatiebeveiliging een verantwoordelijkheid is het betreffende bestuursorgaan, dat dus ook zelf verantwoordelijk voor het nemen van eventuele extra maatregelen.
16 mei 2017 - 7 juli 2017
52 dagen
De aanbesteding van mobiele telefonie |
|
Maarten Hijink (SP), Ronald van Raak (SP) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
|
-
Vraag 1
Wat is uw beleid rondom het opslaan van al dan niet vertrouwelijke gegevens van de rijksoverheid? Vallen belgegevens van medewerkers van de rijksoverheid hieronder?
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving, een afweging moet maken ten aanzien van de gewenste locatie van data. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Belgegevens zoals telefoonnummers, website bezoek (ip-adressen) en verkeersgegevens vallen onder de Wet bescherming persoonsgegevens (Wbp). De Wbp schrijft voor dat persoonsgegevens slechts onder bepaalde omstandigheden mogen worden opgeslagen buiten de Europese Economische Ruimte (EER). Voor aanbieders van telecommunicatiediensten geldt naast de Wbp ook de Telecommunicatiewet. In hoofdstuk 11 van de Telecommunicatiewet zijn de bepalingen opgenomen ter bescherming van de persoonsgegevens en de persoonlijke levenssfeer van de gebruikers van elektronische communicatienetwerken en -diensten.
Het bovenstaande wettelijke kader geldt ook voor de belgegevens van medewerkers van de rijksoverheid. -
Vraag 2
Kunt u aangeven waar de huidige aanbieder van mobiele telefonie voor de rijksoverheid gegevens over het belverkeer van medewerkers van de rijksoverheid opslaat?
VodafoneZiggo slaat persoons- en verkeersgegevens van Nederlandse Vodafoneklanten op in de z.g. switch locaties in Arnhem, Amsterdam, Groningen, Nieuwegein, Utrecht, Rotterdam en Venlo. Daarnaast worden gegevens van Nederlandse Vodafoneklanten opgeslagen in een datacentrum in Ratingen, Duitsland.
-
Vraag 3
Op welke wijze worden eisen gesteld aan de nieuwe aanbieder om te voorkomen dat belgegevens van Rijksmedewerkers onder de USA Freedom Act vallen? Zijn deze eisen vastgelegd in het eisenpakket voor de nieuwe aanbesteding? Zo ja, hoe?1
De aanbestedende dienst verricht de aanbesteding onder de vigerende wet- en regelgeving, waaronder de Aanbestedingswet 2012, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Wbp. De Aanbestedingswet 2012 laat zeer beperkt ruimte om op voorhand buitenlandse (Europese) partijen, dan wel partijen die afkomstig zijn uit landen die deelnemen aan de Government Procurement Act, uit te sluiten. Uitsluiting van partijen die onder de toepassing van de USA Freedom Act vallen is voor deze aanbesteding vanwege het non-discriminatiebeginsel niet mogelijk.
Om te voorkomen dat in strijd met Nederlandse wet- en regelgeving gegevens door de opdrachtnemer worden verwerkt of gedeeld, zijn eisen in het contract opgenomen. Deze eisen zijn:
Voldoen aan de in de aanbestedingsstukken genoemde kaders betreffende de beveiliging van gegevens waaronder Wbp, ISO standaard voor informatiebeveiliging (27001/2:2013) of gelijkwaardig, BIR, Voorschrift informatiebeveiliging Rijksdienst (VIR) en Voorschrift informatiebeveiliging Rijksdienst bijzondere informatie (VIRBI), waar deze van toepassing zijn. -
Vraag 4
Welke eisen werden in de vorige aanbesteding gesteld aan de opdrachtnemer? Is dit in de nieuwe aanbesteding significant gewijzigd?
Voor de vorige aanbesteding geldt: onder Titel 8 («Geheimhouding en (informatie)beveiliging») van het Staatscontract Mobiele Communicatie OT2010 zijn in artikel 31 («Gebruik Persoonsgegevens Eindgebruiker») de voorwaarden opgenomen met betrekking tot persoons- en gebruiksgegevens (voor een pdf van het Staatscontract, zie: https://www.hisict.nl/contracten/ot2010-mobiele-communicatiediensten).
Op de nieuwe aanbesteding IWR2017|MCD (ICT Werkomgeving Rijk|Mobiele CommunicatieDiensten) zijn de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT2016) van toepassing. In artikel 18 («Verwerking persoonsgegevens») van de ARBIT2016 de voorwaarden met betrekking tot de verwerking van persoonsgegevens opgenomen (voor de ARBIT2016, zie: http://wetten.overheid.nl/BWBR0038569/2016-10-04).
Daarnaast zijn de beveiligingskaders vastgelegd de aanbestedingsdocumenten. Zie tevens het antwoord op vraag 3.
Door van toepassingverklaring van de ARBIT2016 en de gestelde voorwaarden met betrekking tot beveiliging en privacy zijn de eisen ten opzichte van de vorige aanbesteding in belangrijke mate gewijzigd. -
Vraag 5
Heeft u ontbindingsclausules in de lopende aanbesteding opgenomen voor het geval de dataveiligheid in het gevaar komt? Is de overname van Vodafone door Liberty Global voor u aanleiding geweest hier gebruik van te maken en is uw beleid op enige wijze hierdoor gewijzigd?
Ja, er zijn ontbindings-/opzeggingsclausules in de lopende aanbesteding opgenomen, te weten:
Vanuit het ARBIT2016 art. 30.3 en art. 30.6. Hierin is onder andere genoemd dat ontbinding van het contract door de opdrachtgever, de Staat, mogelijk is wanneer sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de opdrachtnemer. Daarnaast geldt de overeenkomst voor bepaalde duur en is er geen stilzwijgende verlenging mogelijk. De opdrachtgever kan de overeenkomst onder gelijkblijvende voorwaarden driemaal verlengen, telkens voor een periode van 12 maanden. Indien opdrachtgever gebruik maakt van dit recht doet hij hiervan uiterlijk zes maanden voor het einde van de exploitatieperiode van de Raamovereenkomst schriftelijk en aangetekend mededeling aan de opdrachtnemer.
Van een overname van Vodafone door Liberty Global, het moederbedrijf van Ziggo, is overigens geen sprake. Het gaat om een samenvoeging van de Nederlandse divisies van Vodafone en Ziggo in een gezamenlijke onderneming «VodafoneZiggo Group Holding B.V.». Hierin hebben Vodafone en Liberty Global een even groot eigenaarbelang (50/50). De overgang naar VodafoneZiggo was geen aanleiding om de overeenkomst te beëindigen. Ook is het inkoopbeleid hierdoor niet gewijzigd.
16 mei 2017 - 14 juni 2017
29 dagen
De toekomstige beschikbaarheid van IC-prototypes voor het Nederlandse bedrijfsleven en wetenschappelijk onderzoek |
|
Eppo Bruins (CU) |
|
Sander Dekker (staatssecretaris onderwijs, cultuur en wetenschap) (Volkspartij voor Vrijheid en Democratie), Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
-
Vraag 1
Kent u het bericht «EU snijdt in chiptechnologie» in ScienceGuide van 11 mei 2017 over het niet continueren van de financiële steun van de Europese Unie (EU) aan het programma Europractice?1
Ja.
-
Vraag 2
Hoe waardeert u de inschatting van de onderzoekers dat het niet continueren van de steun voor Europractice desastreus zal zijn voor het Europese onderwijs en onderzoek en voor de industrie?
Meer dan 480 universiteiten en 170 onderzoeksinstellingen in 42 landen maken al vele jaren gebruik van Europractice om op kleine schaal prototypes van chips te ontwerpen, fabriceren en testen.
Europractice wordt ondersteund via het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie, thans genaamd Horizon 2020 (H2020). De ondersteuning van projecten in H2020 geschiedt door middel van «Calls for Proposals» die na indiening worden geëvalueerd door externe experts. Geselecteerde voorstellen verkrijgen daarna financiële ondersteuning met een looptijd van 3 tot 4 jaar. Europractice is via dit proces tot nu toe ondersteund (sinds 1995). De huidige Europese financiering loopt tot medio 2018.
De Europese Commissie heeft vorig jaar een «Call for proposals» (ICT-04–2017) opengesteld, waarin het Europractice-PLUS voorstel is ingediend. De Europese Commissie heeft ook andere voorstellen op vergelijkbaar gebied ontvangen. Het Europractice-PLUS voorstel en de andere voorstellen zijn geëvalueerd door externe deskundigen. Het Europractice-PLUS heeft in de evaluatie niet het minimum kwaliteitsniveau behaald om in aanmerking te komen voor financiële ondersteuning.
Indien Europractice alternatieve inkomstenbronnen zou bezien en inzetten, dan is het al of niet verkrijgen van Europese subsidie voor het Europractice initiatief niet direct van negatieve invloed op de beschikbaarheid van prototyping services voor ontwikkeling van integrated circuits(IC) voor onderzoekers en de kosten hiervan. -
Vraag 3
Wat zijn de gevolgen van het niet continueren van de steun voor Europractice voor de Nederlandse wetenschap en voor het Nederlandse hightechbedrijfsleven?
Zie antwoord vraag 2.
-
Vraag 4
Is er een reden waarom een cruciale basisfaciliteit als de productie van prototypes van integrated circuits (IC)uit tijdelijke projectfinanciering wordt gefinancierd? Deelt u de mening dat dit onwenselijk is?
De afgelopen 22 jaar is Europractice ondersteund via Europese projectfinanciering. Ik zet mij in om op Europese Unie niveau een continuering van een Europractice-achtige dienst op EU-schaal te faciliteren. De Europese Commissie is hierbij de eerstverantwoordelijke. Een Europractice achtige dienst dient derhalve te passen binnen het raamwerk van het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie.
-
Vraag 5
Bent u bereid om samen met de wetenschappers en het bedrijfsleven te zoeken naar alternatieve vormen van financiering met een grotere mate van continuïteit dan EU-projectsubsidies?
Het Europractice initiatief is een pan-Europees initiatief dat al vele jaren (sinds 1995) vanuit het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie wordt ondersteund. De Europese Commissie is hierbij de eerst verantwoordelijke, maar mijn betrokkenheid, evenals die van andere lidstaten, is hierbij via het H2020 ICT LEIT Committee (het Programme Committee voor Information and Communication Technologies binnen het H2020 onderdeel Leadership in Enabling and Industrial Technologies) gewaarborgd.
Nederland heeft deze kwestie tijdens een zitting van dit Committee aan de orde gesteld op 18 mei jl. De Nederlandse delegatie heeft met een groot aantal andere lidstaten bij de Europese Commissie aangegeven dat Europractice-achtige diensten noodzakelijk zijn en deze zouden niet moeten worden onderbroken.
De Europese Commissie heeft aangegeven dat naar verwachting oktober 2017 een «Call for Proposals» wordt opengesteld, waarin Europractice een vervolgvoorstel kan indienen. Indien in een volgende Call een voorstel wordt ingediend van een voldoende hoog kwaliteitsniveau zou dit in aanmerking kunnen komen voor Europese ondersteuning.
15 mei 2017 - 23 mei 2017
8 dagen
Het bericht dat ‘Nederland minder nieuwe glasvezelverbindingen krijgt’ |
|
Jan Paternotte (D66) |
|
Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
|
-
Vraag 1
Bent u bekend met bericht «Nederland krijgt minder nieuwe glasvezelverbindingen»?1
Ja.
-
Vraag 2
Wat is volgens u de reden dat er de afgelopen jaren minder glasvezel is gelegd in Nederland?
Zoals het onderzoek van Stratix in opdracht van de NOS laat zien, worden er minder huishoudens aangesloten op glasvezel dan 5 jaar geleden. Volgens de monitor van de ACM2 zijn er nu 2,5 miljoen huishoudens die glasvezel tot aan hun voordeur kunnen krijgen. Hiervan nemen 1 miljoen huishoudens daadwerkelijk de verbinding af. Dat de investeringen in glasvezelaansluitingen afnemen is onder andere te verklaren doordat de mobiele en vaste telecominfrastructuren in Nederland in internationaal perspectief van hoog niveau zijn en grotendeels aan de behoefte voldoen. Zo is Nederland al ver met de Europese doelstelling voor 2025 dat alle huishoudens beschikken over een 100Mbps verbinding. Nederlandse huishoudens hebben nu al in 91% van de gevallen de beschikking over een dergelijke snelle vaste verbinding. In het recent door de Europese Commissie uitgebrachte Europe's Digital Progress Report3 wordt Nederland zelfs gezien als land met de beste digitale connectiviteit.
De hoge kwaliteit verbindingen beïnvloedt zodoende de vraag naar een glasvezelaansluiting. Zoals in het NOS-artikel is benoemd, maken de meeste huishoudens met een glasvezelverbinding namelijk geen gebruik van deze verbinding. Een ander aspect dat bij investeringen een rol speelt is of de randvoorwaarden voor deze investeringen op orde zijn. Hiervoor is het bestaan van voldoende concurrentie van groot belang. Het moet onderkend worden dat als er minder spelers op de markt actief zijn dit een negatief effect kan hebben op investeringen. Ik zet me daarom Europees in om te zorgen dat het nieuwe regelgevend kader concurrentie bevorderend werkt. -
Vraag 3
In hoeverre is de afname in de aanleg van glasvezel het gevolg van een marktsituatie met slechts twee grote spelers?
Zie antwoord vraag 2.
-
Vraag 4
Kunt u een actueel overzicht geven van de behoefte aan snellere internetverbindingen bij burgers, bedrijven, scholen, zorginstellingen en andere organisaties? Hoeveel procent van de betreffende groepen heeft behoefte aan een snellere internetverbinding?
In december vorig jaar heb ik uw Kamer een onderzoek gestuurd4 over de ontwikkeling van de vraag naar digitale connectiviteit in de komende 10 jaar en hoe deze overeenkomt met het aanbod. Uit het connectiviteitsonderzoek blijkt dat op hoofdlijnen een goede match tussen vraag en aanbod bestaat. Nederland kent kwalitatief hoogstaande vaste en mobiele netwerken en deze dragen bij aan het gunstige ondernemings- en vestigingsklimaat in Nederland. De gekozen techniek is daarbij niet relevant. Het gaat erom dat gebruikers adequaat in hun vraag worden voorzien.
In het genoemde onderzoek wordt ingegaan op de veranderende connectiviteitsbehoefte. Duidelijk is dat de vraag naar digitale connectiviteit significant toeneemt door onder andere het stijgende gebruik van smartphones door consumenten en de groeiende hoeveelheid apparaten die in verbinding staan met het internet. Deze toenemende digitalisering biedt kansen om onze welvaart te vergroten. Zo kunnen digitale leermiddelen kinderen beter voorbereiden op de toekomst, «connected cars» kunnen bijdragen aan een afname van de filedruk en het verbeteren van de verkeersveiligheid en e-healthtoepassingen kunnen onze gezondheidszorg verbeteren. In het connectiviteitsonderzoek wordt ingegaan op deze ontwikkelingen en de behoeftes van de verschillende gebruikers. Ook wordt specifiek ingegaan op de ontwikkelingen van het koper- en kabelnetwerk. We zien dat deze netwerken steeds meer verglazen en dit in combinatie met technische upgrades zorgt ervoor dat al in het grootste deel van het land snelheden worden behaald van boven de 100 Mbps. Daarnaast zie ik dat er in Nederland ook op verschillende plekken, bijvoorbeeld voor bedrijven, in glasvezelaansluitingen wordt geïnvesteerd. Wel zie ik dat op sommige plekken, de zogenaamde buitengebieden, uitdagingen blijven bestaan rond de beschikbaarheid van snelle internetverbindingen. In december vorig jaar5 heb ik uw Kamer ook geïnformeerd over mijn inzet op dit onderwerp. -
Vraag 5
In hoeverre kan met nieuwe technologieën, zoals DOCSIS3.1 of bonded Vplus, worden voldaan aan die behoefte?
Zie antwoord vraag 4.
10 mei 2017 - 21 juni 2017
42 dagen
Het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS |
|
Maarten Hijink (SP), Ronald van Raak (SP) |
|
Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Heeft u kennisgenomen van het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS?1
Ja.
-
Vraag 2
Bent u inmiddels op de hoogte van waar alle Nederlandse overheidsdata zich bevinden? Zo nee, wat gaat u hierop ondernemen?2
Het is niet aan de orde dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties moet beschikken over een actueel overzicht van de locatie waar de data van alle ministeries, provincies, gemeenten en de semipublieke instellingen zijn opgeslagen.
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving zoals de Baseline informatiebeveiliging Rijk (BIR) een afweging maakt tussen dienstverleners. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Ook decentrale overheden maken binnen de kaders van vigerende wet- en regelgeving hun eigen afwegingen over outsourcing van hun ICT. In het kader van de Baseline Informatiebeveiliging Nederlandse Gemeenten heeft de Informatiebeveiligingsdienst voor gemeenten een leidraad opgesteld die handvatten biedt om rekening mee te houden. -
Vraag 3
Kunt u garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen? Zo nee, maakt het UWV (Uitvoeringsorgaan werknemersverzekeringen) nog steeds gebruik van het IBM-datacenter in Brussel?
Zoals ik in het antwoord op vraag 2 aangaf, is het aan de verantwoordelijke overheidorganisatie om per geval, binnen de kaders van wet- en regelgeving, een afweging te maken ten aangezien van de dienstverlener. Vestigingslocatie kan daarbij een rol spelen. Vanwege de diversiteit aan data kan ik niet garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen.
Het UWV heeft de datacenterdienstverlening uitbesteed aan de markt; op dit moment is dat IBM. Momenteel loopt een aanbestedingstraject om deze dienst opnieuw te verwerven. UWV heeft, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hierbij kan worden geacht dat een passend beschermingsniveau geboden wordt. -
Vraag 4
Vindt u dat Nederlandse inwoners voldoende beschermd worden tegen het eventueel meekijken van buitenlandse diensten en overheden op dit moment? Zo ja, kunt u garanderen dat er geen buitenlandse mogendheden zijn die op grote schaal data verzamelen over Nederlandse inwoners? Zo nee, wat gaat u hierop ondernemen?
Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Er kan echter niet uitgesloten worden dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Indien er geconstateerd wordt dat dit wel het geval is neemt het kabinet maatregelen.
-
Vraag 5
Wat gaat u doen om te voorkomen dat data van de overheid en uitvoeringsinstanties op servers van Amerikaanse bedrijven worden opgeslagen?
Ik wil dit niet voor alle soorten data voorkomen. Het vraagstuk waar data kunnen en mogen worden opgeslagen hangt immers af van de aard van de data, zoals ik aangaf in het antwoord op vragen 2 en 3.
-
Vraag 6
Vindt u in het algemeen dat Nederlandse overheidsinformatie goed beveiligd is, ook als u meeneemt dat het Nederlandse Fox-IT is overgenomen door een Engels bedrijf?3
In het algemeen vind ik dat. Aandacht voor dit onderwerp is uiteraard blijvend noodzakelijk. De Algemene Rekenkamer constateert ook in het Verantwoordingsonderzoek 2016 dat er ruimte voor verbetering is.
In antwoord op vragen van het lid Verhoeven aan de ministers van Economische Zaken, van Veiligheid en Justitie en van Binnenlandse Zaken en Koninkrijksrelaties over de overname4 heb ik geantwoord dat het risico dat door die overname Nederlandse staatsgeheimen in handen van niet-bevoegden vallen is ondervangen. -
Vraag 7
Vallen Nederlandse overheidsdata, die op servers van Amerikaanse bedrijven staan, onder de Freedom Act?
Ik kan niet uitsluiten dat Nederlandse overheidsdata die worden verwerkt door dienstverleners uit de Verenigde Staten onder de reikwijdte van een bepaalde vorderingsbevoegdheid vallen. In heel algemene zin geldt dat de Amerikaanse overheden over een ruim aantal bevoegdheden beschikken op grond van verschillende wetten om gegevens te vorderen van bedrijven die over die gegevens beschikken. De reikwijdte van de Amerikaanse wetgeving ter zake beperkt zich niet tot bedrijven of andere belanghebbenden, of vestigingen van die bedrijven of belanghebbenden die zich op Amerikaans grondgebied bevinden, en ook niet tot gegevens van Amerikaanse burgers of bedrijven. De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen illustreert dat voor het bijzondere geval waarop die uitspraak betrekking heeft.
-
Vraag 8
Wat heeft deze Amerikaanse rechterlijke uitspraak voor gevolgen voor Nederland en zijn inwoners? In welke gevallen kunnen gegevens van Nederlandse burgers opgevraagd worden door de Amerikaanse overheid? Kunnen deze burgers hiertegen beroep aantekenen?
De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen heeft slechts betekenis voor de uitleg van één specifieke vorderingsbevoegdheid en lijkt alleen van belang voor andere gevallen waarin de omstandigheden van het verwerken van persoonsgegevens door Google of vergelijkbare aanbieders gelijk zijn aan die in het geval dat onderwerp is van de uitspraak. Uit het antwoord op vraag 7 volgt dat ik niet kan uitsluiten dat toepassing van vorderingsbevoegdheden naar Amerikaans recht zich mede uitstrekt tot gegevens van de Nederlandse overheid of van Nederlandse burgers die door dienstverleners uit de Verenigde Staten worden verwerkt.
Afhankelijk van de aard van de toegepaste vorderingsbevoegdheid kunnen Europese, en dus ook Nederlandse burgers de mogelijkheden op inzage en correctie krachtens de Judicial Redress Act of 2015 beproeven. Die wet is daar speciaal voor in het leven geroepen. Verder wijs ik erop dat de doorgifte van de gegevens uit de Europese Unie naar de Verenigde Staten moet berusten op één van de grondslagen bedoeld in de artikelen 25 of 26 van richtlijn 95/46/EG, de EU-privacyrichtlijn. De bijlagen van het op 21 augustus 2016 in werking getreden EU – US Privacy Shield 5, dat op bedoelde artikelen van de EU-privacyrichtlijn is gebaseerd bevatten een uitgebreide opsomming van beschikbare rechtsgangen krachtens Amerikaans recht.
4 mei 2017 - 31 mei 2017
27 dagen
-
Vraag 1
Kunt u uw zienswijze geven op de gevolgen van de uitspraak van de Rotterdamse rechter dat de datavrije muziekbundel die T-Mobile aanbiedt niet in strijd is met de netneutraliteit, zoals die in de Nederlandse wetgeving is vastgelegd?1
De rechtbank heeft geoordeeld dat de netneutraliteitsverordening «zonder twijfel geen categorisch verbod op prijsdiscriminatie («acte clair») bevat», waardoor de Telecommunicatiewet op dit punt onverbindend is. Concreet betekent dit dat zero-rating-aanbiedingen, zoals die van T-Mobile, niet op grond van strijd met de Telecommunicatiewet verboden zijn. Tevens volgt uit de uitspraak dat een aanbod als dat van T-Mobile niet zonder meer in strijd is met de netneutraliteitsverordening. Het oordeel van de rechtbank staat er echter niet aan in de weg dat in het geval van het aanbod van T-Mobile (of iedere andere concrete casus waarin sprake is van zero-rating) sprake kan zijn van omstandigheden die maken dat de geboden vorm van zero-rating strijdig is met de verordening. De rechtbank heeft zich in haar vonnis niet uitgelaten over de vraag of zich bij de dienst van T-Mobile zulke omstandigheden voordoen. De Autoriteit Consument en Markt (ACM) zou dit (alsnog) kunnen onderzoeken. De ACM heeft aangegeven een dergelijk onderzoek te zijn gestart.
-
Vraag 2
Deelt u de mening dat een vrij en open internet gebaat is bij het voorkomen van alle vormen van discriminatie tussen soorten data die via het internet worden verstuurd?
Ja.
-
Vraag 3
Op basis waarvan oordeelt de rechter dat u niet bevoegd bent geweest om «zero rating» in de Telecommunicatiewet uitdrukkelijk te verbieden?2
Naar het oordeel van de rechtbank biedt de verordening geen grondslag voor aanvullende wettelijke bepalingen met betrekking tot de reikwijdte en de omvang van het in de verordening neergelegde discriminatieverbod, dat volgens de rechtbank geen categorisch verbod op prijsdiscriminatie is.
-
Vraag 4
Welke mogelijkheden heeft de Autoriteit Consument en Markt (ACM) om dit besluit aan te vechten en bent u op de hoogte van een voornemen van de ACM om dit te doen?
De ACM kan in hoger beroep gaan bij het College van Beroep voor het bedrijfsleven.
-
Vraag 5
Welke consequenties heeft deze uitspraak voor de huidige Telecommunicatiewet? Bent u bereid, indien dit grote gevolgen heeft voor het Nederlandse netneutraliteitsbeleid, hierover in overleg te treden met de Europese Commissie?
De consequentie is dat de Telecommunicatiewet op dit onderdeel door de rechtbank onverbindend is verklaard. Nu de ACM niet in hoger beroep gaat, ligt het in de rede om het categorische verbod op prijsdiscriminatie in de Telecommunicatiewet te schrappen. Hiertoe zal ik de voorbereidingen treffen. Overleg met de Europese Commissie op dit punt zal niet leiden tot wijzigingen. Nog afgezien van de opvattingen van de Europese Commissie in dezen is de Commissie niet bevoegd een rechterlijk oordeel ter zijde te stellen.
-
Vraag 6
Bent u bereid met de Duitse Minister van Economische Zaken te overleggen over het toestaan van zero rating binnen de Europese netneutraliteitsverordening?3
De lidstaten hebben bij de totstandkoming van de verordening binnen de Europese Raad een belangrijke rol gespeeld. Echter de nationale wetgevers hebben geen formele rol bij de handhaving van de verordening. Dit is aan de nationale toezichthouders. De Duitse toezichthouder (Bundesnetzagentur) kan deze zero-rating dienst onderzoeken op basis van de verordening.
De uitspraak van de rechter beslecht een geschil tussen de ACM en T-Mobile over de vraag of prijsdiscriminatie op grond van de netneutraliteitsverordening en de Telecommunicatiewet zonder meer verboden is of niet. De rechter heeft hierbij de ACM in het ongelijk gesteld door te oordelen dat de netneutraliteitsverordening geen categorisch verbod op prijsdiscriminatie bevat en het artikel in de Telecommunicatiewet dat het (vermeende) categorische verbod nader uitwerkt onverbindend te verklaren. Tegen deze uitspraak van de rechter staat voor de bij het geschil betrokken partijen (ACM en T-Mobile) hoger beroep open. De ACM heeft besloten van deze mogelijkheid geen gebruik te maken. Ik respecteer die beslissing. Bij deze handhavingskwestie ligt het besluit om wel of niet in hoger beroep te gaan bij de ACM als onafhankelijk toezichthouder. Conform de Instellingswet ACM dient de Minister van Economische Zaken zich niet te mengen in individuele handhavingszaken van de ACM. Zoals aangegeven in bovenstaande beantwoording onderzoekt de ACM nu, uitgaande van het ontbreken van een categorisch verbod op prijsdiscriminatie, of er specifieke omstandigheden zijn die maken dat de datavrije muziekdienst van T-Mobile in strijd is met de netneutraliteitsverordening.
25 april 2017 - 24 mei 2017
29 dagen
De ICT-storing in het systeem van Amadeus waardoor overal ter wereld reserveringssystemen voor de luchtvaart uitvielen |
|
Cem Laçin , Maarten Hijink (SP) |
|
Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie), Sharon Dijksma (staatssecretaris infrastructuur en waterstaat) (PvdA) |
|
|
|
|
Bronnen
-
Vraag 1
Wat is uw reactie op het bericht dat een storing in het reserveringssysteem van Amadeus overal ter wereld voor overlast heeft gezorgd?1
Ik heb kennis genomen van het feit dat er een storing is geweest in het reserveringssysteem van Amadeus. Naar aanleiding van deze casus heb ik contact gehad met de luchtvaartsector. Uit de gesprekken blijkt dat er slechts sprake is geweest van een kortstondige verstoring die snel is verholpen.
-
Vraag 2
Bent u bekend met de oorzaak van deze storing? Was hier sprake van het moedwillig platleggen van het systeem door hackers of was er een andere oorzaak?
Mij is uit informatie van betrokken partijen gebleken dat vanwege een lokaal hardware probleem in het data centrum bij Amadeus, de systemen bij Amadeus gedurende een korte tijd niet bereikbaar waren. Amadeus heeft hierop aan KLM bevestigd dat hier geen hack of een andere moedwillige actie aan ten grondslag lag. Hierbij is door Amadeus tevens aangegeven dat er door of als gevolg van de storing geen privacygevoelige informatie van reizigers of luchtvaartpersoneel in verkeerde handen is gevallen. Ook andere maatschappijen, voornamelijk in Europa, hebben last gehad van deze storing. Het verhelpen van storingen is uiteraard de verantwoordelijkheid van de eigenaar van desbetreffende systemen, zoals Amadeus.
-
Vraag 3
Kunt u aangeven of tijdens of na de storing privacygevoelige informatie van reizigers of luchtvaartpersoneel in verkeerde handen is gevallen?
Zie antwoord vraag 2.
-
Vraag 4
Welke stappen worden ondernomen om nieuwe storingen in de toekomst te voorkomen? Zijn de systemen van Amadeus in uw ogen voldoende beveiligd tegen hackers en voldoet de technologie nog wel aan de eisen van deze tijd?
De verantwoordelijkheid voor de informatiebeveiliging ligt in dit geval bij de eigenaar van systemen. In het openbaar worden over de veiligheid van individuele systemen geen mededelingen gedaan, juist gelet op de veiligheid. Wel kan ik u aangeven dat tussen de betrokken private partijen onderling sprake is van contractuele afspraken. In het contact met het Ministerie van Infrastructuur en Milieu is door KLM aangegeven dat storingen altijd samen met Amadeus geëvalueerd worden en er afspraken worden gemaakt over verbeterstappen. Deze specifieke storing is door Amadeus onderzocht en er zijn maatregelen genomen. KLM heeft contractuele afspraken met Amadeus over de beschikbaarheid van de systemen, inclusief boeteclausules als Amadeus daar niet aan voldoet.
-
Vraag 5
Welke gevaren ziet u in de wereldwijde inzet van het reserveringssysteem van Amadeus? Is de gevoeligheid van het systeem niet te groot als een storing direct leidt tot vertraging en uitval van vluchten overal ter wereld?
Digitalisering is doorgedrongen in de haarvaten van de samenleving. Het is daarom onontkoombaar dat er een bepaalde afhankelijkheid van ICT-systemen ontstaat, echter het gebruik van dergelijke systemen heeft ook nadrukkelijke voordelen. Zo leidt het gebruik van Amadeus door wereldwijde inzet tot grotere uniformiteit en wordt daardoor de efficiëntie aanzienlijk vergroot. Vanwege de afhankelijkheid is het van groot belang dat door de eigenaar in het licht van de eigen verantwoordelijkheid reeds maatregelen zijn getroffen om de continuïteit van dit systeem te borgen.
-
Vraag 6
Is er een inschatting te maken van de economische schade die deze storing heeft veroorzaakt? Welke gevaren voor de economie en voor reizigers ziet u voor de toekomst als een dergelijke storing zich opnieuw voordoet?
Een schatting is vanuit de overheid niet te geven. De economische schade heeft zich in ieder geval geuit in de vorm van tientallen vertraagde vluchten en een uur durende verstoring van de online ticketverkoop.
-
Vraag 7
Klopt het dat luchtvaartmaatschappijen geen of weinig alternatieven hebben bij een grote uitval van digitale systemen? Hoe kwetsbaar maakt dit de hele sector in geval van toekomstige storingen?
In lijn met de conclusies in het Cybersecuritybeeld Nederland 20152 is het in algemene zin inderdaad zo dat er steeds minder fysieke alternatieven zijn op het moment dat digitale voorzieningen niet werken. Uiteraard maakt dit kwetsbaar. Dit is ook de reden waarom door de sector wordt gewerkt aan passende maatregelen. Zo zijn er draaiboeken om de negatieve gevolgen van grote verstoringen, zoals extreem weer, elektriciteitsstoring en uitval van
ICT-systemen, te beperken, alsmede contractuele afspraken tussen partijen onderling.
Ten overvloede wil ik benadrukken dat, zoals in antwoord op vraag 4 is aangeven, er in het geval van Amadeus geen sprake was van een aanval door een hacker, en dat het dus geen waarschuwing in die zin is. Het is echter wel een illustratie van de toegenomen afhankelijkheid van ICT-voorzieningen.
Op dit moment wordt door het Ministerie van Veiligheid en Justitie samen met de betrokken vakdepartementen gewerkt aan de totstandbrenging van de implementatiewetgeving betreffende de Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn), waarin voor aanbieders van essentiële diensten en digitale dienstverleners zorgplichten betreffende de continuïteit van hun dienstverlening alsook handhaving van de naleving daarvan zijn vastgelegd.
Hierover wordt uw Kamer, conform eerder toezegging, op reguliere wijze door de Staatssecretaris van Veiligheid en Justitie geïnformeerd. Uiteraard staan we hierbij in nauw contact met de private sector. Dit in aanvulling op reguliere overlegstructuren. -
Vraag 8
In hoeverre is deze storing voor u een nieuwe waarschuwing dat onze samenleving steeds kwetsbaarder wordt voor ICT-storingen en acties van hackers? Zijn voor vitale infrastructuren voldoende off-line back-up voorzieningen aanwezig?
Zie antwoord vraag 7.
-
Vraag 9
Bent u bereid extra maatregelen te nemen om cruciale digitale infrastructuur beter te beschermen en hierover in contact te treden met bedrijven en publieke organisaties die hiervoor verantwoordelijk zijn?
Zie antwoord vraag 7.
-
Vraag 10
Deelt u de mening dat de overheid een grotere rol zou moeten spelen in het verbeteren van de cybersecurity in ons land? Dient de bescherming van publieke belangen niet gepaard te gaan met een actievere rol van de overheid in de bescherming van onze digitale infrastructuur?
De overheid heeft de afgelopen jaren ingezet op het verhogen van de digitale weerbaarheid, ofwel de cybersecurity, van de vitale infrastructuur. Zoals reeds aangeven, wordt door de implementatie van de NIB-richtlijn tevens invulling gegeven aan het realiseren van een beveiligingsverplichting voor de vitale infrastructuur.
7 april 2017 - 23 mei 2017
46 dagen
Het bericht dat bedrijven nog te weinig doen aan digitale veiligheid |
|
Maarten Hijink (SP) |
|
Henk Kamp (minister economische zaken) (Volkspartij voor Vrijheid en Democratie), Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (Volkspartij voor Vrijheid en Democratie) |
|
|
|
|
-
Vraag 1
Kent u het bericht «Bedrijven doen nog te weinig aan digitale veiligheid» van de Cyber Security Raad (CSR)?1
Ja.
-
Vraag 2
Welke inspanningen onderneemt u nu om bedrijven op de hoogte te stellen van hun zorgplichten ten aanzien van digitale veiligheid?
Op 5 april jl. heeft de Cyber Security Raad de handreiking Ieder bedrijf heeft digitale zorgplichten gepubliceerd. Deze handreiking bevat een overzicht van generieke zorgplichten die bedrijven hebben op het gebied van cybersecurity. Deze handreiking geeft mij aanleiding om, in aanvulling op eerdere voorlichting over veilig internetten, bedrijven nog eens via diverse kanalen expliciet op de hoogte te stellen van deze zorgplichten. Hierover zal actief worden gecommuniceerd, onder andere via brancheorganisaties, het ondernemersplein en veiliginternetten.nl.
-
Vraag 3
Welke middelen heeft u om deze zorgplichten te handhaven en in welke mate maakt u hiervan gebruik?
De Cyber Security Raad maakt in haar handreiking een onderscheid tussen zorgplichten op het gebied van de veilige verwerking van persoonsgegevens, zorgplichten betreffende het gebruik van ICT en zorgplichten in verband met producten of diensten met een ICT toepassing. Indien een bedrijf persoonsgegevens verwerkt, heeft het zorgplichten op grond van de Wet bescherming persoonsgegevens. Op de naleving van deze plichten wordt krachtens dezelfde wet toezicht gehouden door de Autoriteit Persoonsgegevens.
De krachtens het Burgerlijk Wetboek (BW) bestaande zorgplichten op het gebied van het gebruik van ICT en zorgplichten in verband met producten of diensten met een ICT toepassing kunnen door (private) partijen via de rechter worden afgedwongen. De Autoriteit Consument en Markt ziet toe op de naleving van de wetten en regels op het gebied van consumentenrecht.
Overigens bestaan er ook sectorspecifieke zorgplichten. Bijvoorbeeld wordt nu gewerkt aan de totstandbrenging van de implementatiewetgeving van de Netwerk- en informatiebeveiligingsrichtlijn. Daarin worden voor aanbieders van essentiële diensten en digitale dienstverleners zorgplichten betreffende de continuïteit van hun dienstverlening alsook handhaving van de naleving daarvan geregeld. Hierover wordt de Kamer op reguliere wijze door de Staatssecretaris van Veiligheid en Justitie geïnformeerd. -
Vraag 4
Welke middelen heeft u om bedrijven op hun zorgplicht te wijzen en welke middelen gebruikt u om bedrijven hierbij te ondersteunen?
Hiervoor wordt verwezen naar het antwoord op vraag 2.
-
Vraag 5
Hoe heeft u opvolging gegeven aan het in oktober 2016 verschenen advies Verhagen van de CSR?2 Is hierbij ruimte gecreëerd voor sturing vanuit de overheid?
Tijdens de behandeling van de begroting van het Ministerie van Veiligheid en Justitie is toegezegd opvolging te gegeven aan het advies van Verhagen.3 Middels het organiseren van een aantal ronde tafels wordt het gesprek aangegaan met vertegenwoordigers van het bedrijfsleven en andere relevante maatschappelijke actoren, zoals aanbevolen door Verhagen. Deze gesprekken dienen om publiek-private samenwerking op het gebied van cybersecurity te bevorderen, waarbij sturing vanuit de overheid een aandachtspunt is. De uitkomsten van de gesprekken worden betrokken bij de doorontwikkeling van de cybersecurity strategie.
-
Vraag 6
Hoeveel bedrijven negeren bewust hun verantwoordelijkheden voor wat betreft cybersecurity? Hoeveel van deze bedrijven wentelen de aansprakelijkheid via ontsnappingsclausules af? Hoe handhaaft u op dergelijke, volgens de CSR, illegale ontsnappingsclausules?
Er bestaat geen inzicht in het aantal bedrijven dat hun verantwoordelijkheid voor wat betreft cybersecurity bewust negeert of ontsnappingsclausules hanteert. In het antwoord op vraag 3 is ingegaan op de handhaving van zorgplichten.
-
Vraag 7
Welke mogelijkheden hebben consumenten en ondernemers om verwijtbare schade te verhalen op leveranciers? In welke mate wordt hiervan gebruik gemaakt en tot welke schadevergoedingen leidt dit?
Een leverancier die een product levert dat niet voldoet aan de overeenkomst, is hiervoor jegens de koper aansprakelijk. Consumenten en ondernemers kunnen in dit geval op grond van het Burgerlijk Wetboek aanspraak maken op herstel, vervanging of schadevergoeding. Komen partijen hier onderling niet uit, dan kunnen ze zich zo nodig tot de rechter wenden. Er bestaat geen inzicht in welke mate hiervan gebruik wordt gemaakt en tot welke schadevergoedingen dit leidt.
-
Vraag 8
Verwacht u dat zelfregulering afdoende is om ervoor te zorgen dat bedrijven hun zorgplichten serieus neemt? Zo nee of indien dit niet voldoende blijkt te zijn, bent u bereid aanvullende wettelijke maatregelen te nemen om de risico’s voor burgers en bedrijven in te perken?
Uit onderzoek komt naar voren dat het stimuleren van zorgplichten effectiever is dan strikte handhaving.4 Met het actief onder de aandacht brengen van de door de Cyber Security Raad gepubliceerde handreiking Ieder bedrijf heeft digitale zorgplichten wordt afnemers en leveranciers inzicht gegeven in de bestaande generieke zorgplichten en hoe zij hier in de dagelijkse praktijk invulling aan kunnen geven. Transparantie hierover is een belangrijke eerste stap om zelfregulering te stimuleren. Zoals in het antwoord op vraag 3 aangegeven, gaat het niet alleen om zelfregulering maar bestaan er ook wettelijke zorgplichten.
-
Vraag 9
Hoe groot is de bekendheid van bedrijven met de meldplicht datalekken? Hoe vindt toezicht op en handhaving van naleving van deze meldplicht plaats? Is de Autoriteit Persoonsgegevens in staat om meldingen van datalekken snel en zorgvuldig te verwerken en te monitoren?
De meldplicht datalekken is per 1 januari 2016 in werking getreden. Deze meldplicht houdt in dat organisaties en bedrijven binnen 72 uur een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra er sprake is van een inbreuk op de beveiliging met ernstige nadelige gevolgen (of de aanzienlijke kans daarop) voor de bescherming van persoonsgegevens. De AP heeft daar een meldloket voor ingericht. Ook moet de betrokkene van een inbreuk in kennis worden gesteld, indien deze inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer.
Om de meldplicht datalekken breed onder bedrijven bekend te stellen, is over de meldplicht geregeld gecommuniceerd via diverse kanalen, waaronder veiliginternetten.nl en het ondernemersplein. Tevens heeft de AP beleidsregels uitgebracht. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij bij de AP, en eventueel aan betrokkenen, moeten melden.
Vanaf de inwerkingtreding monitort de AP de effecten van de invoering van de meldplicht datalekken. Daarbij wordt bezien in hoeverre de meldplicht extra capaciteitsinzet van de AP zal vergen. De uitkomsten van de monitoring tot nu toe laten zien dat de met de meldplicht datalekken gemoeide werklast binnen het huidige budget van de AP kan worden opgevangen. Overigens voorziet de Algemene verordening gegevensbescherming (AVG), die in mei 2018 werking zal krijgen en in de plaats van de Wet bescherming persoonsgegevens zal treden, ook in een meldplicht bij datalekken. De AP heeft adviesbureau AEF de opdracht gegeven de gevolgen van de implementatie van de AVG, waaronder de daarin opgenomen meldplicht datalekken, in kaart te brengen.
16 februari 2017 - 13 maart 2017
25 dagen
-
Vraag 1
Bent u bekend met het bericht: «Oponthoud aanleg glasvezel in Achterhoek stelt gemeenten teleur?»1 en het bericht «Onduidelijkheid over kosten glasvezel buitengebied Overijssel»?2
Ja.
-
Vraag 2
Herinnert u zich uw lovende woorden over de combinatie CIF/Cogas tijdens het Algemeen overleg Telecomraad op 30 november 2016?3
Ja.
-
Vraag 3
Deelt u de mening dat snel internet ook cruciaal is voor huishoudens in het buitengebied?
Ja.
-
Vraag 4
Wat is de classificatie van de buitengebieden in Overijssel in termen van Europese staatssteunregels? Behoren zij tot het witte, grijze of zwarte gebied? Welk effect heeft dit op mogelijke subsidieverstrekkingen?
De classificatie kan per gebied in Overijssel verschillen. In gebieden waar geen modern breedbandnetwerk (zogenoemd NGA-netwerk4) voorhanden is en ook niet binnen drie jaar zal worden aangelegd5, kan relatief laagdrempelig steun worden verleend. In deze gebieden (zogenoemde witte gebieden) kan, wanneer aan de voorwaarden in de Algemene groepsvrijstellingsverordening (EU/615/2014) wordt voldaan, staatssteun worden verleend zonder goedkeuring vooraf door de Europese Commissie. In gebieden waar één NGA-netwerk is of binnen drie jaar zal worden uitgerold (zogenoemde grijze gebieden), stelt de Europese Commissie meer eisen om vast te kunnen stellen of de staatssteun noodzakelijk en niet onevenredig marktverstorend is. Er is in die gevallen vooraf goedkeuring van de Europese Commissie nodig. De Europese Commissie beoordeelt dan bijvoorbeeld of een zodanig grote sprong voorwaarts wordt gemaakt met het nieuwe netwerk, dat dit staatssteun rechtvaardigt. In gebieden waar momenteel of binnen drie jaar ten minste twee NGA-netwerken zijn (zogenoemde zwarte gebieden) zal de Europese Commissie waarschijnlijk geen toestemming geven voor de inzet van staatssteun. Deze gebieden bevinden zich overigens naar verwachting niet in het buitengebied.
-
Vraag 5
Klopt het dat bij subsidiëring het verplicht wordt het netwerk open te stellen voor andere aanbieders? Zo ja, klopt het dat dit de boogde opbrengst kan verminderen, waardoor er nog meer subsidie nodig is om snel internet in het buitengebied rendabel te maken?
De EU-staatssteunrichtsnoeren voor breedband schrijven inderdaad voor dat een gesubsidieerd netwerk moet worden opengesteld, ook wel wholesaletoegang genoemd. Wholesaletoegang voorkomt dat met publieke financiering monopolies ontstaan en daardoor een risico op hoge prijzen en beperkte keuze. Wholesaletoegang maakt het mogelijk dat aangesloten burgers en bedrijven in het buitengebied de keuze hebben uit meerdere dienstleveranciers. Wholesaletoegang leidt niet per se tot minder opbrengsten. De wholesaledienstverlener kan een wholesaletarief in rekening brengen aan derden-exploitanten voor het gebruik van het netwerk. Daarnaast kan de concurrentie ervoor zorgen dat meer consumenten gebruik maken van het netwerk. Het wholesaletarief en de extra consumenten komen ten goede aan de rentabiliteit van het netwerk. In de praktijk zien we overigens dat marktpartijen die zonder publieke financiering glasvezel uitrollen, vrijwillig het netwerk openstellen voor dienstenleveranciers.
-
Vraag 6
Hoe staat het met de koepelregeling, waarin provincies relatief eenvoudig kunnen bekijken hoe ze met de Europese Commissie en de Europese staatssteunregels moeten omgaan?
Deze koepelregeling moet worden gezien als een kader voor decentrale overheden dat vooraf duidelijkheid biedt over de wijze waarop zij publieke middelen kunnen aanwenden voor de uitrol van NGA-netwerken, zonder dat zij individueel een eigen steunregeling hoeven voor te leggen aan de Europese Commissie. Op ambtelijk niveau zijn de gesprekken gestart met de Europese Commissie. Zoals toegezegd wordt de Kamer rond de zomer nader geïnformeerd over de koepelregeling (Kamerstuk 26 643 nr. 433).
-
Vraag 7
Welke mogelijkheden zijn er om de beoogde 40.000 huishoudens alsnog aan te sluiten op snel internet zonder als concurrent van marktpartijen op te treden?
Begin 2015 konden circa 330.000 huishoudens en bedrijven in Nederland niet beschikken over snel vast internet. Zoals toegezegd aan uw Kamer breng ik opnieuw in kaart wat op dit moment de resterende witte gebieden in Nederland zijn (Kamerstuk 26 643 nr. 433). Wat betreft Overijssel is bekend dat de betrokken bewonersinitiatieven en gemeenten overeenstemming hebben bereikt met CIF over hervatting van de voorbereidingen voor de aanleg van glasvezel. CIF maakte op 28 februari jl. bekend ook in andere provincies haar activiteiten te hervatten. Daar waar geen marktpartijen actief zijn, ligt er een rol voor decentrale overheden om de uitrol van NGA-netwerken te bevorderen. In mijn brief aan uw Kamer van 16 december jl. (Kamerstuk 26 643, nr. 433) geef ik een overzicht van de ontwikkelingen per provincie en de ondersteuning die ik bied.
16 februari 2017 - 13 maart 2017
25 dagen
-
Vraag 1
Bent u bekend met het bericht: «RadioNL: Veel fouten Agentschap Telecom bij controle regiogerichtheid?»1
Ja.
-
Vraag 2
Herkent u de bewering van RadioNL dat er onjuist is gehandhaafd? Welke fouten zijn er volgens u wel of niet gemaakt?
Nee, de bewering herken ik niet. Naar mijn oordeel is er op goede en zorgvuldige wijze onderzoek verricht naar de naleving van de regiogerichtheidseis bij de programma’s van RadioNL. Ik heb RadioNL in de gelegenheid gesteld haar zienswijze te geven op de geconstateerde overtredingen en de voorgenomen sanctie. Op 23 februari jl. heeft RadioNL een zienswijze ingediend. Deze zienswijze gaat voornamelijk in op het verschil van inzicht ten aanzien van de regiogerichtheidseis. Het is een herhaling van de reeds bij mij bekende kritiek op genoemde eis. De zienswijze wordt zorgvuldig bestudeerd en zal vervolgens worden meegewogen in de besluitvorming omtrent de op te leggen sanctie.
-
Vraag 3
Hoe wordt de regiogerichtheidseis gehandhaafd? Wat zijn de wettelijke verplichtingen? Waar is dit op gebaseerd?
De regiogerichtheidseis is opgenomen in de vergunningvoorschriften. Het daarin opgenomen percentage regiogerichte programmering hebben vergunninghouders destijds zelf geboden in het kader van de verdeling van de vergunningen door middel van een vergelijkende toets. Dat percentage ligt in veel vergunningen ruim boven het wettelijk minimum van tien procent. Dit minimum percentage volgt uit de Regeling aanwijzing en gebruik frequentieruimte commerciële radioomroep 2003. Het Agentschap Telecom houdt toezicht op de naleving van deze regels. De wijze waarop de regiogerichtheid gehandhaafd wordt, is omschreven in de brieven van Agentschap Telecom van 20 mei en 8 juli 20162 aan de marktpartijen. Aanleiding om de uitgangspunten en de invulling van het begrip regiogerichtheid nog eens overzichtelijk op papier te zetten, vormden de uitspraken van het College van Beroep voor het bedrijfsleven (hierna: CBb) van 29 maart 20163 en de Rechtbank Rotterdam van 4 juni 20154. Deze uitspraken zijn mede bepalend voor de wijze van naleving en eventuele handhaving van de regiogerichtheidseis.
-
Vraag 4
Over welke criteria van de regiogerichtheidseis is er discussie bij de radiozenders?
Naar aanleiding van de hierboven genoemde uitspraak van het CBb heeft Agentschap Telecom de niet landelijke commerciële radiopartijen in de gelegenheid gesteld vragen te stellen en heeft er een bijeenkomst plaatsgevonden waarin Agentschap Telecom heeft aangegeven welke gevolgen deze uitspraak heeft voor het toezicht op de naleving en de eventueel daaropvolgende handhaving van de regiogerichtheidseis. De radiopartijen zijn daarna ruimschoots in de gelegenheid gesteld om hun programmering aan te passen aan het geldend kader. Als reactie daarop heeft een aantal marktpartijen aangegeven zich niet te kunnen vinden in de gegeven uitleg van het agentschap. Het gaat dan met name om het criterium van het uitzendgebied (het zogenaamde groene gebied) en het criterium van het verzoekplatenprogramma. Hoewel de verschilpunten derhalve divers zijn, kan daaruit wel de algemene lijn worden gedestilleerd dat de radiopartijen zich niet kunnen vinden in criteria die eraan in de weg staan dat, al dan niet via een aaneenschakeling van niet-landelijke vergunningen, een semi-landelijk programma kan worden uitgezonden.
Overigens heeft een aantal marktpartijen aangegeven dat zij de programmering inmiddels aangepast heeft aan de geldende eisen. -
Vraag 5
Welke ontwikkeling in de frequentieverdeling is er als gevolg van toenemende handhaving te zien? Wat heeft dit voor effect op de regiogerichtheidseis?2
Zoals ook bij het vorige antwoord is benoemd, is door een aantal radiopartijen aangegeven dat zij de programmering hebben aangepast na de uitspraak van het CBb en de gegeven uitleg daarvan door Agentschap Telecom. Eén niet-landelijke commerciële vergunninghouder heeft drie FM-vergunningen teruggegeven. Deze vergunningen zijn inmiddels ingetrokken en zullen opnieuw worden verdeeld (veiling). Bij een verdeling van teruggegeven vergunningen kan het regiogerichtheidspercentage worden verlaagd tot het minimum van tien procent uit de Regeling aanwijzing en gebruik frequentieruimte commerciële radioomroep 2003. Ik streef ernaar deze verdeling aan het eind van dit jaar te laten plaatsvinden. Ook de radiopartij die deze vergunningen heeft ingeleverd kan aan deze verdeling meedoen.
2 februari 2017 - 1 maart 2017
27 dagen
De berichten ‘Datalekken bij gemeenten; het is een beetje een zooitje’ en ‘Organisaties worstelen met nieuwe privacy wetgeving’ |
|
Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
-
Vraag 1
Kent u de berichten «Datalekken bij gemeenten; «het is een beetje een zooitje»» en «Organisaties worstelen met nieuwe privacy wetgeving»?1 2
Ja.
-
Vraag 2
Deelt u de mening dat het schokkend is dat het beleid rond datalekken bij gemeenten nog steeds een zooitje is, dat gemeenten geen eenduidig beleid voeren rond datalekken, en dat datalekken niet altijd gemeld worden bij de Autoriteit Persoonsgegevens, terwijl dit wel verplicht is sinds januari 2016? Zo ja, hoe is het dan mogelijk dat gemeenten zich nog steeds in heel verschillende mate bewust zijn van de datalekken in hun organisatie en dat nog steeds niet binnen alle gemeenten bekend is dat bijvoorbeeld een verloren usb-stick met gevoelige gegevens ook een datalek is? Zo nee, waarom niet?
Ik deel het geschetste beeld niet. Niet ieder beveiligingsincident is een datalek en niet ieder datalek is meldplichtig. Gemeenten zijn gehouden aan de meldplicht datalekken en de beleidsregels die de Autoriteit Persoonsgegevens (AP) heeft opgesteld, die organisaties helpen bij het bepalen of er sprake is van een datalek. Het is aan AP om te bepalen of organisaties daarin in gebreke zijn.
Gemeenten worden bij hun informatiebeveiliging ondersteund door de Informatiebeveiligingsdienst (IBD). De IBD heeft ondersteuningsproducten ontwikkeld en beschikbaar gesteld aan gemeenten. Daarnaast biedt de helpdesk van de IBD hulp bij de beoordeling van de vraag of een beveiligingsincident een datalek is en of gemeld moet worden bij de AP en/of betrokkenen.
De AP heeft aangekondigd om de gemeenten via de VNG nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden.
Het college van burgemeester en wethouders is verantwoordelijk voor informatiebeveiliging in de eigen organisatie. Ik wijs erop dat gemeenten ook collectief hun verantwoordelijkheid nemen. De gemeenten hebben zich tijdens de bijzondere ALV van de VNG van 2013 via de resolutie «Informatieveiligheid, randvoorwaarde voor de professionele gemeente» gecommitteerd aan de baseline informatiebeveiliging gemeenten (BIG). Dat gezamenlijk normenkader biedt voldoende handvatten om een solide informatieveiligheidsbeleid te voeren. Het is aan de gemeenteraad om het college hierop te controleren. Los van het beleid zijn gemeenten natuurlijk gehouden aan de wettelijke kaders en verplicht om zorgvuldig om te gaan met gegevens. -
Vraag 3
Deelt u de mening dat het tevens zeer schokkend is dat slechts bij 18% van de datalekken bij gemeenten dit aan de betrokkenen gemeld is? Deelt u de mening dat betrokkenen altijd op de hoogte moeten worden gesteld van een datalek aangezien hun gegevens kunnen worden misbruikt? Zo ja, hoe gaat u gemeenten hierop aanspreken? Zo nee, waarom niet?
Als een lek aan de Autoriteit Persoonsgegevens moet worden gemeld, betekent dat niet automatisch dat dit ook aan de betrokkene dient te worden gemeld. De gemeente waar het lek zich voordoet moet daarvoor een aparte afweging maken. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een melding gedaan moet worden aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Het is niet aan mij om de genoemde gevallen te beoordelen of het melden of niet melden aan betrokkenen rechtmatig is; dat is aan de toezichthouder, de AP.
-
Vraag 4
Hoe is het mogelijk dat de Autoriteit Persoonsgegevens op dit moment nog geen boetes heeft uitgedeeld aan gemeenten die hun informatiebeveiliging niet op orde hebben? Deelt u de mening dat het huidige beleid rond informatiebeveiliging te vrijblijvend is en gemeenten harder aangepakt moeten worden om hen te motiveren aan hun verplichtingen met betrekking tot het beschermen van privacy en persoonsgegevens te voldoen? Zo ja, wat gaat u hieraan doen? Zo, nee waarom niet?
Informatiebeveiliging bij gemeenten is niet vrijblijvend. Informatiebeveiliging is krachtens de Wbp verplicht. De wetgever heeft de Autoriteit Persoonsgegevens ingesteld om toezicht op de naleving van de wet uit te oefenen. De AP is onafhankelijk. Het is daarom aan de AP en niet aan mij om te besluiten of een boete of een andere interventie op zijn plaats is.
Informatiebeveiliging is een verantwoordelijkheid van de gemeente zelf, waarbij de gemeenteraad een controlerende taak heeft. Ik moet die positie van de gemeenten respecteren en onthoud mij daarom van een oordeel ter zake. De AP heeft, zoals ik aangeef in het antwoord op vraag 2, aangekondigd om de gemeenten nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden. -
Vraag 5
Hoe beoordeelt u de onderzoeken van Reporter-radio (KRO-NCRV) en PwC waaruit blijkt dat gemeenten blijkbaar toch niet zelf in staat zijn om de door hun gebruikte informatiesystemen te beveiligen? Hoe beziet u dit in het licht van uw antwoorden op eerdere vragen over datalekken bij gemeenten3 waarin u stelt dat dit een verantwoordelijkheid van gemeenten zelf is?
Zoals ik in de beantwoording van vraag 4 aangeef, is de beveiliging van informatie een verantwoordelijkheid van de gemeente zelf. Dat er zich incidenten voordoen, betekent mijns inziens niet dat gemeenten niet in staat zijn zelf hun informatiesystemen te beveiligen. Gemeenten worden daarbij actief door de VNG, in het bijzonder de IBD, ondersteund. Daarnaast is het belangrijk dat AP haar werk doet.
-
Vraag 6
Deelt u de zorgen van de indiener over de uitkomst van het PwC Privacy Governance onderzoek dat slechts een op de tien organisaties klaar is voor de gewijzigde privacywetgeving die in mei 2018 van kracht wordt?
In het Privacy governance onderzoek onder 210 organisaties in onder meer de publieke sector geeft 9% van de organisaties aan nu al te voldoen aan de verplichting uit de Algemene Verordening Gegevensbescherming (AVG) om alle verwerkingen van persoonsgegevens inzichtelijk te hebben en te documenteren. Dat is voor deze organisaties een belangrijke stap in de goede richting, maar – zonder de specifieke situatie per organisatie te kennen – zullen ook deze organisaties waarschijnlijk nog verdere stappen moeten ondernemen om aan de AVG te voldoen. Ook hiervoor geldt dat elke organisatie, publiek en privaat, zelf verantwoordelijk is voor naleving van de regels in de AVG en de daarop gebaseerde wetgeving. Dit is inherent aan het juridische systeem van de AVG die elke verantwoordelijke voor gegevensverwerking zelf de verantwoordelijkheid oplegt voor naleving ervan. Vanuit de departementen en koepelorganisaties worden wel enkele faciliterende activiteiten ondernomen om organisaties te ondersteunen bij de implementatie.
-
Vraag 7
Hoe beoordeelt u het resultaat van het onderzoek van PwC dat het erop lijkt dat nog weinig organisaties de voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) in gang hebben gezet en dat slechts 22 procent van de organisaties met regelmaat risicoanalyses zoals het privacy impact assessment uitvoert?
Uit het onderzoek blijkt dat 55% van de onderzochte organisaties standaard of ad-hoc privacy impact assessments uitvoert. 39% doet dit niet en 6% van de respondenten geeft aan het niet te weten.
Sinds 1 september 2013 wordt de PIA standaard toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien (Kamerstuk 26 643 nr. 282).
De beroepsorganisatie van IT-auditors (NOREA) heeft een handreiking voor de uitvoering van een PIA ontwikkeld die breed wordt gebruikt. Ook diverse sectoren, bijvoorbeeld de onderwijssector die werkt met een model PIA van de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland (SURF), zijn hier voortvarend mee aan de slag. Het is een goed teken dat organisaties, zowel bij overheid als bedrijfsleven, nu al aan de slag zijn zonder dat er een wettelijke verplichting geldt. -
Vraag 8
Hoe beoordeelt u dit resultaat in het licht van uw antwoorden op mijn eerdere vragen4 waarin u stelt dat organisaties zelf verantwoordelijk zijn voor het beveiligen van de door hen gebruikte informatiesystemen? Deelt u de mening dat uit de onderzoeken blijkt dat gemeenten op dit punt onvoldoende hun verantwoordelijkheid nemen? Zo ja, wat gaat u hieraan doen? Zo nee, wat is volgens u de reden dat gemeenten de voorbereidingen op de AVG nog niet in gang hebben gezet en wat gaat u doen om dit probleem aan te pakken?
Ik kan op basis van de onderzoeken geen conclusies trekken over hoe ver de gemeenten zijn met het zich voorbereiden op de AVG. Ook voor de implementatie zijn de gemeenten zelf verantwoordelijk. De IBD helpt de gemeenten bij de implementatie en heeft daarvoor een aantal specifieke middelen ontwikkeld.
-
Vraag 9
Deelt u de mening dat het onacceptabel is dat slechts 31% van de deelnemers aan het PwC Privacy Governance onderzoek bij de ontwikkeling en implementatie van nieuwe systemen rekening houdt met de verplichting om aandacht te hebben voor privacy van betrokkenen en de bescherming van persoonsgegevens?
Gevraagd naar de stelling «Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy aspecten en de bescherming van persoonsgegevens (Privacy by Design principe)» gaf 31% van de respondenten aan daar nu al rekening mee te houden en 69% niet. In het huidige wettelijke kader van de Wbp is er nog geen wettelijke verplichting om het Privacy by Design principe toe te passen, hoewel dit wel wenselijk is.
Onder de AVG wordt de verwerkingsverantwoordelijke verplicht zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen (privacy by design en privacy by default). In dat licht beoordeel ik dat 31% van de respondenten nu al voldoet, zonder dat er een wettelijke plicht is, als positief. -
Vraag 10
Bent u het ermee eens dat dit zeer zorgelijk is en ertoe leidt dat het probleem met datalekken in stand blijft en datalekken aan de orde van de dag blijven?
Net als de Autoriteit Persoonsgegevens ben ik van mening dat PIA’s en de principes van Privacy by Design, waaronder dataminimalisatie, een positieve bijdrage kunnen leveren aan het voorkomen van datalekken en daarmee aan de bescherming van persoonsgegevens. Dat is ook precies de reden dat deze principes, die bijvoorbeeld door het Rijk zijn omarmd, een plaats hebben gekregen in de AVG. Dat neemt niet weg dat de zorg voor een afdoende niveau van beveiliging van persoonsgegevens een blijvende verplichting is.
-
Vraag 11
Gaat u alle gemeenten verplichten zich te verantwoorden over de kwaliteit van hun informatieveiligheid met ENSIA per 1 juli 2017? Verwacht u dat datalekken hierdoor sterk zullen verminderen? Zo ja, waarom?
Het project ENSIA heef tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de BIG.
ENSIA gaat gemeenten helpen om meer inzicht te krijgen in de stand van zaken van de informatieveiligheid zodat ze er beter op kunnen sturen. ENSIA betreft een methodiek die een aantal reeds bestaande assessments/audits op het zelfde moment uitvraagt, waarbij door middel van een collegeverklaring informatiebeveiliging, een assurancerapport door een IT-auditor en een paragraaf informatiebeveiliging in het jaarverslag verantwoording wordt afgelegd aan de raad en aan de betrokken departementen.
Als ENSIA per 1 juli 2017 wordt ingevoerd dan gaan de gemeenten zich in 2018 over 2017 verantwoorden – in eerste instantie aan hun eigen gemeenteraad en in tweede instantie aan de desbetreffende departementen (BZK,SZW en I&M).
Datalekken zijn overigens niet alleen afhankelijk van de beveiliging van ICT-systemen, maar kunnen ook te maken hebben met het menselijk handelen, denk bijvoorbeeld aan het verliezen van een USB-stick met privacygevoelige informatie. Door invoering van ENSIA wordt wel verwacht dat in ieder geval het bewustzijn rondom informatieveiligheid bij gemeenten zal toenemen. -
Vraag 12
Deelt u de mening dat 1 juli 2017 te laat is om dit probleem aan te pakken aangezien datalekken aan de orde van de dag zijn en er een risico bestaat dat er veel gevoelige informatie op straat komt te liggen of misbruikt kan worden?
De datum van 1 juli is gekozen als realistische datum waarop alle betrokken organisaties verwachten klaar te zijn voor de invoering van deze nieuwe wijze van verantwoorden. Versnelde invoering is niet mogelijk doordat de gemeenten hiervoor klaar moeten zijn, het instrument ook ontwikkeld dient te zijn en de afspraken met de IT-auditors gemaakt moeten zijn.
-
Vraag 13
Kunt u garanderen dat na de implementatie van ENSIA informatieveiligheid niet onderworpen wordt aan een eenmalige of ad hoc kwaliteitsmeting maar dat gemeenten vaker verantwoording dienen af te leggen waardoor de informatie continue beveiligd blijft?
ENSIA is niet eenmalig of ad hoc. De ENSIA-verantwoording sluit aan op de jaarlijkse planning- en controlecyclus van de gemeenten. Bovendien hebben de gemeenten met elkaar afgesproken dat zij zich jaarlijks willen verantwoorden via een aparte paragraaf over informatiebeveiliging over de volle breedte van de BIG in het gemeentelijk jaarverslag. Voorts dient via ENSIA jaarlijks verantwoording te worden afgelegd aan de departementen (aan BZK over DigiD, BRP en PUN, aan SZW over SUWInet en I&M over BAG/BGT).
-
Vraag 14
Bent u het ermee eens dat, om dit probleem aan te pakken en de informatiebeveiliging bij gemeenten structureel te verbeteren, gemeenten een autonoom budget moeten krijgen om informatieveiligheid op peil te houden en dat dit budget niet gekoppeld moet worden aan individuele systemen?
Ik ben van mening dat besluitvorming over het gewenste niveau van informatieveiligheid bij gemeenten en over de eventuele noodzaak tot prioritering daarin het beste op lokaal niveau kan plaatsvinden. Ik acht het op voorhand niet noodzakelijk om budgetten voor gemeenten af te zonderen of te oormerken. Een dergelijke maatregel verplicht gemeenten om een ontvangen budget voor informatieveiligheid aan dat doel te besteden. Informatieveiligheid behoeft een integrale inbedding in de organisatie – een benadering die verder strekt dan ICT. Het gaat om organisatie, processen, fysieke maatregelen en ICT.
-
Vraag 15
Hoe garandeert u dat binnen gemeenten aanbestede informatiesystemen ook na oplevering worden bijgewerkt? Is dit ook onderdeel van de Gemeentelijke inkoopvoorwaarden bij IT? Zo nee, waarom niet? Deelt u de mening dat dit een minimale eis bij het aanbestedingsproces zou moeten zijn?
De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn donderdag 8 december 2016 vastgesteld door het Verenigingsbestuur van de VNG. De totstandkoming van de GIBIT is onderdeel van het programma Digitale Agenda 2020 die als één van de speerpunten heeft om het ICT-opdrachtgeverschap bij gemeenten te professionaliseren.
Voor de kwaliteit van hun dienstverlening en uitvoering zijn gemeenten steeds meer afhankelijk van ingekochte ICT-producten en -diensten. Deze producten en diensten worden geleverd door bijna tweehonderd verschillende leveranciers. Gemeentelijke Inkoopvoorwaarden helpen gemeenten om te waarborgen dat ze een product krijgen dat ze echt willen, waarvoor duidelijke afspraken zijn gemaakt en dat aansluit bij hun behoefte en doelstellingen. Gemeenten en gemeentelijke samenwerkingsverbanden wordt aanbevolen de GIBIT op te nemen in het inkoopbeleid en te gebruiken bij de inkoop van IT.
In de GIBIT zijn specifieke artikelen opgenomen over privacy, beveiliging en archivering. Het hoofdstuk is van toepassing zodra er (persoons)gegevens met de ICT Prestatie worden verwerkt. Dat zal heel vaak het geval zijn, maar zeker niet altijd (bijv. niet bij hardware).
De GIBIT stelt gemeenten nadrukkelijk in staat om met informatiesystemen te kunnen voldoen aan de Baseline Informatie Beveiliging (BIG). Dit wordt onder meer gedaan via de Gemeentelijke ICT-kwaliteitsnormen waarin de BIG is verankerd. In de GIBIT zijn voorzieningen opgenomen dat leveranciers blijvend moeten voldoen aan deze Gemeentelijke ICT-kwaliteitsnormen, ook indien die normen aangepast worden. Hiermee wordt beoogd dat ook na oplevering bestaande informatiesystemen worden bijgewerkt. Gezien dat deze normen via de GIBIT worden geborgd wordt gemeenten aangeraden om de GIBIT inclusief deze bepalingen van toepassing te verklaren.
In de BIG is het de norm dat tijdig informatie dient te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie bloot staat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen (lees: updates en patches) voor behandeling van daarmee samenhangende risico's.
27 januari 2017 - 8 maart 2017
40 dagen
Het bericht dat een Brits bedrijf het IT-beveiligingsbedrijf dat Nederlandse staatsgeheimen beveiligd heeft overgenomen |
|
Jasper van Dijk , Ronald van Raak (SP) |
|
Jeanine Hennis-Plasschaert (minister defensie) (Volkspartij voor Vrijheid en Democratie), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Waarom is er voor gekozen om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen?1
De Nederlandse Staat kan opdrachten verstrekken aan bedrijven voor de ontwikkeling van beveiligingsproducten. De Nederlandse Staat stelt hoge eisen aan dergelijke producten. De kennis en techniek die hiervoor nodig is, is in sommige gevallen slechts aanwezig bij gespecialiseerde, private bedrijven. De Nederlandse overheid beschikt over de expertise om toe te zien op de ontwikkeling, veiligheid en kwaliteit van deze producten.
-
Vraag 2
Wat is uw reactie op de uitlatingen dat «als de Britse geheime dienst echt bij gevoelige informatie wil komen, zal ze lak hebben aan zulke procedurele scheidingen»?
De wettelijke voorschriften en contractuele (beveiligings)eisen die aan een privaat bedrijf worden opgelegd respectievelijk gesteld, zijn gericht op het voorkomen van ongewenste toegang ook tot gevoelige informatie.
-
Vraag 3
Kunt u garanderen dat de Nederlandse staatsgeheimen niet in handen komen van de Engelsen, nu Fox-IT is overgenomen door een Brits bedrijf?
Zie het antwoord op vraag 2.
-
Vraag 4
Hoe kan het dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) niet op de hoogte was van deze bedrijfsovername?
Op grond van de bestaande contractuele afspraken met het betreffende bedrijf bestond niet de verplichting om de NCTV op de hoogte te stellen van een voorgenomen overname. Wel zijn voorafgaand aan de overname de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie ingelicht. In het algemeen geldt voorts dat onder de bestaande Nederlandse wet- en regelgeving er geen beperkingen zijn op te leggen aan dergelijke overnames door buitenlandse partijen.
-
Vraag 5
Hoe kan het dat de overheid al jaren voorbereid was op een buitenlandse overname en de ambtenaren er toch door verrast waren?
Zie antwoord vraag 4.
-
Vraag 6
Is er onvoldoende kennis binnen de overheid om staatsgeheimen te beveiligen? Zo ja, wat gaat u hiertegen ondernemen?
Zie het antwoord op vraag 1.
-
Vraag 7
Waarom is er niet eerder, omdat er al rekening gehouden werd met een buitenlandse overname, ingezet op meer kennis van het beveiligen van staatsgeheimen door de overheid zelf?
Zie het antwoord op vraag 1.
-
Vraag 8
Waarom heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) deze deal niet geblokkeerd?
De MIVD beschikt niet over de bevoegdheid om overnames te blokkeren.
4 januari 2017 - 13 februari 2017
40 dagen
Russische hackers die gebruikmaken van Nederlandse server |
|
Ronald van Raak (SP), Sharon Gesthuizen (GL) |
|
Ard van der Steur (Volkspartij voor Vrijheid en Democratie), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Wat is uw reactie op het bericht dat Russische hackers gebruik zouden hebben gemaakt van een Nederlandse server?1
Het kabinet doet in het openbaar geen uitspraken over specifieke casussen. We worden als bewindspersonen langs geëigende kanalen geïnformeerd over ontwikkelingen en incidenten.
Het kabinet zal uw Kamer blijven informeren over ontwikkelingen omtrent cyberdreigingen, onder meer via het Cyber Security Beeld Nederland (CSBN) en de jaarverslagen van de AIVD.
In algemene zin kan worden aangegeven dat het kabinet, onder meer in het CSBN 2016 heeft geconstateerd dat statelijke actoren steeds meer inzetten op digitale middelen voor spionage-, beïnvloedings- en sabotagedoeleinden. Zoals in jaarverslagen van de AIVD is vermeld wordt Nederland misbruikt als doorvoerhaven voor digitale aanvallen. Nederland beschikt over veel bandbreedte, een van ’s werelds grootste internetknooppunten en legio mogelijkheden voor het huren van server(ruimte)s. -
Vraag 2
Op welke manier gaat u zich hierover uitgebreid op de hoogte laten stellen? Bent u bereid ook de Kamer hierover op de hoogte te houden?
Zie antwoord vraag 1.
-
Vraag 3
Klopt het dat dit soort aanvallen niet kunnen worden voorkomen? Zo nee, waarom niet? Wat wordt ondernomen teneinde dergelijke aanvallen zoveel mogelijk te voorkomen?
Het wijdverspreide en steeds toenemende gebruik van digitale technologie maakt het onmogelijk om alle digitale aanvallen te voorkomen. Wat betreft het voorkomen van dergelijke aanvallen, voor zover zij zijn gericht op politieke partijen, verwijzen wij u naar het antwoord op vraag 2 in de beantwoording van de vragen van de van de vaste Kamercommissie voor Binnenlandse Zaken van 23 januari 2017.2 Het verhogen van bewustzijn rondom cybersecurity neemt hierin een belangrijke plaats in.
Verwezen zij in dit verband ook naar het bij uw Kamer aanhangige voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Met de modernisering van deze wet zal de overheid op grotere schaal zicht kunnen krijgen op digitale aanvallen, daardoor de reikwijdte daarvan eerder kunnen vaststellen en beter in staat zijn tegenmaatregelen te treffen. -
Vraag 4
Klopt het dat spionnen gebruik hebben gemaakt van kwetsbaarheden in het mailverkeer van de Amerikaanse Democratische partij? Hoe worden dergelijke kwetsbaarheden in het Nederlandse mailverkeer voorkomen of opgelost?
Ten aanzien van de Russische activiteiten en intenties jegens de Amerikaanse presidentsverkiezingen verwijs ik naar het openbare rapport dat de Amerikaanse inlichtingengemeenschap op 6 januari jl.publiceerde.
Zoals ook aangegeven in reactie op eerdere vragen van de vaste Kamercommissie voor Binnenlandse Zaken met name vraag 2, zijn politieke partijen zelf primair verantwoordelijk voor het organiseren van hun informatiebeveiliging. Wel werkt het kabinet, zoals eveneens is aangegeven, permanent aan het vergroten van het bewustzijn rondom cybersecurity, in het bijzonder ook in relatie tot de verkiezingen in maart 2017. Zo is er in dat verband bijvoorbeeld vanuit de NCTV, in samenwerking met de inlichtingen- en veiligheidsdiensten, contact met politieke partijen over hun digitale veiligheid.