Vraag 1

Herinnert u zich dat u op 8 februari 2017 het volgende aan de Kamer schreef: «Naar aanleiding van de signalen over mogelijke onregelmatigheden bij de aanbesteding van de ondersteuning van het programma Broedkamer, heb ik een extern forensisch onderzoek in gang gezet naar deze aanbestedingsprocedure. Bij het uitzetten van de opdracht wordt er op gelet dat de uitvoerende partij onafhankelijk is ten opzichte van alle deelnemers aan de aanbesteding en niet eerder op enigerlei wijze betrokken is geweest. In het onderzoek zal onder meer aandacht worden besteed aan de rechtmatigheid en ordelijkheid van de aanbestedingsprocedure zelf, aan mogelijke voorkennis over de opdracht bij de leverancier waaraan de opdracht is gegund en mogelijke banden tussen medewerkers van de Belastingdienst en van de gekozen leverancier. Het onderzoek wordt verricht in opdracht van de directeur-generaal Belastingdienst en ondersteund door een begeleidingscommissie. Mocht uit dit onderzoek blijken dat sprake is van een vermoeden van een strafbaar feit, dan zal daarvan aangifte worden gedaan. De onderzoeker wordt verzocht zijn rapport half mei op te leveren»?1

Ja.

Vraag 2

Wie voert het extern forensisch onderzoek uit? Welke uiterste leveringstermijn is bij de opdrachtverlening gegeven?

Het onderzoek wordt uitgevoerd door advocatenkantoor NautaDutilh. In het contract is geen opleverdatum opgenomen, omdat vooraf moeilijk een schatting kon worden gemaakt van de omvang van de met de opdracht gemoeide werkzaamheden. In eerst instantie is aan de onderzoekers gevraagd het rapport medio mei op te leveren. Ik heb uw Kamer in april en juni geïnformeerd over het feit dat het onderzoek langer duurt dan voorzien en over de redenen voor de uitloop.2

Vraag 3

Heeft u een tussentijdse rapportage ontvangen? Zo ja, kunt u die aan de Kamer doen toekomen?

Ik heb geen tussentijdse rapportages ontvangen, omdat dat niet past in het onafhankelijke en forensische karakter van het onderzoek. Periodiek heeft overleg plaatsgevonden tussen NautaDutilh en de begeleidingscommissie over de voortgang van het onderzoeksproces.

Vraag 4

Kunt u de brieven, mails en rapporten die zijn uitgewisseld tussen de onderzoekers en de begeleidingscommissie en anderen bij de rijksoverheid aan de Kamer doen toekomen?

Het onafhankelijke onderzoek bevindt zich in een afrondende fase. De onderzoekers leggen de bevindingen vast in een rapportage en geven een verantwoording over het onderzoek, waarin ook zal worden ingegaan op de medewerking van het ministerie en de looptijd van het onderzoek. Zodra ik het rapport heb ontvangen zal ik uw Kamer informeren en het rapport toesturen.

Vraag 5

Heeft u aangifte gedaan naar aanleiding van tussentijdse signalen? Zo ja, wanneer en tegen wie?

Tijdens van het onderzoek naar de aanbestedingsprocedure voor de Broedkamer heb ik geen signalen ontvangen. Of het nodig is om aangifte te doen of andere acties te ondernemen kan daarom ook pas na afronding van het onderzoek worden bepaald.
In mijn brief van 8 februari 20173 heb ik aangegeven dat bezien zou worden hoe de checks en balances in het inkoopproces versterkt zouden kunnen worden. Dat heeft geleid tot een aantal maatregelen:

Vraag 6

Heeft u naar aanleiding van het onderzoek andere actie ondernomen? Zo ja, welke actie?

Zie antwoord vraag 5.

Vraag 7

Kunt u aangeven wat u vindt van het feit dat in de voorlopers van de Broedkamer:

Dat belastinggegevens van zeer veel belastingplichtigen beschikbaar waren bij de Broedkamer (waaronder begrepen de voorlopers daarvan) is een direct gevolg van het karakter van dit programma. Het in samenhang analyseren van deze gegevens was de basis voor uit te voeren toezicht op naleving van de belastingwetgeving.
Er waren bij de Broedkamer 18 medewerkers met een USB-ontheffing die ook gebruik maakten van de analyseomgeving AWS, waarin ook persoonsgegevens stonden. Dit waren alleen interne medewerkers. De USB-ontheffingen zijn inmiddels in de hele Belastingdienst ingetrokken en er geldt een zeer stringent beleid voor het verstrekken van nieuwe ontheffingen. Bij de afdeling D&A zijn sinds intrekking in februari 2017 geen ontheffingen meer verleend. Van USB-sticks werd wel gelogd dat zij gebruikt werden, maar niet de inhoud van het dataverkeer.
De servers waarop zich de gegevens bevonden stonden in beveiligde ruimtes die niet voor alle belastingdienstmedewerkers toegankelijk waren. Toegang tot de kantoorruimtes van het programma Broedkamer was voor belastingdienstmedewerkers mogelijk met een Rijkspas.
Dat medewerkers gegevens naar buiten konden mailen vanuit de analyseomgeving was niet conform de beveiligingsvoorschriften van de Belastingdienst. Deze mogelijkheden zijn dan ook afgesloten.
Dat geen besluitvorming is aangetroffen over opvolging van signalen over risico’s voor oneigenlijk gebruik of het buiten de Belastingdienst brengen van gegevens past bij de indruk dat bij de Broedkamer sprake was van een werkwijze waarin het resultaat centraal stond en ten koste ging van zorgvuldige omgang met gegevens. Het management heeft hier onvoldoende op gestuurd en ook de technische maatregelen bleken uiteindelijk onvoldoende. Het toont aan dat er niet voldoende aandacht was voor de wijze waarop wordt omgegaan met gegevens. De IT-beveiligingsmuren om de Belastingdienst zijn hoog en stevig, maar daarbinnen moeten het besef van en de concrete maatregelen voor veilig omgaan met gegevens beter. Daarvoor zijn al verschillende maatregelen getroffen, zoals ik in de brieven van 30 juni en 2 oktober 2017 heb aangegeven.4

Vraag 8

Kunt u de «bedreigingen- en kwetsbaarhedenanalyse» die is uitgevoerd over de databeveiling bij de voorlopers van de Broedkamer in 2015 aan de Kamer doen toekomen?2

Het document waar u naar vraagt betreft een intern memo dat is gewisseld tussen ambtenaren. Ik acht het onwenselijk als communicatie tussen ambtenaren onderling onderdeel van het publieke debat wordt. Hiervoor verwijs ik ook naar de kabinetslijn in het kader van artikel 68 van de Grondwet omtrent het verstrekken van inlichtingen staat beschreven in de Kamerbrief van 25 april 2016 van de Minister van BZK6. Ik kan u wel in geobjectiveerde vorm kort de strekking van het memo geven. Het memo beoogt alleen een theoretische classificatie te geven van denkbare situaties die de continuïteit en veiligheid van de werkzaamheden van de Broedkamer kunnen bedreigen.
De theoretische classificaties zijn in het memo als volgt beschreven:
Bedreiging: een situatie die een nadelige invloed kan hebben op het betrouwbaar functioneren van (een deel van) de bedrijfsvoering.
Kwetsbaarheid: hoe gevoelig ben je voor de bedreiging, in relatie tot de preventieve maatregelen die je getroffen hebt.
Hoofdsoorten bedreigingen:
Kans (zonder preventieve maatregelen):
Zeer laag: Kans van optreden gemiddeld eens per 1.000 jaar
Laag: Kans van optreden gemiddeld eens per 100 jaar
Midden: Kans van optreden gemiddeld eens per 10 jaar
Hoog: Kans van optreden gemiddeld eens per 5 jaar
Zeer hoog: Kans van optreden gemiddeld eens per jaar
Kwetsbaarheid niveau (met preventieve maatregelen):
Laag: Kans dat ernstige schade geleden wordt is minder dan 25%
Midden: Kans dat ernstige schade geleden wordt ligt tussen 25% en 50%
Hoog: Kans dat ernstige schade geleden wordt is groter dan 50%
Het memo bevat niet de uitkomst van een analyse van de feitelijke bedreigingen en kwetsbaarheden van de Broedkamer. Ter illustratie is een overzicht van denkbare situaties bijgevoegd.

Vraag 9

Kunt u het rapport «investigating data streams» van Oliver Wyman uit 2015 aan de Kamer doen toekomen? Kunt u een reactie geven op de bevindingen daarin en de opvolging die daaraan is gegeven?

De onderzoekers concluderen dat de aanbevelingen in de onderzochte periode niet zijn opgevolgd in formele besluiten. Dat is de periode daarna, in juni 2016, wel gebeurd. In lijn met de hoofdaanbevelingen in het rapport heeft de toenmalige Raad van Bestuur van de Belastingdienst in juni 2016 besloten een Datamanagement Forum in te richten bij de Belastingdienst, met als opdracht om integraal datamanagement vorm te geven. Eind 2016 is dit van start gegaan. Binnen de structuur van het Forum worden operationele en beleidsmatige kwesties rond gebruik van gegevens behandeld. De eerste resultaten daarvan zijn de ontwikkeling van een beleidsvisie op het omgaan met gegevens en het oplossen van een aantal concrete operationele kwesties rond gebruik van gegevens.
De activiteiten die in het kader van het Datamanagement Forum worden verricht, krijgen een plaats in de nieuwe structuur van de Belastingdienst. Datamanagement (waarvan informatiebeveiliging onderdeel uitmaakt) wordt in alle lagen van de Belastingdienst doorgevoerd: in strategie, uitvoering en control.
Gelet op de aard van dit rapport en de mogelijke risico’s van brede verspreiding, stuur ik het gehele rapport nu ter vertrouwelijke inzage aan de Kamer7. Ik streef ernaar u voorafgaand aan het Algemeen Overleg op woensdag 25 oktober een openbare8 versie te sturen waarin de vertrouwelijke passages onzichtbaar gemaakt zijn.

Vraag 10

Kunt u een appreciatie geven bij elk van de bevindingen van «het Rapport van bevindingen onderzoek informatiebeveiliging programma Broedkamer en voorlopers»?

De appreciatie van de bevindingen uit de twee onderzoeken heb ik gegeven in de brief van 2 oktober 2017.

Vraag 11

Van welke datalekken die zijn geconstateerd, is aangifte gedaan bij de autoriteitspersoonsgegevens? Kunt u per geconstateerde datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Over de periode van de Broedkamer is één geval geconstateerd waarin gegevens via e-mail buiten de Belastingdienst zijn gebracht. Dit geval is niet gemeld bij de Autoriteit Persoonsgegevens, omdat hierbij geen sprake was van persoonsgegevens maar van gegevens van bedrijven, zonder vermelding van de bedrijfsnaam.
Ik neem aan dat in vraag 15 wordt gedoeld op de periode van de afdeling D&A. Op 2 februari 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van een vermoedelijk datalek op grond van de mededeling van het programma Zembla dat het beschikte over een USB-stick met een groot aantal documenten. Op 29 juni 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van 11 incidenten die mogelijk als datalek te kwalificeren waren. Deze melding is gedaan op grond van tussentijdse bevindingen in het onderzoek naar gegevensgebruik bij D&A.

Vraag 12

Welke maatregelen zijn er genomen tegen de medewerkers van de Belastingdienst die via bankrekeningnummers gegevens van belastingplichtigen en gegevens van VIP’s hebben opgevraagd?3

In de onderzoeksrapporten wordt een aantal gevallen genoemd waar mogelijk sprake was van niet-functionele gegevensopvragingen. Deze zijn vervolgens nader onderzocht. Bij deze nadere analyse zijn geen indicaties gevonden dat de persoonsgegevens niet functioneel zijn gebruikt. Er zijn om die reden geen maatregelen getroffen tegen de desbetreffende medewerkers.

Vraag 13

Kunt u een appreciatie geven van elk van de bevindingen in het «Rapport van bevindingen onderzoek gegevensgebruik D&A»?

Zie antwoord vraag 10.

Vraag 14

Hoe vaak hebben medewerkers gezocht naar de gegevens van individuele belastingplichtigen? Welke acties zijn ondernomen tegen deze medewerkers?

Zie antwoord vraag 12.

Vraag 15

Van welke datalekken die zijn geconstateerd is aangifte gedaan bij de Autoriteit Persoonsgegevens? Kunt u per geconstateerd datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Zie antwoord vraag 11.

Vraag 16

Kunt u een overzicht geven van de signalen die klokkenluiders gegeven hebben over de beveiliging van de gegevens bij de Broedkamer en haar voorlopers en wat er met deze signalen gebeurd is?

In het onderzoek naar gegevensgebruik bij de Broedkamer en voorlopers hebben de onderzoekers signalen over risico’s en feiten ten aanzien van het daadwerkelijk oneigenlijk gegevensgebruik of het buiten de Belastingdienst brengen van gegevens geïnventariseerd. Zij hebben zich gericht op drie typen bronnen. Het eerste type betrof memo’s en mailberichten. Hierin werden vier signalen aangetroffen over vermeend onveilige hardware en vermeende aanschaf van hardware buiten de gebruikelijke inkoopprocedure. Het tweede type betrof twee rapporten van Oliver Wyman en Liquid Hub waarin adviezen en randvoorwaarden voor inrichting van de Broedkamer waren opgenomen; deze adviezen gingen ook over de beveiliging. Er is in de periode waarover het onderzoek zich uitstrekt geen formele besluitvorming aangetroffen over maatregelen naar aanleiding van de signalen uit deze twee typenbronnen. Over het rapport van Oliver Wyman heeft buiten de onderzoeksperiode wel besluitvorming plaatsgevonden (zie het antwoord op vraag10.
Het derde type betrof het logboek van beveiligingsincidenten. Bij analyse van dit logboek zijn door de onderzoekers geen incidenten aangetroffen die het buiten de Belastingdienst brengen van gegevens betroffen.
Overigens is nooit met zekerheid te zeggen dat een dergelijk overzicht volledig is, omdat men uiteraard geen kennis kan hebben van wat men niet gezien heeft.

Vraag 17

Waarom verklaarde u in de Kamer dat er actief gemonitord is, terwijl uit de onderzoeken blijkt dat er in het geheel geen monitoring heeft plaatsgevonden?

Zoals ik in mijn brief van 2 oktober 2017 heb aangegeven, heeft wel monitoring plaatsgevonden, maar deze was dominant gericht op de continuïteit in de bedrijfsvoering en op monitoring van kwaadaardige invloeden van buiten naar binnen. Monitoring van e-mailverkeer op het buiten de Belastingdienst brengen van persoonsgegevens vond niet systematisch plaats.

Vraag 18

Kunt u deze vragen een voor een beantwoorden en voor dinsdag 24 oktober 2017 te 11 uur aan de Kamer doen toekomen?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het artikel «Hacker steelt Australische JSF-bestanden»?1

Ja.

Vraag 2

Kunt u bevestigen dat er bij de Australische krijgsmacht informatie is gestolen over het F-35 project? Onderschrijft u de lezing van uw Australische collega dat hierbij geen sprake is geweest van diefstal van uiterst geheime informatie die de nationale veiligheid in gevaar brengt? Kunt u uw antwoord toelichten?

In het desbetreffende artikel wordt gesproken over een inbraak in het computernetwerk van een Australische leverancier. Deze is bij het F-35 programma betrokken via commerciële contracten met onderleveranciers van de Amerikaanse hoofdcontractanten. De Australische krijgsmacht is geen partij bij die contracten. Uit onderzoek dat Australië naar de toedracht van het incident heeft ingesteld, is gebleken dat de F-35 gegevens waartoe mogelijk toegang is verkregen geen gerubriceerde (geheime) informatie bevatten.

Vraag 3

Had hierbij informatie gestolen kunnen worden die de Nederlandse nationale veiligheid had kunnen bedreigen, nu of in de toekomst? Zo ja, heeft u de garantie dat dit niet gebeurd is?

Het verlies van niet-gerubriceerde informatie brengt de nationale veiligheid niet in gevaar.

Vraag 4

Om wat voor documenten ging het wel en welke waarde kunnen die documenten hebben voor derden, waaronder andere landen? Geven de documenten bijvoorbeeld belangrijke informatie over technische specificaties, waarmee derden een F-35 of onderdelen daarvan zouden kunnen ontwerpen/bouwen, of waarmee offensieve of defensieve capaciteiten van de F-35 kwetsbaar worden? Kunt u uw antwoord toelichten?

Er zijn geen details over de niet-gerubriceerde F-35 informatie verstrekt. Informatie benodigd voor het ontwerp en de bouw van complexe onderdelen, alsmede informatie over de capaciteiten van de F-35 is hoog-gerubriceerd (geheim/zeer geheim). Tot dergelijke informatie is blijkens het onderzoek geen toegang verkregen.

Vraag 5

Welke protocollen bestaan er binnen de internationale F-35 projectgroep bij eventuele diefstal van informatie? Zijn deze effectief gebleken?

Verlies van informatie wordt behandeld als een veiligheidsincident, waarnaar het desbetreffende partnerland en/of het Joint Program Office (JPO) altijd een onderzoek instelt. Hierbij bepaalt de ernst van het incident de omvang en diepgang van het onderzoek. Onderzoeksuitkomsten die relevant zijn voor de internationale F-35 projectgroep, waartoe ook Nederland behoort, worden aan de groepsleden beschikbaar gesteld om soortgelijke incidenten in de toekomst te voorkomen. Aangezien het bij dit incident informatie van een commerciële partij betrof, zijn de International Traffic in Arms Regulations (ITAR) van toepassing en is in eerste instantie melding gemaakt van het incident in de commerciële keten van de Australische leverancier, andere betrokken contractpartijen en de hoofdcontractant.

Vraag 6

Bestaan er binnen de internationale F-35 projectgroep bepaalde voorwaarden op het gebied van cybersecurity om als partnerland beschikking te krijgen tot de geheime informatie aangaande het F-35 project? Zo ja, voldeed Australië aan deze voorwaarden? Zo ja, dienen deze voorwaarden in het licht van dit hack dan verder aangescherpt te worden?

Het JPO ziet erop toe dat de beveiligingsmaatregelen, ook op het gebied van cybersecurity, die partnerlanden moeten toepassen op informatie die betrekking heeft op het F-35 programma, correct worden uitgevoerd. Daartoe dienen landen aan hoge veiligheidseisen te voldoen, wat voor Australië het geval is. Cybersecurity heeft bij het JPO en de F-35 partnerlanden hoge prioriteit en is een voortdurend punt van aandacht. Indien nodig worden de veiligheidseisen en maatregelen aangescherpt. Daarnaast is in de Amerikaanse International Traffic in Arms Regulations (ITAR) vastgelegd aan welke eisen commerciële bedrijven moeten voldoen voor de bescherming van informatie.

Vraag 7

Kunt u garanderen dat alle F-35 informatie in Nederland veilig is voor diefstal? Heeft u informatie gehad van uw Australische collega over dit hack en heeft dit geleid tot aanpassingen c.q. intensivering van de Nederlandse cybersecurity?

Nederland voldoet aan alle veiligheidseisen die het JPO partnerlanden oplegt voor de bescherming van F-35 informatie. Verder verwijs ik naar het antwoord op vraag 5.

Vraag 8

Wordt er nader onderzoek gedaan naar wie achter de hack heeft gezeten? Kunt u uw antwoord toelichten?

Om veiligheidsredenen kan ik niet op deze vraag ingaan en verwijs ik naar het antwoord op vraag 5.

Vraag 1

Wat is de stand van zaken van het project met de slimme camera’s in de Rotterdamse haven?1

De stand van zaken is dat de ondertekening van een convenant door de betrokken – publieke en private – partners aanstaande is. Er is dan ook geen aanleiding voor het Kabinet om nu in gesprek te gaan met deze partners. Als de vereiste handtekeningen gezet zijn, zal de – gefaseerde – uitwerking plaatsvinden en kunnen de camera's door de betreffende partners in het kader van hun onderscheidenlijke werkzaamheden uitgelezen gaan worden. Volgens de huidige planning van de partners zal na afronding van de aanbesteding de operationele realisatie van het cameraproject in de periode 2018–2021 plaatsvinden.

Vraag 2

Worden de camera’s inmiddels uitgelezen? Zo ja, wie leest deze camera’s uit? Zo nee, waarom niet?

Zie antwoord vraag 1.

Vraag 3

Klopt het dat er een patstelling is tussen de partners die het cameraproject moeten financieren? Zo ja, bent u bereid om met deze partners in gesprek te gaan zodat dit probleem snel kan worden opgelost?

Zie antwoord vraag 1.

Vraag 4

Kloppen de schattingen dat slechts eenvijfde deel van de cocaïnesmokkel wordt onderschept?

Het is mij niet bekend waarop de schatting van een vijfde is gebaseerd. Over de totale hoeveelheid cocaïne die Nederland binnenkomt heb ik geen informatie. Wel is mij duidelijk dat de handel in en smokkel van cocaïne als dreiging wordt gekwalificeerd, zoals ook door de politie is gedaan in het Nationaal Dreigingsbeeld 20172. Cijfers over inbeslagnames laten zien dat door het HARC team Rotterdam, een samenwerkingsverband van Zeehavenpolitie, Douane, FIOD en Openbaar Ministerie, met betrekking tot 2016 de inbeslagneming van 13.312 kg cocaïne is geregistreerd.

Vraag 5

Bent u het eens met het voornemen van de burgermeester van Rotterdam, om te kijken of de camera’s gekoppeld kunnen worden aan de meldkamer van de politie? Zo ja, heeft dit personele implicaties?

De beelden van de huidige camera’s in de haven van Rotterdam kunnen al worden doorgezet naar de meldkamer van de politie. Dat gebeurt indien daar aanleiding voor is, bijvoorbeeld bij incidenten of ten behoeve van de opsporing van strafbare feiten. De extra camera’s die in de haven zullen worden geplaatst kunnen op dezelfde wijze worden gekoppeld. De extra camera’s worden – zoals nu ook het geval is – niet «live» uitgekeken en dit heeft dan ook geen verdere personele implicaties.

Vraag 6

Functioneert inmiddels de «Haventafel», waarover eerder gesproken is, om de problematiek omtrent de drugsinvoer in de Rotterdamse haven te bespreken?2

De eerste bijeenkomst van de Haventafel heeft plaatsgevonden op 5 september jongstleden. Daarbij zijn goede afspraken gemaakt over de inrichting van dit publiek-private overlegmodel.

Vraag 1

Kent u het artikel «Fox IT houdt zeggenschap staat af»?1

Ja.

Vraag 2

Is het waar dat de Nederlandse overheid (mede)zeggenschap wenste over besluiten en benoemingen bij Fox Crypto, over enig besluit tot fusie, afsplitsing of ontbinding van Fox Crypto, over de zekerheid dat het ICT-systeem van Fox Crypto wordt afgescheiden van de rest van Fox IT/NCC en voorts de zekerheid dat alle lopende en nieuwe overheidsopdrachten ondergebracht worden bij Fox Crypto? Zo ja, kunt u concreet aangeven in hoeverre deze eisen inmiddels in afspraken zijn verwerkt?

Ja. Aan het verzoek om de ICT-systemen van Fox Crypto B.V. te scheiden van die van andere delen van het moederbedrijf en het onderbrengen van de lopende en nieuwe relevante overheidsopdrachten bij Fox Crypto B.V. is voldaan. De voorwaarden met betrekking tot zeggenschap en eigendom zijn nog onderwerp van nadere bespreking met Fox-IT.

Vraag 3

Klopt het dat de overheid niet langer inzet op een eerste recht op koop van aandelen in geval Fox Crypto c.q. Fox IT verkocht wordt door NCC Group? Zo ja, waarom heeft u de eis betreffende het eerste recht op koop laten vallen?

Ja, dat klopt. Het afzien van het eerste recht van koop heeft geen consequenties voor de cryptografische bescherming van staatsgeheime informatie. Er bleken doeltreffender middelen te zijn om eventueel maatregelen te nemen bij een ongewenste overname. Zo heeft het kabinet besloten tot de voorbereiding van wetgeving ter bescherming van nationale veiligheidsbelangen bij buitenlandse overnames van bedrijven die zich bezighouden met de (cryptografische) bescherming van staatsgeheime informatie, zoals Fox-IT. Dit traject bevindt zich in de verkennende fase.

Vraag 4

Is met Fox IT/NCC afgesproken dat de overheid c.q. de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) geïnformeerd wordt wanneer technologie, kennis en/of ervaring binnen Fox IT naar het Verenigd Koninkrijk wordt overgebracht?

Ja. In aanvulling hierop merk ik op dat dit reeds voortvloeit uit de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO), waarin staat dat gerubriceerde informatie niet aan anderen dan daartoe gerechtigden beschikbar mag worden gesteld. Fox Crypto B.V. voldoet aan de ABDO.

Vraag 5

Hoe verklaart u het feit dat bijna twee jaar na de overname van Fox IT door NCC nog geen sluitende afspraken over de bescherming van staatsgeheimen zijn gemaakt? Hoe beoordeelt u in dat licht de betrokkenheid van de Nederlandse regering bij de afspraken over de overname in 2015? Kunt u aangeven in hoeverre de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en MIVD destijds betrokken zijn geweest bij het beschermen van Nederlandse veiligheidsbelangen rondom het overnamebesluit?

Na de overname van Fox IT door het Britse NCC Group heeft de MIVD aan Fox IT aanvullende voorwaarden gesteld in het kader van de ABDO. Alle partijen hebben baat bij een zorgvuldige uitwerking van deze voorwaarden. De gesprekken hierover tussen Defensie en Fox IT verlopen constructief en bevinden zich in een afrondende fase.
Van het ontbreken van sluitende afspraken over de bescherming van staatsgeheimen is geen sprake. In het geval van Fox-IT is het bedrijfsonderdeel waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, een in Nederland ingeschreven B.V. Voor zowel personen, materieel, informatie als de fysieke locatie zijn onverkort Nederlandse wetgeving en contractuele eisen van kracht op het gebied van de bescherming van staatsgeheimen. Ook hier geldt dat de Staat toezicht houdt op de naleving van deze wettelijke en contractuele beveiligingseisen. Zo moeten bedrijven, die in opdracht van Defensie omgaan met bijzondere informatie, voldoen aan de ABDO. Fox Crypto B.V. voldoet aan de ABDO. In de nieuwe ABDO 2017 zijn de beveiligingseisen aangepast aan de huidige dreigingen. Hierbij krijgt het hoofdstuk Cyber prominent aandacht.
Over (eventuele) specifieke aandachtsgebieden van de AIVD en MIVD kan ik slechts uitspraken doen via de daartoe geëigende kanalen.

Vraag 6

Kunt u aangeven in hoeverre Fox IT dan wel Fox Crypto ook informatie beveiligt van ministeries die betrokken zijn bij de Brexit-onderhandelingen?

Nee. Om veiligheidsredenen ga ik niet in op specifieke vragen over de beveiliging van staatsgeheimen.

Vraag 7

Heeft u alternatieve aanbieders in kaart gebracht indien de gesprekken met Fox IT niet tot een gewenste uitkomst leiden?

Zoals gesteld (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1349) in antwoord op schriftelijke vragen van het lid Verhoeven (D66), zijn er in Nederland maar in beperkte mate alternatieve aanbieders beschikbaar voor de ontwikkeling van producten voor de cryptografische bescherming van staatsgeheime informatie.

Vraag 1

Kent u het bericht «Fox-IT houdt zeggenschap staat af»?1

Ja

Vraag 2

Klopt het dat de onderhandelingen met Fox-IT over de zeggenschap nog steeds niet zijn afgerond? Zo ja, waardoor komt dit?

Na de overname van Fox IT door het Britse NCC Group heeft de MIVD aan Fox IT aanvullende voorwaarden gesteld in het kader van de ABDO. Alle partijen hebben baat bij een zorgvuldige uitwerking van deze voorwaarden, waaronder de voorwaarden over zeggenschap en eigendom. De gesprekken hierover tussen Defensie en Fox IT verlopen constructief en bevinden zich in een afrondende fase. Van een plan B is daarom geen sprake.

Vraag 3

Klopt het dat Fox-IT en de Britse eigenaar NCC Group bezwaar hebben tegen het in de statuten opnemen van de vereisten dat de verkoop van het bedrijfsonderdeel en/of de benoeming van nieuwe bestuurders alleen na instemming van het Ministerie van Defensie zou mogen geschieden? Zo ja, waarom hebben Fox-IT en de NCC Group hier bezwaar tegen?

Zie antwoord vraag 2.

Vraag 4

Klopt het dat de overheid de eis, om bij eventuele verkoop van het bedrijfsonderdeel van Fox-IT waar de staatsgeheimen worden bewaard, als eerste de aandelen te mogen kopen heeft laten varen? Zo ja, waarom worden deze eisen nu niet meer gesteld? Wat zijn de mogelijke consequenties voor de veiligheid van Nederlandse staatsgeheimen wanneer niet aan deze eis voldaan wordt?

Ja, dat klopt. Het afzien van het eerste recht van koop heeft geen consequenties voor de cryptografische bescherming van staatsgeheime informatie. Er bleken doeltreffender middelen te zijn om eventueel maatregelen te nemen bij een ongewenste overname. Zo heeft het kabinet besloten tot de voorbereiding van wetgeving ter bescherming van nationale veiligheidsbelangen bij buitenlandse overnames van bedrijven die zich bezighouden met de (cryptografische) bescherming van staatsgeheime informatie, zoals Fox-IT (Kamerstuk 30 821, nr. 38). Dit traject bevindt zich in de verkennende fase.

Vraag 5

Hoe wordt gewaarborgd dat de randvoorwaarden die van te voren zijn opgesteld om de staatsgeheimen op een veilige manier bij Fox-IT onder te brengen worden nagekomen?

In het geval van Fox-IT is het bedrijfsonderdeel waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, een in Nederland ingeschreven B.V. Voor zowel personen, materieel, informatie als de fysieke locatie is onverkort Nederlandse wetgeving en contractuele eisen op het gebied van bescherming van staatsgeheimen van kracht. De Staat houdt toezicht op de naleving van deze wettelijke en contractuele beveiligingseisen.
Bedrijven die in opdracht van Defensie omgaan met bijzondere informatie, moeten voldoen aan de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). Fox Crypto B.V. voldoet aan de ABDO. In de nieuwe ABDO 2017 zijn de beveiligingseisen aangepast aan de huidige dreigingen. Hierbij krijgt het hoofdstuk Cyber prominent aandacht.

Vraag 6

Welke mogelijke consequenties zijn er wanneer u met Fox-IT niet uit de onderhandelingen komt? Ligt er een plan B klaar voor dit geval? Zo ja, wat is dit plan B? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 7

Zijn er meer van dit soort situaties waarbij de Nederlandse overheid problemen ondervindt met buitenlandse overnames van bedrijven die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt? Zo ja, welke situaties betreft dit?

Vraag 8

Hoe wordt voorkomen dat er in de toekomst opnieuw problemen ontstaan in de samenwerking met bedrijven in sectoren die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt? Kunt u daarbij ingaan op de conclusies van onderzoekers van de Radboud Universiteit in Nijmegen in het rapport «Vitale Vennootschappen in Veilige Handen»?

Vraag 9

Hoe zijn de belangen van de samenleving in dit proces gewaarborgd door een onafhankelijke toetsing? Ziet u hier een rol weggelegd voor de commissie Toezicht Inlichtingen en Veiligheid? Zo nee, waarom niet?

Vraag 1

Kent u het bericht «Reclameborden op A'dam CS weten wanneer en hoelang jij kijkt»?1

Ja.

Vraag 2

Hoeveel slimme reclameborden gebruiken Exterion en eventuele andere exploitanten in Nederland?

NS heeft aangegeven dat er op 21 september 2017 74 van dit type reclameborden op treinstations stonden. Het is op voorhand niet zeker of er sprake is van verwerking van persoonsgegevens, omdat niet duidelijk is of de camera's identificeerbare beelden verwerken. Alle exploitanten dienen zich, wanneer zij persoonsgegevens verwerken, te houden aan de hiervoor geldende wet- en regelgeving. Wanneer een exploitant zich hier niet aan houdt, kan dit een reden zijn voor de Autoriteit Persoonsgegevens om vragen te stellen, onderzoek te doen en eventueel een sanctie op te leggen. De Autoriteit Persoonsgegevens heeft aangekondigd informatie in te winnen en, indien hier aanleiding voor is, maatregelen te nemen. Alle borden vallen binnen de bevoegdheid van de Autoriteit Persoonsgegevens.
Het is ons niet bekend hoeveel van de in het bericht bedoelde type reclameborden worden gebruikt door Exterion en eventuele andere exploitanten in Nederland, noch welke data en technieken hiervoor worden gebruikt. Naar aanleiding van de maatschappelijke onrust heeft Exterion overigens bekend gemaakt dat de camera's voorlopig zijn uitgeschakeld.2

Vraag 3

Welke data verzamelen de slimme reclameborden van Exterion op Amsterdam Centraal en welke technieken worden hiervoor gebruikt?

Zie antwoord vraag 2.

Vraag 4

Kunnen mensen voorkomen dat hun beeltenis gekoppeld wordt aan andere gegevens die door apparaten worden uitgezonden? Zo ja, hoe?

Wij hebben geen aanwijzing dat er gegevens die door apparaten worden uitgezonden, worden gekoppeld aan de beeltenis van mensen.

Vraag 5

In welke mate gebruiken staatsdeelnemingen en andere bedrijven digitale volgsystemen en welke data wordt hiermee verzameld? Deelt u de mening dat bedrijven dit alleen zouden moeten kunnen doen als zij hiervoor uitdrukkelijk toestemming hebben van burgers via een «opt-in» van gebruikers?

Staatsdeelnemingen verschillen in hun rechtspositie onder de Wbp niet wezenlijk van andere bedrijven. Het is in zijn algemeenheid niet mogelijk om een overzicht te geven van bedrijven die data verzamelen, noch van de technieken waarmee data worden verzameld. Dit is immers geen limitatieve verzameling van bedrijven en technieken. Staatsdeelnemingen en andere bedrijven dienen in al hun handelen, en daarmee ook in de verwerking van persoonsgegevens, binnen de grenzen van de wet te blijven. Verwerking van persoonsgegevens is alleen toegestaan wanneer dit rechtmatig geschiedt voor een welbepaald doel en proportioneel is. Toestemming of «opt-in» is hiervoor één van de grondslagen, maar niet de enige. De verwerking van persoonsgegevens kan bijvoorbeeld ook noodzakelijk zijn voor de uitvoering van een overeenkomst, voor het vervullen van een wettelijke plicht, of in het gerechtvaardigd belang van de verwerkingsverantwoordelijke zijn. De Wbp bepaalt voor alle verwerkingsverantwoordelijken wanneer een nieuwe verwerking van persoonsgegevens moet worden gemeld. In beginsel wordt een nieuwe geautomatiseerde verwerking gemeld, tenzij een verwerking is vrijgesteld. Overigens is het in casu niet duidelijk of er sprake is van verwerking van persoonsgegevens. Wij zien geen aanleiding om staatsdeelnemingen te verplichten advies te vragen aan de Autoriteit Persoonsgegevens in andere gevallen dan in de wet is voorgeschreven.

Vraag 6

Kunt u een overzicht geven van bedrijven die data verzamelen en technieken waarmee zij data verzamelen? Zo nee, bent u bereid hier onderzoek naar te doen en dit onderzoek met de Kamer te delen?

Zie antwoord vraag 5.

Vraag 7

In hoeverre bespreekt u de exploitatie van de ruimte op stations met de NS en Prorail om ervoor te zorgen dat die exploitatie binnen de kaders van de wet plaatsvindt?

NS exploiteert de stations in Nederland. Voor een groot deel vindt de exploitatie plaats door derden. Alle exploitanten hebben zelfstandig de verplichting om voor wat betreft hun exploitatie zich te houden aan wet- en regelgeving. NS geeft aan dat zij ook in haar contracten met derden vastlegt dat deze zich dienen te houden aan wet- en regelgeving.
Het Ministerie van Infrastructuur en Milieu heeft regelmatig overleg met NS en Prorail, ook specifiek over stations. De voorliggende vragen over reclameborden zijn in het overleg niet naar voren gekomen, omdat NS geen aanleiding had te denken dat het wellicht niet binnen de kaders van de wet zou plaatsvinden.

Vraag 8

Kunt u aangeven waarom de NS zelf niet onderzoekt of de exploitatie van deze borden binnen de grenzen van de Wet bescherming persoonsgegevens (Wbp) plaatsvindt?

De exploitant Exterion is zelfstandig verantwoordelijk dat de exploitatie binnen de grenzen van de Wbp plaatsvindt. Dit geldt ook voor eventuele verwerking van persoonsgegevens met behulp van de cameratoepassing in de borden en exploitant zal daarom in dat kader zelf een afweging moeten maken. In april 2017 heeft NS naar aanleiding van een vraag van een journalist bij de exploitant van de borden, Exterion, navraag gedaan over de werking van de borden. Daarbij heeft Exterion expliciet aangeven dat met de gebruikte techniek geen beelden worden vastgelegd of persoonsgegevens worden verwerkt en dat zij voldoen aan wet- en regelgeving. Op basis van de verklaring van Exterion was er voor NS geen aanleiding om te veronderstellen dat Exterion mogelijk niet in overeenstemming met privacy wet- en regelgeving zou handelen.

Vraag 9

Vragen staatsdeelnemingen advies aan organisaties als de Autoriteit Persoonsgegevens over innovaties die mogelijk de Wbp of andere wetgeving overtreden? Zo nee, kunt u aangeven waarom dit niet gebeurt en bent u bereid hen hier opdracht toe te geven?

Zie antwoord vraag 5.

Vraag 10

Voorziet u problemen met de opkomst van dergelijke apparatuur enerzijds en de verwachte toename van het aantal apparaten met netwerktoegang door het zogenaamde «internet of things»?

De opkomst van deze apparaten en het «internet of things» hangt nauw samen met keuzes van consumenten. Wanneer in dit kader verwerking van persoonsgegevens plaatsvindt, zal dit, net als in andere situaties, wel binnen de grenzen van de wet moeten blijven. Transparantie over het gebruik van deze apparatuur is ons inziens van groot belang om consumenten in staat te stellen bewust om te gaan met het beschermen van hun privacy en te voorkomen dat hierover maatschappelijke onrust ontstaat.

Vraag 1

Wat is uw reactie op de plannen van De Nederlandsche Bank (DNB) om het databeheer uit te besteden?1 Kunt u uw antwoord toelichten?

DNB heeft veel gevoelige en (toezichts-)vertrouwelijke data in haar beheer. Daarom moeten het databeheer en de bijbehorende informatiebeveiliging van DNB van het hoogste niveau zijn, om de snel wijzigende uitdagingen op het gebied van digitalisering het hoofd te bieden. Ik vind het daarom positief dat DNB onderzoekt wat de mogelijkheden zijn om op het terrein van databeheer samen te werken met een externe partij. Omdat DNB (toezichts)vertrouwelijke data onder zich heeft, vraagt dit maximale zorgvuldigheid in de aanbestedingsprocedure en in de samenwerking met de externe partij. DNB blijft uiteindelijk zelf verantwoordelijk voor de data die zij uit hoofde van haar taak heeft verkregen.

Vraag 2

Welke scenario’s liggen er precies op tafel om de «datakluis» uit te besteden aan derden?

DNB overweegt het beheer van haar datacentrum uit te besteden aan een externe partij. Het betreft dan middelen, personeel en diensten. Het programma van eisen wordt op dit moment bepaald. Vervolgens wordt de aanbestedingsstrategie bepaald. Indien wordt besloten tot uitbesteding dan wordt de start van de aanbestedingsprocedure voorzien in het eerste kwartaal van 2018. Naast datacentrumdiensten wordt ook gekeken naar de uitbesteding van werkplekbeheer en netwerkbeheer.

Vraag 3

Wie zijn er betrokken bij het maken (en uitvoeren) van de plannen?

Deze plannen worden gemaakt in opdracht van de directie van DNB. Er is een speciaal projectteam ingesteld dat zich onder andere bezighoudt met het maken van deze plannen. De Chief Information Officer van DNB heeft de dagelijkse leiding. Onder andere een adviseur van I-interim Rijk neemt deel aan het projectteam.

Vraag 4

Onder welke voorwaarden valt deze uitbesteding, op welke wijze kan worden ingegrepen en welke middelen heeft DNB op het moment dat data in de verkeerde handen valt?

DNB streeft naar een veilige, robuuste en betrouwbare beschikbaarheid van haar ICT-systemen en data. Dit streven zal bij een uitbesteding in de contractvoorwaarden worden vertaald, waaronder in een exitclausule voor het geval DNB ontevreden is over de kwaliteit van de dienstverlenging van de externe partij. De eindverantwoordelijkheid blijft bij DNB. Het uitbesteden van databeheer vraagt daarom actieve aansturing vanuit DNB om te borgen dat haar data op de juiste manier beheerd worden.

Vraag 5

Gaat het om alle digitale gegevens die DNB wil laten uitvoeren door een derde? Kunt u de Kamer informeren welke impactstudies zijn gemaakt op alle onderdelen?

Nee, gegevens met de rubricering «staatsgeheim» zijn uitgezonderd en blijven fysiek bewaard in de kluis van DNB. DNB is van plan om haar overige digitale gegevens bij een externe partij onder te brengen, met extra waarborgen ten aanzien van informatiebeveiliging naarmate de gegevens hoger geclassificeerd zijn.
DNB heeft twee marktanalyses uitgevoerd. De eerste marktanalyse had betrekking op de sourcing naar commerciële partijen en het bepalen van een business case. Hierbij is DNB geholpen door een gerenommeerd adviesbureau. In de tweede marktanalyse is vergaand gekeken naar samenwerking met niet-commerciële partijen in Nederland (zelfstandige bestuursorganen en ministeries) en in het buitenland (met name andere centrale banken in het Europees Stelsel van Centrale Banken).
Ook is onderzocht of het voornemen van DNB in overeenstemming is met de geldende wet- en regelgeving van Nederland (waaronder de Wet op het Financieel Toezicht) en regels vanuit de Europese Centrale Bank. DNB concludeert dat dit het geval is.
Tot slot zijn er diverse referentieonderzoeken uitgevoerd bij andere centrale banken die DNB al voor zijn gegaan bij het uitbesteden van databeheer.

Vraag 6

Welke samenloop hebben deze plannen met het ontwikkelen van nieuwe zaken zoals het aandeelhoudersregister?

Het voornemen van DNB om haar databeheer uit te besteden staat los van de ontwikkeling van een centraal aandeelhoudersregister. DNB is een potentiële publieke gebruiker van het nog nader uit te werken en ontwikkelen centraal aandeelhoudersregister.

Vraag 7

Vindt u het wenselijk dat de toezichthouder op de financiële sector haar gegevens door derden laat beheren? Wat zegt het over haar positie in het veld als DNB zelf het beheer niet kan voeren? Kunt u uw antwoord toelichten?

Het voornemen van DNB sluit aan bij de ontwikkelingen in de financiële markt en de ICT-industrie in het algemeen. Ook andere toezichthouders in Europa hebben reeds gekozen om hun databeheer extern onder te brengen, waaronder enkele Scandinavische centrale banken.
Het databeheer en de bijbehorende informatiebeveiliging van DNB moeten van het hoogste niveau zijn. Ik vind het daarom positief dat DNB onderzoekt wat de mogelijkheden zijn om op het terrein van databeheer samen te werken met een externe partij. Dit vraagt wel maximale zorgvuldigheid in de aanbestedingsprocedure en in de samenwerking met de externe partij. DNB blijft uiteindelijk zelf verantwoordelijk voor de data die zij uit hoofde van haar taak heeft verkregen.

Vraag 8

Vindt u dat DNB, als toezichthouder op een sector waarin technologie een steeds grotere rol speelt, zelf de kennis en kunde dient te ontwikkelen om goed toezicht te kunnen blijven uitoefenen? Kunt u uw antwoord toelichten?

Ja. Ook DNB is van mening dat eigen kennis, kunde en ervaring een goede basis vormen voor goed toezicht op een sector waarin technologie een steeds grotere rol speelt. Daarom blijft DNB investeren in de kennis en expertise van de eigen medewerkers binnen de toezichtdivisies.

Vraag 9

Kunt u ingaan op de stelling: «Je moet als uitbestedende partij voortdurend blijven monitoren en aansturen. Hoe gevoeliger de te beveiligen informatie, hoe meer er afhangt van dat toezicht. Daar heb je deskundigen voor nodig»? In hoeverre deelt u deze mening?

Ik onderschrijf deze stelling. De eindverantwoordelijkheid voor het databeheer blijft bij DNB. DNB zal zich daarom versterken met kennis, kunde en ervaring om de externe partij goed aan te kunnen sturen.

Vraag 10

Welke deskundigen zijn nodig om voortdurend te kunnen blijven monitoren en aansturen? Moet DNB hiervoor ook op zoek naar technisch personeel? Is het aantrekken van het personeel dat hiervoor nodig is gemakkelijker dan het aantrekken van het personeel dat data beheert? Kunt u uw antwoord toelichten?

Goed databeheer door een externe partij vraagt voortdurende en kwalitatief hoogstaande aansturing vanuit de uitbestedende partij. DNB zal hiervoor een regieorganisatie inrichten. DNB verwacht dat hierbij functies ontstaan op het gebied van o.a. contractmanagement. DNB zal deze medewerkers werven, en het is de verwachting dat deze expertise op de arbeidsmarkt beschikbaar is.
Daarnaast zal DNB met het huidige eigen personeel richting blijven geven aan de ICT-strategie en het gebruik van technologie en data. Daarom wordt kennis van de bedrijfskritische applicaties en pakketten niet uitbesteed. DNB heeft het vertrouwen dat zij adequaat de aansturing van het uitbestede werk langdurig op zich kan nemen.

Vraag 11

Ziet u ook de gevaren als verminderde flexibiliteit, meer bureaucratie en beperkingen in de aanbestedingsprocedure als gevolg van het uitbesteden van het databeheer? Zo nee, waarom niet? Welke andere gevaren ziet u?

Elke vorm van uitbesteding heeft voor- en nadelen. Schaalbaarheid en het op de voet volgen van technologische ontwikkelingen zijn aansprekende voordelen. Een nadeel kan zijn de meer zakelijke relatie met de externe partij gebaseerd op contractafspraken, wat als bureaucratisch ervaren kan worden, maar anderzijds ook scherpte kan brengen in de afspraken.

Vraag 12

Klopt het dat het niet gemakkelijk is om te borgen dat degene aan wie de data wordt verstrekt, deze data goed beheert, zoals hoogleraar cybersecurity Michel van Eeten aangaf?2 Waaruit bestaat deze moeilijkheid?

Zie antwoord vraag 10.

Vraag 13

Deelt u de mening dat de overheid zelf de nodige expertise moet opbouwen om data veilig te kunnen beheren, zodat dit niet aan marktpartijen over hoeft te worden gelaten? Zo nee, waarom niet?

Ik vind het van belang dat de rijksoverheid blijvend expertise opbouwt op het terrein van het veilige beheer van data. Die expertise is zowel nodig wanneer dat beheer intern plaatsvindt, alsook wanneer wordt besloten om dit beheer uit te besteden.

Vraag 14

Welke vorderingen in het aantrekken en opleiden van in ICT-gespecialiseerde werknemers zijn gemaakt sinds Minister van Wonen en Rijksdienst in zijn reactie op het rapport van de Tijdelijke commissie ICT (commissie-Elias) heeft toegezegd meer ICT-expertise binnen de rijksoverheid op te bouwen? In hoeverre kunnen uitvoerende organisaties als DNB hiervan gebruik maken?

De Minister van Wonen en Rijksdienst realiseert dit jaar de beoogde verdubbeling van de formatie van I-Interim Rijk, de interne pool van flexibel inzetbare en ervaren professionals op het gebied van informatiemanagement en ICT. Daarnaast start dit jaar ook de tweede tranche van het Rijks ICT-traineeproject. De Minister van Wonen en Rijksdienst zal de Kamer eind dit jaar een plan sturen ter versterking van de arbeidsmarktpositie van het Rijk als ICT-werkgever.
Zelfstandige bestuursorganen zoals DNB kunnen onder voorwaarden gebruik maken van voorzieningen van de rijksoverheid. Hiervoor gelden de voorwaarden zoals vastgelegd in artikel 21a van de Kaderwet Zelfstandige Bestuursorganen.

Vraag 1

Heeft u kennisgenomen van het onderzoek dat een meerderheid van de zorgwebsites geen veilige HTTPS-verbinding heeft?1

Ja.

Vraag 2

Deelt u de opvatting dat zorgwebsites de plicht hebben om gevoelige gegevens optimaal te beveiligen? Zo nee, waarom niet?

Ik verwijs allereerst naar de schriftelijke vragen van Kamerleden Dijkstra en Verhoeven (D66) en de antwoorden daarop over de verplichtingen van zorgaanbieders om gegevens te beveiligen en de concrete maatregelen die in dat kader worden genomen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2690).
Wanneer er bijzondere persoonsgegevens worden verwerkt is het gebruik van HTTPS al verplicht op grond van de Wet bescherming persoonsgegevens (Wbp). Dit heeft de Autoriteit Persoonsgegevens (AP) aangegeven in hun antwoord op de vragen over beveiligde websiteverbindingen door Koninklijk Nederlands Genootschap voor Fysiotherapie (KNGF).2 Zoals de overheid die verantwoordelijkheid heeft voor overheidswebsites, zo hebben zorgaanbieders die voor hun zorgwebsites.

Vraag 3

Bent u bereid om, in navolging van de verplichting dat overheid websites HTPPS beveiligd moeten zijn, dit ook te verplichten voor websites van zorgaanbieders en ziekenhuizen? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

Bent u bereid om in gesprek te gaan met ziekenhuizen en zorgaanbieders om het belang van beveiligde websites te benadrukken en de Kamer hierover te rapporteren? Zo nee, waarom niet?

Met het «Actieplan (informatie-) beveiliging patiëntgegevens» wordt veel aandacht besteed aan de bewustwording op dit onderwerp. Hierin wordt ook dit onderwerp meegenomen. De Autoriteit Persoonsgegevens houdt toezicht op de veiligheid van de persoonsgegevens.

Vraag 5

Ziet u nog andere concrete maatregelen om de beveiliging van medische gegevens van patiënten op websites van zorgaanbieders en ziekenhuizen zo optimaal mogelijk te beveiligen? Zo ja, kunt u deze verder toelichten?

Zie antwoord vraag 2.

Vraag 1

Bent u bekend met het bericht «Meerderheid zorgsites onbeveiligd, privacy autoriteit dreigt met boetes»?1

Ja.

Vraag 2

Wat is uw eerste reactie op het feit dat twee op de drie websites van zorginstellingen geen gebruik maken van een veilige verbinding?

De vertrouwelijkheid van medische informatie en de vertrouwelijke omgang met persoonsgegevens in de gezondheidszorg is essentieel en is een kernwaarde voor zowel patiënten als zorgaanbieders. Ik vind het van belang dat zorgaanbieders hun verantwoordelijkheid moeten en kunnen nemen ten aanzien van informatiebeveiliging.
Zoals aangegeven in mijn eerdere reactie op vraag 2, 4 en 5 van Kamerlid Oosenburg (PvdA) over de beveiliging van ziekenhuiswebsites (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1216) zijn informatiebeveiliging en privacybescherming in de eerste plaats verantwoordelijkheden van de zorgaanbieder zelf. De Wet bescherming persoonsgegevens (Wbp) verplicht de verantwoordelijke het nemen van passende technische en organisatorische maatregelen waarbij het beveiligingsniveau passend moet zijn bij de aard van de te beschermen gegevens. In de gezondheidszorg zijn de NEN 7510, NEN 7512 en NEN 7513 de normen om dit beveiligingsniveau te bereiken. Het versleutelen van het informatieverkeer via een beveiligde (https-) verbinding is een voorbeeld van een maatregel, die uit die norm kan voortkomen. Voor iedere website en dienst zal de verantwoordelijke organisatie moeten bepalen of een beveiligde verbinding nodig is.
De Autoriteit Persoonsgegevens (AP) ziet hierop toe en kan zo nodig handhavend optreden. Ook de Inspectie voor de Gezondheidszorg (IGZ) ziet toe op de naleving van relevante wet- en regelgeving op het gebied van informatiebeveiliging in de zorg, voor zover die raakt aan kwaliteit en veiligheid van zorg.
Om zorgaanbieders nog beter toe te rusten om hun verantwoordelijkheden ten aan zien van informatiebeveiliging te nemen heb ik aanvullend hierop met branchepartijen het «Actieplan (informatie-) beveiliging patiëntgegevens» opgesteld. Hierover heb ik u geïnformeerd in mijn brief van 20 juni jl. (Kamerstuk 31 765, nr. 275). Het «Actieplan (informatie-) beveiliging patiëntgegevens» benoemt in de praktijk bewezen «good practices». Deze «good practices» hebben betrekking op de cultuur, structuur en compliance aan bestaande regelgeving van zorgaanbieders. Ik ben voornemens het «Actieplan (informatie-) beveiliging patiëntgegevens» uit te breiden naar andere sectoren (zoals bijvoorbeeld apothekers en huisartsen) ter verhoging van informatieveiligheid en de privacybescherming. De NVZ-campagne ZEKER is mijns inziens een mooi voorbeeld van het oppakken van de eigen verantwoordelijkheid door de zorgsector om de bewustwording op informatiebeveiliging en privacybescherming te verhogen.
Ik wil tot slot benadrukken dat patiënten er op moeten kunnen vertrouwen dat de bescherming van medische gegevens goed is geregeld. Dit is noodzakelijk voor de vertrouwensrelatie met de zorgverlener. Beveiliging van patiëntgegevens is een doorlopend punt van aandacht en zal altijd een onderwerp blijven waar alle partijen zich voor moeten hardmaken. Met het «Actieplan (informatie)beveiliging patiëntgegevens» heeft de sector een belangrijke stap gezet om de bescherming van medische gegevens verder te verbeteren. De Autoriteit Persoonsgegevens kan ook handhavend optreden als een aanbieder de beveiliging desondanks niet op orde heeft.

Vraag 3

Heeft u een verklaring waarom minder dan een kwart van de websites van de geestelijke gezondheidszorg, verloskundigen, thuiszorg en fysiotherapie een veilige verbinding afdwingt? Zo ja, wat is deze verklaring? Zo nee, kunt u dit laten uitzoeken?

Ik heb niet een specifieke verklaring waarom de ene zorgsector een hoger percentage beveiligde verbindingen heeft dan de andere zorgsector. Een mogelijke verklaring kan gevonden worden in een conclusie van PBLQ-rapport «Onderzoek naar de beveiliging van patiëntgegevens» (Kamerstuk 31 765, nr. 259). Daarin staat dat er groeiende bewustwording is bij zorgaanbieders als het gaat om informatiebeveiliging en privacybescherming. Dat leidt tot het nemen van maatregelen en beschikbaar stellen van capaciteit door zorgaanbieders op dat terrein. Het bewustwordingsproces is dus gaande, maar nog niet voltooid. In het nieuwsbericht van de NOS van 17 augustus jl. wordt bewustwording ook als verklaring genoemd. Ik wil door middel van de verbreding van het «Actieplan (informatie-) beveiliging patiëntgegevens» bijdragen aan een vergroting van de bewustwording en daarmee betere beveiliging, maar dat is niet een vrijblijvende keuze. Iedere zorgaanbieder zal dit op orde moeten hebben.

Vraag 4

Hoe komt het dat ziekenhuizen en huisartsen het relatief gezien goed doen? Is er een «best practice» te destilleren die door andere professionals overgenomen kan worden?

Zie antwoord vraag 3.

Vraag 5

Deelt u de mening dat het onwenselijk is als informatie onderschept wordt via onbeveiligde websites? Zo ja, welke mogelijkheden ziet u om dit aan te pakken? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 6

Deelt u de mening dat het van groot belang is dat de veiligheid van gegevens wordt beschermd en dat de zorgsector voldoende geëquipeerd moet zijn om zich te kunnen wapenen tegen kwaadwillende meelezers?

Zie antwoord vraag 2.

Vraag 1

Heeft u kennisgenomen van de artikelen «Betalen door data te delen»1 en «Roomba maker may share maps of users» homes with Google, Amazon or Apple»2?

Ja.

Vraag 2

Vindt u het wenselijk dat producten of diensten gratis of met korting kunnen worden aangeschaft wanneer consumenten sociale media gegevens – waaronder de vriendenkring, interesses en persoonsgegevens – moeten afstaan?

Het gratis of met korting aanbieden van producten of diensten is een marketinginstrument dat al lange tijd gebruikt wordt om verkoop te bevorderen, zoals de «1 + 1 gratis» aanbiedingen in de winkel. Ook in de digitale wereld worden producten en diensten gratis of met korting aangeboden. Vaak staat daar iets Beantwoording vragen over het betalen door data te delen tegenover zoals het afstaan van (persoons)gegevens of het via sociale media verspreiden van informatie over het product of de dienst.
In ons bestaande systeem van consumentenbescherming is het van belang dat de consument zelf kan beslissen of hij een product of dienst gratis of met korting aanschaft, op voorwaarde dat hij helder en volledig geïnformeerd wordt als er voorwaarden worden gesteld aan de aanschaf zoals het delen van gegevens. De consument moet op basis van volledige en begrijpelijke informatie kunnen beslissen of hij wel of niet bereid is op die voorwaarden een product of dienst aan te schaffen. Daarnaast zijn gegevens die kunnen worden herleid tot een identificeerbaar persoon (persoonsgegevens) beschermd door de Wet bescherming persoonsgegevens (Wbp). Met ingang van 25 mei 2018 wordt de Wbp vervangen door de Algemene verordening gegevensbescherming (AVG). Uit de Wbp en de AVG volgt dat persoonsgegevens alleen mogen worden verwerkt wanneer hiervoor een in die wet dan wel verordening genoemde rechtsgrond aanwezig is, zoals ondubbelzinnige toestemming van de betrokkene.

Vraag 3

Vindt u dat mensen voldoende bewust worden gemaakt van de gevolgen van het prijsgeven van persoonlijke data om ergens korting op te kunnen krijgen? Vindt u het bijvoorbeeld voldoende als het bedrijf betreffende voorwaarden alleen opneemt in de algemene voorwaarden, zoals in Engeland – bij wijze van experiment – gebeurde bij een WiFi-provider die mensen verplicht stelde toiletten schoon te maken?3

Zoals hierboven aangegeven mogen persoonsgegevens alleen worden verwerkt wanneer hiervoor een rechtsgrond aanwezig is. In dit geval is het op grond van de Wbp noodzakelijk dat de betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven. Het is aan de toezichthouder – de Autoriteit persoonsgegevens (AP) – en, in ultimo, aan de rechter, om te bepalen of in voorkomende gevallen aan deze voorwaarde voldaan is. Daarbij is onder meer relevant of betrokkene voldoende is geïnformeerd over de gegevensverwerking en of betrokkene een (voorafgaande) keuzemogelijkheid heeft gehad om in te stemmen met de gegevensverwerking dan wel om deze te weigeren.
De AVG stelt nadere voorwaarden aan de toestemming als rechtsgrond voor gegevensverwerking. De verwerkingsverantwoordelijke moet kunnen aantonen dat de betrokkene toestemming heeft gegeven voor de verwerking van zijn persoonsgegevens. Indien de betrokkene toestemming geeft in het kader van een schriftelijke verklaring die ook op andere aangelegenheden betrekking heeft, moet het verzoek om toestemming in een begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal zodanig worden gepresenteerd dat een duidelijk onderscheid kan worden gemaakt met de andere aangelegenheden. Betrokkene heeft het recht zijn toestemming te allen tijde op eenvoudige wijze in te trekken.
Daarnaast bepaalt artikel 11.7a Telecommunicatiewet (Tw) dat voor het plaatsen en lezen van informatie op het randapparaat van een eindgebruiker (bijvoorbeeld in de vorm van cookies) toestemming nodig is van die eindgebruiker en dat deze toestemming moet worden verkregen nadat de eindgebruiker hierover duidelijk en volledig is geïnformeerd, onder andere over het doel van het plaatsen en lezen van informatie en de personen met wie deze informatie wordt gedeeld. Toestemming in de zin van artikel 11.7a Tw kan niet worden verkregen door middel van acceptatie van de algemene voorwaarden. De toestemming is een wilsuiting die vrij, specifiek en op informatie berustend moet zijn. De wilsuiting moet dus ook specifiek zien op het accepteren van de voorgestelde verwerking van gegevens dan wel het plaatsen of uitlezen van gegevens. Voor een rechtsgeldige toestemming is verder van belang dat deze blijkt uit een handeling van de eindgebruiker zoals het «doorklikken» op een webpagina nadat de eindgebruiker er op is gewezen dat deze handeling betekent dat hij akkoord is met het plaatsen en lezen van cookies. Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers wordt gevolgd om gebruiksprofielen op te stellen op grond waarvan de eindgebruiker anders wordt behandeld dan andere eindgebruikers, geldt sinds januari 2013 het bij amendement Van Bemmel/
Van Dam geïntroduceerde rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. De plaatser van tracking cookies zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.
In het generieke consumentenrecht zoals opgenomen in ons Burgerlijk Wetboek (BW) worden regels gesteld die zien op informatieverstrekking aan consumenten. Op grond van artikel 230l, lid 1, aanhef en onder g, respectievelijk 230m lid 1, aanhef en onder r van boek 6 van het BW moeten handelaren en degene die namens hem of voor zijn rekening optreedt, voordat de consument gebonden is aan een overeenkomst of een aanbod daartoe, op duidelijke en begrijpelijke wijze informatie verstrekken over de functionaliteit van digitale inhoud, waaronder mede wordt verstaan het gebruik maken van tracking en/of personalisering.
Op grond van de regels omtrent oneerlijke handelspraktijken mag, kortgezegd, de handelaar en degene die ten behoeve van hem handelt geen onjuiste of misleidende informatie verstrekken of weglaten, verborgen houden of op onduidelijke, onbegrijpelijke, dubbelzinnige wijze dan wel laat verstrekken als de gemiddelde consument hierdoor een ander besluit over een overeenkomst neemt of kan nemen, dan hij anders had genomen. Een voorbeeld is de situatie waarin een product als gratis wordt aangeboden en de consument op een niet duidelijke plaats geïnformeerd wordt over wat er met zijn gegevens gebeurt. De consument kan dan namelijk zijn keuze onder meer niet op dit belangrijke aspect baseren.
Er zijn dus verschillende wettelijke kaders die voorwaarden stellen aan het gebruik van persoonlijke data. Bovendien wordt er toezicht gehouden op de naleving van deze wettelijke kaders, namelijk als het gaat om bescherming van persoonsgegevens door de Autoriteit persoonsgegevens en als het gaat om generieke consumentenbescherming door de Autoriteit Consument en Markt (ACM).

Vraag 4

Hoe wenselijk vindt u het dat huishoudelijke apparatuur privacygevoelige informatie deelt met de fabrikanten en derde (commerciële) partijen?

Het verwerken van een persoonsgegeven is een inbreuk op de persoonlijke levenssfeer van de betrokkene. Deze inbreuk kan alleen gerechtvaardigd zijn wanneer de verwerking geschiedt in overeenstemming met de beginselen voor verwerking, waaronder rechtmatigheid, doelbinding, dataminimalisatie en transparantie zoals vastgelegd in de eerdergenoemde wettelijke kaders.
In de situatie die hier aan de orde is betekent dit dat verwerking van persoonsgegevens door Google alleen mag plaatsvinden wanneer hier een rechtsgrond, zoals ondubbelzinnige toestemming van de betrokkene, voor is. De betrokkene moet hier helder en volledig geïnformeerd worden over de verwerking van zijn persoonsgegevens. Wil de overheid inzicht in diezelfde informatie over de leefomgeving van de woning, dan dient krachtens artikel 10, eerste lid, van de Grondwet, een wettelijke bepaling te bestaan die de overheid een dergelijke bevoegdheid toekent.
De verwerking moet blijven binnen het doel waarvoor de gegevens worden verzameld en op transparante wijze geschieden. Verdere verwerking door een private partij voor een ander doel, zoals verstrekking aan een derde partij, kan wederom alleen wanneer betrokkene hiervoor ondubbelzinnig toestemming heeft gegeven of indien, in het geval van de overheid, de wet daarvoor een grondslag kent. Daarnaast is het essentieel dat bedrijven zorgvuldig omgaan met de data die ze in dit kader verwerken.
De technologische ontwikkelingen en adoptie hiervan gaan snel. Er zijn toepassingsmogelijkheden die voorheen niet voorstelbaar waren. Ook ontstaan er nieuwe business modellen. Dit biedt kansen voor onze maatschappij en economie. Het kabinet vindt het belangrijk dat wet- en regelgeving voldoende ruimte bieden aan innovatie, vernieuwing en ondernemerschap, met inbegrip van de publieke belangen en waarden die door regelgeving geborgd moeten worden. Op het gebied van het omgaan met persoonsgegevens heeft de overheid zowel in Europees als nationaal verband voorwaarden en waarborgen vastgesteld, zoals hierboven aangegeven. De genoemde wetgeving bevat algemene verplichtingen voor private en publieke organisaties en rechten voor burgers. Hieraan moet het bedrijfsleven en de overheid zich houden.

Vraag 5

Vindt u dat Google of de overheid, bijvoorbeeld via data verkregen door een stofzuiger, inzicht moet kunnen hebben in het fysieke leefomgeving van een woning, het schoonmaakgedrag van gezinnen en andere privacygevoelige details?

Zie antwoord vraag 4.

Vraag 6

Vindt u dat de voorwaarden die van toepassing zijn op producten voldoende duidelijk maken dat data die verzameld worden door apparatuur met een internetverbinding commercieel uitgebuit kunnen worden? Moeten consumenten niet beter geïnformeerd worden over en beschermd worden tegen het verkopen van privacygevoelige informatie?

Het is niet mogelijk hier in zijn algemeenheid een uitspraak over te doen. Het is primair de verantwoordelijkheid van bedrijven om in overeenstemming met de wet te handelen, transparant te communiceren over het gebruik van persoonsgegevens en het consumentenvertrouwen te behouden. Indien bedrijven zich niet aan de wet houden, dan is het aan de AP om op te treden dan wel, bij overtreding van de consumentenregels, aan de ACM.
De overheid hecht groot belang aan veiligheid en vertrouwen in het digitale domein en vervult een actieve rol in de bewustwording bij consumenten over ontwikkelingen rondom persoonsgegevens. De overheid heeft haar verantwoordelijkheid daarbij vertaald in wet- en regelgeving die erop gericht is om de consument te beschermen. Daarnaast neemt de overheid verantwoordelijkheid in het voorlichten van burgers, bijvoorbeeld via veiliginternetten.nl. Hierop staan onder meer praktische adviezen op het gebied van privacy. Ook is de overheid initiatiefnemer van en partner in de campagne Alert Online.
De ACM geeft via haar informatieloket ConsuWijzer informatie aan consumenten over het beschermen van online privacy https://www.consuwijzer.nl/thema/online-privacy en over de toepassing van artikel 11.7a Tw bijvoorbeeld in de Q&A’s via https://www.acm.nl/nl/download/publicatie/?id=14496. De AP geeft via haar website voorlichting aan burgers en bedrijven over de rechten en plichten op het gebied van privacybescherming (https://autoriteitpersoonsgegevens.nl).

Vraag 7

Acht u het denkbaar dat in de nabije toekomst commerciële partijen of de overheid via Internet of Things (IoT) apparatuur inzicht krijgen in praktisch alle elementen van het dagelijks bestaan van mensen waaronder het gebruik van de wasmachine, de inhoud van de koelkast, het schoonmaakpatroon en het gebruik van sociale media?

Het is moeilijk om een algemene uitspraak te doen over de ontwikkeling van Internet of Things in de toekomst, omdat dit afhangt van veel verschillende factoren, waaronder ook de behoefte aan slimme apparaten bij de consument zelf en de bereidheid om deze gegevens te delen. Waar inzicht in deze gegevens wordt verlangd door private partijen is zoals hiervoor beschreven in het antwoord op de vragen 4 en 5 thans de Wbp en vanaf uiterlijk 25 mei 2018 de AVG maatvoerend. Voor zover de overheid hiermee inzicht zou willen verkrijgen in het gedrag van burgers inzake het gebruik van de wasmachine, inhoud van de koelkast en schoonmaakpatroon lijkt sprake te zijn van een inbreuk op de persoonlijke levenssfeer en is de overheid mitsdien gebonden aan de eisen die artikel 10, eerste lid, van de Grondwet en 8 van het EVRM stellen. Een inbreuk op de persoonlijke levenssfeer dient te zijn voorzien bij formele wet, en moet tevens noodzakelijk en proportioneel zijn in relatie tot het te dienen doel dat met de inbreuk op de persoonlijke levenssfeer wordt nagestreefd.

Vraag 8

Kunt u aangeven in welke landen wetgeving van kracht is die dergelijke praktijken strenger reguleert dan nu in Nederland het geval is? Welke mogelijkheden ziet u om Nederlandse burgers beter te informeren en beschermen tegen het ongewenst delen van persoonlijke data?

Vanaf 25 mei 2018 zal in alle Europese lidstaten de Algemene verordening gegevensbescherming van kracht zijn, waarmee het kader voor bescherming van persoonsgegevens van consumenten in belangrijke mate geharmoniseerd zal zijn. Dit betekent dat alle burgers een zelfde niveau van bescherming zullen hebben binnen de Europese Unie.
De AVG bevat een uitgewerkte regeling van de informatie die door de verwerkingsverantwoordelijke aan de betrokkene moet worden verstrekt bij de verkrijging van persoonsgegevens, zowel wanneer de gegevens bij de betrokkene zelf worden verzameld als wanneer de gegevens niet van de betrokkene zijn verkregen. Ook het recht op inzage en het recht op rectificatie en het wissen van de gegevens zijn in de AVG verankerd. Bovendien bepaalt de AVG dat de communicatie met de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal moet plaatsvinden.

Vraag 1

Wat is uw reactie op de berichtgeving dat de ov-chipkaart op de mobiele telefoon flopt?1

De introductie van OV-chip mobiel is niet vlekkeloos verlopen. Translink geeft aan dat de problemen technisch van aard waren en te maken hadden met het registreren/aanmelden. De problemen zijn volgens Translink inmiddels opgelost. OV-chip mobiel wordt door de openbaar vervoerbedrijven fasegewijs toegankelijk gemaakt voor reizigers.
Om het publieke belang van een goed en betaalbaar openbaar vervoer te borgen, moeten reizigers op een goede wijze kunnen betalen voor het openbaar vervoer (OV). In het Nationaal Openbaar Vervoer Beraad (NOVB) zet ik mij hiervoor in. Omdat er met de OV-chipkaart een goed middel is voor reizigers om te betalen voor het OV, is het publieke belang niet in het geding. De waardering van de reiziger voor het gebruiksgemak van de OV-chipkaart is in de OV-klantenbarometer 2016 gestegen naar een 8,1.
Ik vind dat openbaarvervoerbedrijven de ruimte moeten hebben om het betaalsysteem in het openbaar vervoer verder te verbeteren. Zoals ik u op 27 januari 20162 schreef, wordt er door de vervoerders aan verschillende nieuwe mogelijkheden om te betalen gewerkt. Uitgangspunt is dat de nieuwe systemen een toegevoegde waarde moeten hebben ten opzichte van de huidige OV-chipkaart. In NOVB-verband wordt er in de komende jaren door Translink, de openbaar vervoer bedrijven, consumentenorganisaties en overheden onder meer gekeken naar de betrouwbaarheid en betaalbaarheid van de verschillende systemen.

Vraag 2

Kunt u de verschillende beslissingen die zijn genomen in het proces rondom het opstarten, invoeren en uitvoeren van de pilot in een tijdslijn inzichtelijk maken, waarbij per beslissing wordt aangegeven waarom geconcludeerd werd dat een volgende stap mogelijk was en kan in de tijdslijn aangegeven worden wanneer en waarom is afgeweken van de eerdere planning? Zo nee, waarom niet?

De openbaarvervoerbedrijven en Translink zijn verantwoordelijk voor de ontwikkeling van nieuwe betaalwijzen en de invulling van pilots. Translink geeft aan dat de introductie van OV-chip mobiel plaats vond nadat het aanmelden en gebruik uitgebreid getest was met behulp van een testgroep. Na de introductie op 22 mei 2017 was de belangstelling zo groot dat dit technische problemen opleverde. Deze problemen zijn inmiddels opgelost. In deze eerste fase wordt het betaalmiddel conform plan voor maximaal 10.000 reizigers met een Vodafone of KPN-abonnement ter beschikking gesteld. De gebruikers wordt gevraagd naar verbeterpunten om zodoende stap voor stap OV-chip mobiel voor een groter publiek geschikt te maken.

Vraag 3

Kunt u tevens de verschillende beslissingen die zijn genomen in het proces rondom de pilot die reizen met een bankpas mogelijk moet maken inzichtelijk maken in een tijdslijn, waarbij per beslissing wordt aangegeven waarom geconcludeerd werd dat een volgende stap mogelijk was tot het moment dat besloten werd de invoering (voorlopig) niet door te laten gaan? Zo nee, waarom niet?

Net zoals bij OV-chip mobiel, is «reizen met de bankkaart» een innovatie waarmee Nederland tot de voorlopers behoort. Translink geeft aan dat het «reizen met de bankkaart» op dit moment volop in ontwikkeling is. Wel gaat de ontwikkeling minder snel dan verwacht. Het streven is om eind 2017 te starten met een pilot in Den Haag. Voor het kunnen uitvoeren van deze pilot moet onder meer de apparatuur geschikt gemaakt worden en moeten er afspraken met banken worden gemaakt. Ook worden de ervaringen met de OV-chip mobiel hierin meegenomen.

Vraag 4

Hoeveel kosten zijn op tot op 1 juli 2017 door Translink gemaakt met de pilot van een ov-chipkaart op een mobiele telefoon en welke verwachting is er voor het toekomstig uitgavenpatroon?

Translink geeft aan dat er in 2016 € 1,2 miljoen is geïnvesteerd. De telecombedrijven en OV-bedrijven hebben ook investeringen gedaan voor de eerste uitrol van 10.000 OV-chip mobiel gebruikers. Translink geeft aan dat de definitieve business case afhankelijk is van het aantal gebruikers.

Vraag 5

Hoe verhoudt de uitspraak van Translink-directeur Groothedde die stelt dat «de eerste dagen waardeloos zijn geweest» zich tot het feit dat het maanden na de start van deze pilot nog steeds een chaos is?

Translink geeft aan dat de technische problemen bij de opstart van de pilot zijn opgelost en geeft aan dat de 5.400 huidige gebruikers van OV chipmobiel tevreden zijn. Het aantal gebruikers stijgt. Zie verder de antwoorden op de vragen 1 en 2.

Vraag 6

Bent u het eens met de uitspraak van hoogleraar Van Wee van de Technische Universiteit Delft over de pilot dat het «overkomt alsof die niet professioneel is aangepakt»? Kunt u uw antwoord toelichten?

Zoals ik in mijn antwoord op vraag 1 heb aangegeven vind ik dat de introductie van OV-chip mobiel niet vlekkeloos is verlopen. De communicatie over randvoorwaarden en omvang van de pilot had beter gemoeten. Tevens vind ik dat openbaar vervoerbedrijven de ruimte moeten hebben om het betaalsysteem in het openbaar vervoer verder te verbeteren. Ook in de vorm van pilots waarvan niet altijd vooraf duidelijk is of deze in de praktijk direct tot het gewenste resultaat leiden.

Vraag 7

Kunt u garanderen dat de kosten voor de mislukte pilots met de ov-chipkaart op de mobiele telefoon en het reizen met de bankpas niet voor rekening komen van de reizigers of de belastingbetaler? Zo nee, waarom niet?

Zoals eerder aangegeven moeten alternatieve vormen voor betalen in het OV meerwaarde bieden boven de OV-chipkaart. Dit kan bijvoorbeeld doordat het efficiënter is en het openbaar vervoer in totaal goedkoper maakt. Of doordat de nieuwe betaalwijze nieuwe reizigers trekt en bestaande reizigers aantrekkelijke alternatieven biedt. Dit wordt in het NOVB bewaakt, waarmee de positie van de reiziger geborgd wordt. De pilots worden uitgevoerd en betaald door Translink, de openbaar vervoerbedrijven, de telecombedrijven en de banken. Er zijn momenteel geen bijdragen vanuit het Rijk en dus komen kosten niet voor rekening van de belastingbetaler.

Vraag 8

Kunt u inzichtelijk maken met welke pilots Translink op dit moment nog meer bezig is, in welke fase die pilots op dit moment verkeren en hoeveel kosten er al gemaakt zijn hiervoor?

Translink en de OV-bedrijven werken aan alle innovaties zoals afgesproken in de visie OV-betalen3. De pilot van betalen met een chip in de mobiele telefoon bevindt zich nu in de fase dat hij is opengesteld voor 10.000 gebruikers. Er zijn op dit moment 5400 gebruikers van dit alternatief en hun ervaringen worden gebruikt om het product verder te verbeteren. In het jaarverslag 2016 van Translink staat dat voor deze pilot € 1,2 miljoen is geïnvesteerd. De pilot voor het betalen met de bankkaart (EMV) wordt voorbereid (zie antwoord op vraag 3). In het jaarverslag 2016 van Translink staat dat voor deze pilot € 2,4 miljoen geïnvesteerd is. Daaronder vallen ook de kosten voor het vervangen van het kernsysteem van de OV-chipkaart, dat 15 jaar oud was. Hiermee is het systeem verder toekomstbestendig gemaakt. Andere innovatie-trajecten zoals Be in Be out (een systeem met bluetooth) staan verder in de toekomst gepland en daar zijn nog geen pilots van in voorbereiding.

Vraag 9

Bent u bereid om het Bureau ICT Toetsing te vragen de verschillende pilots bij Translink door te lichten? Zo ja, wanneer kunt u de Kamer daarover informeren? Zo nee, waarom niet?

Nee. Het Bureau ICT Toetsing toetst grote projecten van de rijksoverheid met een ICT-component van meer dan € 5 miljoen. De pilots worden uitgevoerd en betaald door Translink en de openbaar vervoerbedrijven en zijn dus geen project van de rijksoverheid. Translink is een private onderneming met als enige aandeelhouder de Coöperatie Openbaar Vervoerbedrijven. Alle bedrijven met openbaar vervoer concessies in Nederland zijn lid van deze coöperatie.

Vraag 1

Kunt u, nu u aangeeft antwoorden op eerdere vragen dat het UWV (UItvoerigsorgaan werknemersverzekeringen) een contract heeft met IBM, garanderen dat data van Nederlandse inwoners die bij het UWV bekend zijn niet in handen kunnen komen van de Amerikaanse overheid?1 2

UWV heeft maatregelen genomen om te borgen dat de persoonsgegevens die IBM verwerkt zodanig zijn beveiligd dat wordt voldaan aan de privacyregelgeving. Zo is IBM contractueel verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. Verder heeft UWV een beveiligingsovereenkomst met IBM gesloten waarbij alle klantspecifieke beveiligingsafspraken tot in detail zijn vastgelegd. Daar waar vereist heeft UWV een European Model Contract gesloten met IBM. In dergelijke modelcontracten (waarvan de tekst is vastgesteld door de Europese Commissie) worden passende waarborgen gegeven voor de bescherming van persoonsgegevens die in lijn zijn met de Europese kaders. Nederland heeft echter geen directe invloed op wetgeving van buiten de EU die de privacyregelgeving zou kunnen doorkruisen. Van een volledige garantie kan dan ook geen sprake zijn (zie ook het antwoord onder 2).
Momenteel loopt een aanbestedingstraject om de datacenterdienstverlening bij UWV opnieuw te verwerven. In de aanbesteding worden uitgebreide, concrete eisen opgenomen over beveiliging. Een beveiligingsovereenkomst gebaseerd op de geldende standaarden vormt onderdeel van de contractset en deze wordt (zoals nu ook bij IBM het geval is) in concrete afspraken uitgewerkt. Ook heeft UWV, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hiermee borgt UWV dat ook bij een nieuw contract voor datacenterdienstverlening een passend beschermingsniveau van persoonsgegevens en een afdoende algemeen beveiligingsniveau wordt geboden.

Vraag 2

Kunt u garanderen dat de persoonsgegevens van Nederlandse burgers, of dat nu via het UWV of een andere overheidsinstantie is, niet in handen kunnen komen van de Amerikaanse overheid? Zo nee, wat gaat u hierop ondernemen?

Nee, die garantie kan ik niet geven. Er bestaat immers een aantal rechtsgrondslagen om persoonsgegevens aan de Amerikaanse overheid te verstrekken. Een voorbeeld hiervan is de samenwerking op strafrechtelijk gebied, waarbij in het kader van opsporingsonderzoeken gegevens kunnen worden doorgegeven aan de overheden van derde landen, waaronder de Verenigde Staten. Dit kan ook gegevens aangaande Nederlandse burgers betreffen. Deze verstrekking geschiedt in beginsel slechts indien een verdrag met het desbetreffende land daarvoor een adequate grondslag biedt. Toepassing van rechtshulpverdragen tussen Nederland en het desbetreffende land is voor strafrechtelijke samenwerking de meest in aanmerking komende oplossing. Met de Verenigde Staten bestaat een dergelijk verdrag. Ook op andere terreinen, zoals bijvoorbeeld de belastingheffing, bestaan verdragen die voorzien in de doorgifte van persoonsgegevens aan derde landen.

Vraag 3

Deelt u de mening dat het opslaan van data op buitenlandse servers de kans vergroot dat deze data in handen komen van buitenlandse overheden, zeker nu Google de gebruikersgegevens moet afstaan? Zo nee, waarom niet? Zo ja, gaat u maatregelen nemen om dit onmogelijk te maken?

Indien gegevens op servers in het buitenland staan, is er sprake van een verhoogde kans op bemoeienis van buitenlandse overheden. Vanzelfsprekend vallen gegevens op servers welke in het buitenland zijn geplaatst onder de jurisdictie van het desbetreffende land. De kans is daarbij aanwezig dat deze gegevens, in zijn algemeenheid en met inachtneming van de ter zake geldende wetgeving in dat land, door instanties in dat land kunnen worden opgevraagd.
Ik ben niet van plan extra maatregelen te nemen om het opslaan van data op buitenlandse servers onmogelijk te maken. Van welke dienstverleners gebruik wordt gemaakt is een afweging die binnen de kaders van wet- en regelgeving wordt gemaakt. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor bijvoorbeeld open data. Overheden die data willen afschermen tegen onbevoegde inzage staan verschillende maatregelen ter beschikking. Het afdwingen van de opslaglocatie is een mogelijke maatregel, maar goede encryptie is bijvoorbeeld ook een optie. De aard van de data en de risico’s die hier verbonden aan zijn, bepalen de mix van deze maatregelen.

Vraag 4

Waarop baseert u dat op dit moment volgens u de Nederlandse inwoners voldoende beschermd zijn tegen het meekijken van buitenlandse mogendheden?

Zoals reeds aangegeven in de beantwoording van eerdere Kamervragen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2149) kan niet worden uitgesloten dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Indien er geconstateerd wordt dat het geval is neemt het kabinet maatregelen.
In zijn brief van 21 juni 2017 (vergaderjaar 2016–2017, Kamerstuk 26 643, nr. 477) bij de aanbieding van het Cybersecuritybeeld Nederland 2017 (CSBN 2017) gaf de Staatssecretaris van Veiligheid en Justitie aan dat de grootste dreiging in het digitale domein blijft uitgaan van beroepscriminelen en statelijke actoren.
Hoewel overheid, bedrijfsleven, wetenschap en burgers in Nederland veel inspanningen verrichten om de digitale weerbaarheid te vergroten laat het CSBN 2017 ook zien dat het bijhouden van de groeiende kwetsbaarheid van de maatschappij als geheel een grote uitdaging blijft. Het beeld laat zien dat investeren in de toekomst nodig zal blijven voor de digitale weerbaarheid.

Vraag 1

Bent u bekend met het bericht «Autoriteit Consument & Markt introduceert rekenhulp voor roaming»?1

Ja.

Vraag 2

Bent u van mening dat consumenten voldoende ingelicht worden over de beperking van de nieuwe roamingafspraken, aangezien de nieuwe roamingafspraken in media veelal worden betiteld als «roam-like-at-home» terwijl er in de praktijk toch beperkingen bestaan? Wat doet u om ervoor te zorgen dat consumenten zich bewust zijn van de beperkingen?

In de EU-regelgeving is vastgelegd dat de klant bij roaming in een andere EU-lidstaat zijn binnenlandse tarief betaalt (roam-like-at-home), binnen de grenzen van redelijk gebruik van roaming. Telecombedrijven mogen een fair use policy hanteren om te voorkomen dat er misbruik of afwijkend gebruik wordt gemaakt van roaming voor andere doelen dan periodiek reizen in de EU. Ook mogen telecombedrijven de hoeveelheid dataroaming zonder toeslag beperken op basis van een afgesproken formule, en bij wijze van uitzondering alsnog een toeslag vragen voor roaming als zij tegenover hun toezichthouder kunnen aantonen de kosten van roaming niet te kunnen terugverdienen. Deze beperkingen zijn bewust toegestaan om te voorkomen dat telecombedrijven te hoge kosten maken als gevolg van roamende klanten en genoodzaakt zijn hun binnenlandse tarieven te verhogen ter compensatie van die kosten. Het staat telecombedrijven vrij om geen gebruik te maken van de beperkingen. Ik ben van mening dat consumenten op grond van de roamingregels in de EU voldoende worden ingelicht over deze beperkingen. Telecombedrijven zijn verplicht hun klanten te informeren over eventuele beperkingen ten aanzien van het roam-like-at-home principe in hun contract. Daarnaast moeten zij de klant hierover informeren iedere keer dat hij de grens passeert (per sms of e-mail), tenzij de klant heeft verzocht dat niet meer te doen. Bovendien moet een telecombedrijf zijn klant waarschuwen als deze het maximum aantal gigabytes dat hij mag verbruiken voor het thuistarief – voor zover een maximum wordt gehanteerd – heeft opgebruikt. De overheid informeert de consument over zijn rechten middels de website consuwijzer.nl.
Overigens valt bellen vanaf het thuisnetwerk naar een ander netwerk in de EU niet onder het begrip roaming zoals de EU-wetgeving dat hanteert, zodat ik dit niet beschouw als een beperking ten opzichte van het roam-like-at-home principe. Deze vorm van bellen wordt internationaal bellen genoemd en is niet gereguleerd. De roamingafspraken hebben alleen betrekking op bellen of sms-en vanaf een ander netwerk in de EU dan het thuisnetwerk (naar een nummer in de EU), op het ontvangen van een telecomgesprek of sms op een ander netwerk in de EU dan het thuisnetwerk, en op internetten op een ander netwerk in de EU dan het thuisnetwerk.

Vraag 3

Bent van mening dat de kosten die telecomproviders voor bellen naar het buitenland binnen de EU (in Nederland tarieven tot soms 90 cent per minuut, en in andere lidstaten tot zelfs 1,99 euro per minuut) in rekening brengen in verhouding staan tot de kostprijs van een minuut bellen binnen de EU?2

De kostprijs voor bellen naar een andere lidstaat in de EU bestaat uit het opbouwen van het gesprek op het thuisnetwerk, een vergoeding voor de internationale transit naar het buitenlands netwerk en een vergoeding aan het buitenlandse netwerk voor het afwikkelen van het gesprek. De laatste twee componenten kunnen zorgen voor een hogere kostprijs vergeleken met bellen binnen Nederland. Het is niet mogelijk om een generieke uitspraak te doen over de vraag of het tarief voor bellen naar een andere EU-lidstaat in verhouding staat tot de kostprijs. De tarieven zijn de uitkomst van vrije prijsvorming en hoeven de kostprijs niet te weerspiegelen. Het tarief verschilt bovendien van aanbieder tot aanbieder en per aanbieder soms van abonnement tot abonnement.

Vraag 4

Bent u ermee bekend dat 150 Europarlementariers de Europese Commissie gevraagd hebben een voorstel te doen om ook het bellen naar buitenlanden binnen de EU te gaan reguleren om zo excessieve prijzen voor data, telefonie en sms te beperken?3

Ja.

Vraag 5

Deelt u de mening dat het wat kosten betreft binnen de EU niet zou moeten uitmaken naar welke Europese lidstaat men belt en dat de vrijheid binnen data-, bel- en sms-bundels ook zou moeten gelden voor bellen en sms’en vanuit het thuisland?

De mogelijkheid om vanuit het thuisland tegen het binnenlands tarief te bellen naar elk land binnen de EU is aantrekkelijk voor de consument, maar heeft nadelen. Het vraagt om EU-regulering die telecombedrijven verplicht voor alle gesprekken vanaf het thuisnetwerk naar een netwerk in de EU het binnenlands tarief te rekenen. Telecombedrijven kunnen het tarief voor internationaal bellen dan niet langer gebruiken als middel om zich te onderscheiden van hun concurrenten in de markt. Ze zouden de gederfde inkomsten door lagere tarieven voor internationaal bellen bovendien kunnen compenseren door hogere binnenlandse tarieven te vragen. Ondertussen lijkt de noodzaak van dit type regulering te zijn ingehaald door de markt. Consumenten die een redelijk tarief willen betalen voor internationaal bellen, kunnen gebruik maken van telecombedrijven en abonnementsvormen die een lager tarief rekenen, van speciale 0900-nummers met lage tarieven voor internationaal bellen4 of zonder kosten bellen over het internet (bijvoorbeeld via Skype, Facetime of Whatsapp). Er is dus keuze op de markt voor internationaal bellen, waar prijsbewuste consumenten gebruik van kunnen maken.

Vraag 6

Bent u bereid om u hiervoor in te zetten door aan te sluiten bij de oproep van de 150 Europarlementariërs en in de Europese Raad en de Raad voor het concurrentievermogen te pleiten voor het reguleren van telefonie, sms-verkeer en datagebruik binnen de EU?

Om de redenen genoemd in mijn antwoord op vraag 5 vind ik het niet wenselijk om in raadsverband te pleiten voor het reguleren van internationaal bellen binnen de EU. Mocht de Europese Commissie besluiten het initiatief te nemen tot een wetgevend voorstel, wat niet in de lijn der verwachting ligt, dan zal ik dat beoordelen op zijn merites en uw Kamer hierover informeren.

Vraag 1

Bent u op de hoogte van het feit dat de gemeente Groningen voornemens is om alle generieke ICT-voorzieningen te privatiseren, ondanks bezwaren van experts?1

Ja.

Vraag 2

Hoeveel gemeenten hebben hun ICT-voorzieningen op vergelijkbare wijze geprivatiseerd?

Op aanbesteding van ICT-diensten zijn Europese en nationale aanbestedingsregels van toepassing. Dat laat onverlet dat er onder omstandigheden ook kan worden gekozen voor het inbesteden (in eigen beheer uitvoeren) van bepaalde diensten. De keuze hiervoor binnen de gemeente is de verantwoordelijkheid van het College van burgemeester en wethouders en de raad van de betreffende gemeenten. De wijze waarop ICT-diensten worden aanbesteed of inbesteed wordt niet centraal vastgelegd. Ik heb hier dus geen overzicht van.

Vraag 3

Vindt u het privatiseren van de ICT-voorzieningen van de gemeente Groningen, waarbij ook nog eens vele mensen hun baan verliezen, wenselijk? Zo ja, waarom? Zo nee, waarom niet?

Zoals ik aangeef in het antwoord op vraag 2 is het aanbesteden of inbesteden van ICT-dienstverlening de verantwoordelijkheid van de gemeenten zelf. De afweging over de gevolgen is aan het College en de Raad. Ik kan als Minister van BZK uw opvatting dat «vele mensen hun baan verliezen» in dit verband noch onderschrijven, noch ontkrachten.

Vraag 4

Kunt u garanderen dat de gegevens van de Groningse inwoners veilig zijn, wanneer de ICT-voorzieningen van de gemeente worden geprivatiseerd? Zo nee, wat gaat u doen om deze veiligheid te garanderen?

Veiligheid is altijd een streven en is nooit te garanderen. Gemeenten doen er alles aan om de veiligheid te realiseren. Bij aanbesteding of inbesteding van de ICT-diensten blijft de aanbestedende dienst verantwoordelijk voor de bescherming van persoonsgegevens. Daarop is de Wet bescherming persoonsgevens van toepassing. De Autoriteit Persoonsgegevens ziet daarop toe. Om de veiligheid van gegevens te garanderen hebben de gemeenten zich gecommitteerd aan de Baseline Informatiebeveiliging voor Gemeenten (BIG). Aanbesteding of uitbesteding verandert daar niets aan.

Vraag 5

Deelt u de zorg dat op deze manier waardevolle ICT-kennis binnen decentrale overheden verdwijnt, zeker nu tweederde van de gemeenten te maken heeft met datalekken?2

Uitbesteden van dienstverlening op het vlak van ICT is en blijft een gemeentelijke afweging. Het is noodzakelijk dat de gemeente in die gevallen een passend opdrachtgeverschap inricht met een daarvoor voldoende inhoudelijke kennis en ervaring. Uitbesteding en/of samenwerking helpt in die zin gemeenten te voorzien in op dit moment schaarse kennis en vaardigheden van de uitvoering van ICT. Deze schaarste doet zich overigens niet alleen bij gemeenten voor.
Uitbesteding van ICT is op zichzelf geen factor bij het voorkomen van datalekken. De gemeente dient passende technische en organisatorische maatregelen te nemen ter voorkoming van datalekken, dit is ook in een situatie van uitbesteding goed mogelijk. Waar nodig wordt, ingevolge de wet bescherming persoonsgegevens (Wbp), een verwerkersovereenkomst opgesteld waarin de afspraken over de omgang met persoonsgegevens worden vastgelegd.

Vraag 6

Kunt u aangeven waarom het Bureau ICT Toetsing (BIT) heeft aangegeven dat er bij dit project geen BIT-toets mogelijk was?

In het Instellingsbesluit tijdelijk Bureau ICT-toetsing (Staatscourant Nr. 21178, 23 juli 2015) wordt het bureau belast met de taak te adviseren over de risico’s en slaagkans van ICT-projecten bij ministeries en publiekrechtelijke zelfstandige bestuursorganen, zoals bedoeld in artikel 4 van de Kaderwet zelfstandige bestuursorganen. Het bureau heeft geen bevoegdheid om te adviseren over ICT-projecten bij gemeenten.

Vraag 7

Vindt u het wenselijk dat ook gemeenten een BIT-toets kunnen doen bij dit soort grote projecten? Zo ja, gaat u dat mogelijk maken? Zo nee, waarom niet?

Nee. Gemeenten hebben een zelfstandige verantwoordelijkheid als het gaat om het beheersen van grote ICT-projecten. Ik zie daarin geen rol voor het BIT.

Vraag 8

Bent u bereid landelijke regels te stellen rondom gemeentelijke privatisering van ICT-voorzieningen? Zo nee, waarom niet?

Nee, er is op dit moment geen aanleiding om de aanbestedingsregels die gelden voor overheidsorganisaties, die voor het laatst in 2016 zijn aangepast, te herzien.

Vraag 1

Kent u het bericht «Waarschuwing voor grote internationale gijzelsoftware-campagne»?1

Ja

Vraag 2

Wat wordt er op dit moment concreet gedaan om te zorgen dat ICT-systemen van de rijksoverheid zelf niet geïnfecteerd raken?

Mij zijn geen gevallen bekend van besmettingen bij de rijksoverheid. Ook bij het Nationaal Cyber Security Centrum (NCSC) zijn geen besmettingen gemeld, zoals de Minister van Veiligheid en Justitie in zijn brief van 2 juni heeft aangegeven. Niettemin heeft de aanval van Wannacry malware en zijn impact ertoe geleid dat bij verschillende organisaties van de Rijksdienst is en wordt nagelopen of ook echt op alle relevante plekken de relevante patches zijn toegepast.
Meer in het algemeen is bij de Rijksdienst een stelsel van regelgeving voor informatiebeveiliging van toepassing. Maar daarmee zijn we er niet. In de strategische I-agenda Rijksdienst is daarom «Verstandige aandacht voor informatiebeveiliging en privacy» één van de vijf thema’s.
Verder informeert en waarschuwt het NCSC organisaties binnen de rijksoverheid zodat ook een dreiging van een passend antwoord kan worden voorzien.
Ten slotte wil ik opmerken dat beveiliging en beheer van ICT een cyclisch proces is. Dat betekent dat acties ten behoeve van beveiliging niet eenmalig zijn, maar voortdurend, en met regelmaat terugkeren.

Vraag 3

Is alle software bij de rijksoverheid voldoende veilig en actueel? Zo nee, welke actie gaat u hiervoor ondernemen?

Zie antwoord vraag 2.

Vraag 4

Kan er een overzicht verstrekt worden van de ICT-systemen die draaien onder de verantwoordelijkheid van Binnenlandse Zaken en Koninkrijksrelaties met een beeld van de laatste stand? Hoe wordt het delen van expertise over het voorkomen van dit soort cyberaanvallen met andere ministeries georganiseerd?

Ik beschik over een omvangrijk overzicht van alle ICT-systemen waarvoor ik opdrachtgever en verantwoordelijk ben. Dit overzicht is zeer divers van aard, en bevat naast de grote systemen zoals DigiD ook een veelheid aan componenten die ten dienste staan van de (interne) bedrijfsvoering of kleinere systemen; alles bij elkaar bestaat dit overzicht uit ongeveer 800 elementen. Wat betreft de stand van zaken: van alle elementen in dit overzicht is mijn beeld dat zij niet getroffen zijn door het Wannacryvirus.
De rijksoverheid maakt gebruik van de expertise van het NCSC. Hierbij verwijs ik nogmaals naar de hiervoor genoemde brief van mijn collega van Veiligheid en Justitie.

Vraag 5

Welke lessen trekt u uit deze cyberaanval? Wat gaat de rijksoverheid anders doen inzake de eigen ICT-systemen ten opzichte van de huidige aanpak, om ervoor te zorgen dat de Rijks- en mede-overheden in de toekomst niet geraakt worden door cyberaanvallen?

Zoals ik hierboven opmerkte, zijn mij geen gevallen bekend van Wannacry besmettingen bij de rijksoverheid. Niettemin constateert de Algemene Rekenkamer helaas ook tekortkomingen in de informatiebeveiliging. De CIO-Rijk is hierover in gesprek met de CIO’s, waarbij specifieke aandachtspunten per departement worden besproken. In het tweede halfjaarlijkse gesprek zal de CIO Rijk de voortgang bespreken op deze aandachtspunten. De Kamer zal eveneens over de voortgang worden geïnformeerd.
Ten aanzien van medeoverheden geldt dat informatiebeveiliging een verantwoordelijkheid is het betreffende bestuursorgaan, dat dus ook zelf verantwoordelijk voor het nemen van eventuele extra maatregelen.

Vraag 1

Wat is uw beleid rondom het opslaan van al dan niet vertrouwelijke gegevens van de rijksoverheid? Vallen belgegevens van medewerkers van de rijksoverheid hieronder?

Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving, een afweging moet maken ten aanzien van de gewenste locatie van data. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Belgegevens zoals telefoonnummers, website bezoek (ip-adressen) en verkeersgegevens vallen onder de Wet bescherming persoonsgegevens (Wbp). De Wbp schrijft voor dat persoonsgegevens slechts onder bepaalde omstandigheden mogen worden opgeslagen buiten de Europese Economische Ruimte (EER). Voor aanbieders van telecommunicatiediensten geldt naast de Wbp ook de Telecommunicatiewet. In hoofdstuk 11 van de Telecommunicatiewet zijn de bepalingen opgenomen ter bescherming van de persoonsgegevens en de persoonlijke levenssfeer van de gebruikers van elektronische communicatienetwerken en -diensten.
Het bovenstaande wettelijke kader geldt ook voor de belgegevens van medewerkers van de rijksoverheid.

Vraag 2

Kunt u aangeven waar de huidige aanbieder van mobiele telefonie voor de rijksoverheid gegevens over het belverkeer van medewerkers van de rijksoverheid opslaat?

VodafoneZiggo slaat persoons- en verkeersgegevens van Nederlandse Vodafoneklanten op in de z.g. switch locaties in Arnhem, Amsterdam, Groningen, Nieuwegein, Utrecht, Rotterdam en Venlo. Daarnaast worden gegevens van Nederlandse Vodafoneklanten opgeslagen in een datacentrum in Ratingen, Duitsland.

Vraag 3

Op welke wijze worden eisen gesteld aan de nieuwe aanbieder om te voorkomen dat belgegevens van Rijksmedewerkers onder de USA Freedom Act vallen? Zijn deze eisen vastgelegd in het eisenpakket voor de nieuwe aanbesteding? Zo ja, hoe?1

De aanbestedende dienst verricht de aanbesteding onder de vigerende wet- en regelgeving, waaronder de Aanbestedingswet 2012, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Wbp. De Aanbestedingswet 2012 laat zeer beperkt ruimte om op voorhand buitenlandse (Europese) partijen, dan wel partijen die afkomstig zijn uit landen die deelnemen aan de Government Procurement Act, uit te sluiten. Uitsluiting van partijen die onder de toepassing van de USA Freedom Act vallen is voor deze aanbesteding vanwege het non-discriminatiebeginsel niet mogelijk.
Om te voorkomen dat in strijd met Nederlandse wet- en regelgeving gegevens door de opdrachtnemer worden verwerkt of gedeeld, zijn eisen in het contract opgenomen. Deze eisen zijn:
Voldoen aan de in de aanbestedingsstukken genoemde kaders betreffende de beveiliging van gegevens waaronder Wbp, ISO standaard voor informatiebeveiliging (27001/2:2013) of gelijkwaardig, BIR, Voorschrift informatiebeveiliging Rijksdienst (VIR) en Voorschrift informatiebeveiliging Rijksdienst bijzondere informatie (VIRBI), waar deze van toepassing zijn.

Vraag 4

Welke eisen werden in de vorige aanbesteding gesteld aan de opdrachtnemer? Is dit in de nieuwe aanbesteding significant gewijzigd?

Voor de vorige aanbesteding geldt: onder Titel 8 («Geheimhouding en (informatie)beveiliging») van het Staatscontract Mobiele Communicatie OT2010 zijn in artikel 31 («Gebruik Persoonsgegevens Eindgebruiker») de voorwaarden opgenomen met betrekking tot persoons- en gebruiksgegevens (voor een pdf van het Staatscontract, zie: https://www.hisict.nl/contracten/ot2010-mobiele-communicatiediensten).
Op de nieuwe aanbesteding IWR2017|MCD (ICT Werkomgeving Rijk|Mobiele CommunicatieDiensten) zijn de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT2016) van toepassing. In artikel 18 («Verwerking persoonsgegevens») van de ARBIT2016 de voorwaarden met betrekking tot de verwerking van persoonsgegevens opgenomen (voor de ARBIT2016, zie: http://wetten.overheid.nl/BWBR0038569/2016-10-04).
Daarnaast zijn de beveiligingskaders vastgelegd de aanbestedingsdocumenten. Zie tevens het antwoord op vraag 3.
Door van toepassingverklaring van de ARBIT2016 en de gestelde voorwaarden met betrekking tot beveiliging en privacy zijn de eisen ten opzichte van de vorige aanbesteding in belangrijke mate gewijzigd.

Vraag 5

Heeft u ontbindingsclausules in de lopende aanbesteding opgenomen voor het geval de dataveiligheid in het gevaar komt? Is de overname van Vodafone door Liberty Global voor u aanleiding geweest hier gebruik van te maken en is uw beleid op enige wijze hierdoor gewijzigd?

Ja, er zijn ontbindings-/opzeggingsclausules in de lopende aanbesteding opgenomen, te weten:
Vanuit het ARBIT2016 art. 30.3 en art. 30.6. Hierin is onder andere genoemd dat ontbinding van het contract door de opdrachtgever, de Staat, mogelijk is wanneer sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de opdrachtnemer. Daarnaast geldt de overeenkomst voor bepaalde duur en is er geen stilzwijgende verlenging mogelijk. De opdrachtgever kan de overeenkomst onder gelijkblijvende voorwaarden driemaal verlengen, telkens voor een periode van 12 maanden. Indien opdrachtgever gebruik maakt van dit recht doet hij hiervan uiterlijk zes maanden voor het einde van de exploitatieperiode van de Raamovereenkomst schriftelijk en aangetekend mededeling aan de opdrachtnemer.
Van een overname van Vodafone door Liberty Global, het moederbedrijf van Ziggo, is overigens geen sprake. Het gaat om een samenvoeging van de Nederlandse divisies van Vodafone en Ziggo in een gezamenlijke onderneming «VodafoneZiggo Group Holding B.V.». Hierin hebben Vodafone en Liberty Global een even groot eigenaarbelang (50/50). De overgang naar VodafoneZiggo was geen aanleiding om de overeenkomst te beëindigen. Ook is het inkoopbeleid hierdoor niet gewijzigd.

Vraag 1

Kent u het bericht «EU snijdt in chiptechnologie» in ScienceGuide van 11 mei 2017 over het niet continueren van de financiële steun van de Europese Unie (EU) aan het programma Europractice?1

Ja.

Vraag 2

Hoe waardeert u de inschatting van de onderzoekers dat het niet continueren van de steun voor Europractice desastreus zal zijn voor het Europese onderwijs en onderzoek en voor de industrie?

Meer dan 480 universiteiten en 170 onderzoeksinstellingen in 42 landen maken al vele jaren gebruik van Europractice om op kleine schaal prototypes van chips te ontwerpen, fabriceren en testen.
Europractice wordt ondersteund via het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie, thans genaamd Horizon 2020 (H2020). De ondersteuning van projecten in H2020 geschiedt door middel van «Calls for Proposals» die na indiening worden geëvalueerd door externe experts. Geselecteerde voorstellen verkrijgen daarna financiële ondersteuning met een looptijd van 3 tot 4 jaar. Europractice is via dit proces tot nu toe ondersteund (sinds 1995). De huidige Europese financiering loopt tot medio 2018.
De Europese Commissie heeft vorig jaar een «Call for proposals» (ICT-04–2017) opengesteld, waarin het Europractice-PLUS voorstel is ingediend. De Europese Commissie heeft ook andere voorstellen op vergelijkbaar gebied ontvangen. Het Europractice-PLUS voorstel en de andere voorstellen zijn geëvalueerd door externe deskundigen. Het Europractice-PLUS heeft in de evaluatie niet het minimum kwaliteitsniveau behaald om in aanmerking te komen voor financiële ondersteuning.
Indien Europractice alternatieve inkomstenbronnen zou bezien en inzetten, dan is het al of niet verkrijgen van Europese subsidie voor het Europractice initiatief niet direct van negatieve invloed op de beschikbaarheid van prototyping services voor ontwikkeling van integrated circuits(IC) voor onderzoekers en de kosten hiervan.

Vraag 3

Wat zijn de gevolgen van het niet continueren van de steun voor Europractice voor de Nederlandse wetenschap en voor het Nederlandse hightechbedrijfsleven?

Zie antwoord vraag 2.

Vraag 4

Is er een reden waarom een cruciale basisfaciliteit als de productie van prototypes van integrated circuits (IC)uit tijdelijke projectfinanciering wordt gefinancierd? Deelt u de mening dat dit onwenselijk is?

De afgelopen 22 jaar is Europractice ondersteund via Europese projectfinanciering. Ik zet mij in om op Europese Unie niveau een continuering van een Europractice-achtige dienst op EU-schaal te faciliteren. De Europese Commissie is hierbij de eerstverantwoordelijke. Een Europractice achtige dienst dient derhalve te passen binnen het raamwerk van het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie.

Vraag 5

Bent u bereid om samen met de wetenschappers en het bedrijfsleven te zoeken naar alternatieve vormen van financiering met een grotere mate van continuïteit dan EU-projectsubsidies?

Het Europractice initiatief is een pan-Europees initiatief dat al vele jaren (sinds 1995) vanuit het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie wordt ondersteund. De Europese Commissie is hierbij de eerst verantwoordelijke, maar mijn betrokkenheid, evenals die van andere lidstaten, is hierbij via het H2020 ICT LEIT Committee (het Programme Committee voor Information and Communication Technologies binnen het H2020 onderdeel Leadership in Enabling and Industrial Technologies) gewaarborgd.
Nederland heeft deze kwestie tijdens een zitting van dit Committee aan de orde gesteld op 18 mei jl. De Nederlandse delegatie heeft met een groot aantal andere lidstaten bij de Europese Commissie aangegeven dat Europractice-achtige diensten noodzakelijk zijn en deze zouden niet moeten worden onderbroken.
De Europese Commissie heeft aangegeven dat naar verwachting oktober 2017 een «Call for Proposals» wordt opengesteld, waarin Europractice een vervolgvoorstel kan indienen. Indien in een volgende Call een voorstel wordt ingediend van een voldoende hoog kwaliteitsniveau zou dit in aanmerking kunnen komen voor Europese ondersteuning.

Vraag 1

Bent u bekend met bericht «Nederland krijgt minder nieuwe glasvezelverbindingen»?1

Ja.

Vraag 2

Wat is volgens u de reden dat er de afgelopen jaren minder glasvezel is gelegd in Nederland?

Zoals het onderzoek van Stratix in opdracht van de NOS laat zien, worden er minder huishoudens aangesloten op glasvezel dan 5 jaar geleden. Volgens de monitor van de ACM2 zijn er nu 2,5 miljoen huishoudens die glasvezel tot aan hun voordeur kunnen krijgen. Hiervan nemen 1 miljoen huishoudens daadwerkelijk de verbinding af. Dat de investeringen in glasvezelaansluitingen afnemen is onder andere te verklaren doordat de mobiele en vaste telecominfrastructuren in Nederland in internationaal perspectief van hoog niveau zijn en grotendeels aan de behoefte voldoen. Zo is Nederland al ver met de Europese doelstelling voor 2025 dat alle huishoudens beschikken over een 100Mbps verbinding. Nederlandse huishoudens hebben nu al in 91% van de gevallen de beschikking over een dergelijke snelle vaste verbinding. In het recent door de Europese Commissie uitgebrachte Europe's Digital Progress Report3 wordt Nederland zelfs gezien als land met de beste digitale connectiviteit.
De hoge kwaliteit verbindingen beïnvloedt zodoende de vraag naar een glasvezelaansluiting. Zoals in het NOS-artikel is benoemd, maken de meeste huishoudens met een glasvezelverbinding namelijk geen gebruik van deze verbinding. Een ander aspect dat bij investeringen een rol speelt is of de randvoorwaarden voor deze investeringen op orde zijn. Hiervoor is het bestaan van voldoende concurrentie van groot belang. Het moet onderkend worden dat als er minder spelers op de markt actief zijn dit een negatief effect kan hebben op investeringen. Ik zet me daarom Europees in om te zorgen dat het nieuwe regelgevend kader concurrentie bevorderend werkt.

Vraag 3

In hoeverre is de afname in de aanleg van glasvezel het gevolg van een marktsituatie met slechts twee grote spelers?

Zie antwoord vraag 2.

Vraag 4

Kunt u een actueel overzicht geven van de behoefte aan snellere internetverbindingen bij burgers, bedrijven, scholen, zorginstellingen en andere organisaties? Hoeveel procent van de betreffende groepen heeft behoefte aan een snellere internetverbinding?

In december vorig jaar heb ik uw Kamer een onderzoek gestuurd4 over de ontwikkeling van de vraag naar digitale connectiviteit in de komende 10 jaar en hoe deze overeenkomt met het aanbod. Uit het connectiviteitsonderzoek blijkt dat op hoofdlijnen een goede match tussen vraag en aanbod bestaat. Nederland kent kwalitatief hoogstaande vaste en mobiele netwerken en deze dragen bij aan het gunstige ondernemings- en vestigingsklimaat in Nederland. De gekozen techniek is daarbij niet relevant. Het gaat erom dat gebruikers adequaat in hun vraag worden voorzien.
In het genoemde onderzoek wordt ingegaan op de veranderende connectiviteitsbehoefte. Duidelijk is dat de vraag naar digitale connectiviteit significant toeneemt door onder andere het stijgende gebruik van smartphones door consumenten en de groeiende hoeveelheid apparaten die in verbinding staan met het internet. Deze toenemende digitalisering biedt kansen om onze welvaart te vergroten. Zo kunnen digitale leermiddelen kinderen beter voorbereiden op de toekomst, «connected cars» kunnen bijdragen aan een afname van de filedruk en het verbeteren van de verkeersveiligheid en e-healthtoepassingen kunnen onze gezondheidszorg verbeteren. In het connectiviteitsonderzoek wordt ingegaan op deze ontwikkelingen en de behoeftes van de verschillende gebruikers. Ook wordt specifiek ingegaan op de ontwikkelingen van het koper- en kabelnetwerk. We zien dat deze netwerken steeds meer verglazen en dit in combinatie met technische upgrades zorgt ervoor dat al in het grootste deel van het land snelheden worden behaald van boven de 100 Mbps. Daarnaast zie ik dat er in Nederland ook op verschillende plekken, bijvoorbeeld voor bedrijven, in glasvezelaansluitingen wordt geïnvesteerd. Wel zie ik dat op sommige plekken, de zogenaamde buitengebieden, uitdagingen blijven bestaan rond de beschikbaarheid van snelle internetverbindingen. In december vorig jaar5 heb ik uw Kamer ook geïnformeerd over mijn inzet op dit onderwerp.

Vraag 5

In hoeverre kan met nieuwe technologieën, zoals DOCSIS3.1 of bonded Vplus, worden voldaan aan die behoefte?

Zie antwoord vraag 4.

Vraag 1

Heeft u kennisgenomen van het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS?1

Ja.

Vraag 2

Bent u inmiddels op de hoogte van waar alle Nederlandse overheidsdata zich bevinden? Zo nee, wat gaat u hierop ondernemen?2

Het is niet aan de orde dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties moet beschikken over een actueel overzicht van de locatie waar de data van alle ministeries, provincies, gemeenten en de semipublieke instellingen zijn opgeslagen.
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving zoals de Baseline informatiebeveiliging Rijk (BIR) een afweging maakt tussen dienstverleners. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Ook decentrale overheden maken binnen de kaders van vigerende wet- en regelgeving hun eigen afwegingen over outsourcing van hun ICT. In het kader van de Baseline Informatiebeveiliging Nederlandse Gemeenten heeft de Informatiebeveiligingsdienst voor gemeenten een leidraad opgesteld die handvatten biedt om rekening mee te houden.

Vraag 3

Kunt u garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen? Zo nee, maakt het UWV (Uitvoeringsorgaan werknemersverzekeringen) nog steeds gebruik van het IBM-datacenter in Brussel?

Zoals ik in het antwoord op vraag 2 aangaf, is het aan de verantwoordelijke overheidorganisatie om per geval, binnen de kaders van wet- en regelgeving, een afweging te maken ten aangezien van de dienstverlener. Vestigingslocatie kan daarbij een rol spelen. Vanwege de diversiteit aan data kan ik niet garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen.
Het UWV heeft de datacenterdienstverlening uitbesteed aan de markt; op dit moment is dat IBM. Momenteel loopt een aanbestedingstraject om deze dienst opnieuw te verwerven. UWV heeft, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hierbij kan worden geacht dat een passend beschermingsniveau geboden wordt.

Vraag 4

Vindt u dat Nederlandse inwoners voldoende beschermd worden tegen het eventueel meekijken van buitenlandse diensten en overheden op dit moment? Zo ja, kunt u garanderen dat er geen buitenlandse mogendheden zijn die op grote schaal data verzamelen over Nederlandse inwoners? Zo nee, wat gaat u hierop ondernemen?

Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Er kan echter niet uitgesloten worden dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Indien er geconstateerd wordt dat dit wel het geval is neemt het kabinet maatregelen.

Vraag 5

Wat gaat u doen om te voorkomen dat data van de overheid en uitvoeringsinstanties op servers van Amerikaanse bedrijven worden opgeslagen?

Ik wil dit niet voor alle soorten data voorkomen. Het vraagstuk waar data kunnen en mogen worden opgeslagen hangt immers af van de aard van de data, zoals ik aangaf in het antwoord op vragen 2 en 3.

Vraag 6

Vindt u in het algemeen dat Nederlandse overheidsinformatie goed beveiligd is, ook als u meeneemt dat het Nederlandse Fox-IT is overgenomen door een Engels bedrijf?3

In het algemeen vind ik dat. Aandacht voor dit onderwerp is uiteraard blijvend noodzakelijk. De Algemene Rekenkamer constateert ook in het Verantwoordingsonderzoek 2016 dat er ruimte voor verbetering is.
In antwoord op vragen van het lid Verhoeven aan de ministers van Economische Zaken, van Veiligheid en Justitie en van Binnenlandse Zaken en Koninkrijksrelaties over de overname4 heb ik geantwoord dat het risico dat door die overname Nederlandse staatsgeheimen in handen van niet-bevoegden vallen is ondervangen.

Vraag 7

Vallen Nederlandse overheidsdata, die op servers van Amerikaanse bedrijven staan, onder de Freedom Act?

Ik kan niet uitsluiten dat Nederlandse overheidsdata die worden verwerkt door dienstverleners uit de Verenigde Staten onder de reikwijdte van een bepaalde vorderingsbevoegdheid vallen. In heel algemene zin geldt dat de Amerikaanse overheden over een ruim aantal bevoegdheden beschikken op grond van verschillende wetten om gegevens te vorderen van bedrijven die over die gegevens beschikken. De reikwijdte van de Amerikaanse wetgeving ter zake beperkt zich niet tot bedrijven of andere belanghebbenden, of vestigingen van die bedrijven of belanghebbenden die zich op Amerikaans grondgebied bevinden, en ook niet tot gegevens van Amerikaanse burgers of bedrijven. De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen illustreert dat voor het bijzondere geval waarop die uitspraak betrekking heeft.

Vraag 8

Wat heeft deze Amerikaanse rechterlijke uitspraak voor gevolgen voor Nederland en zijn inwoners? In welke gevallen kunnen gegevens van Nederlandse burgers opgevraagd worden door de Amerikaanse overheid? Kunnen deze burgers hiertegen beroep aantekenen?

De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen heeft slechts betekenis voor de uitleg van één specifieke vorderingsbevoegdheid en lijkt alleen van belang voor andere gevallen waarin de omstandigheden van het verwerken van persoonsgegevens door Google of vergelijkbare aanbieders gelijk zijn aan die in het geval dat onderwerp is van de uitspraak. Uit het antwoord op vraag 7 volgt dat ik niet kan uitsluiten dat toepassing van vorderingsbevoegdheden naar Amerikaans recht zich mede uitstrekt tot gegevens van de Nederlandse overheid of van Nederlandse burgers die door dienstverleners uit de Verenigde Staten worden verwerkt.
Afhankelijk van de aard van de toegepaste vorderingsbevoegdheid kunnen Europese, en dus ook Nederlandse burgers de mogelijkheden op inzage en correctie krachtens de Judicial Redress Act of 2015 beproeven. Die wet is daar speciaal voor in het leven geroepen. Verder wijs ik erop dat de doorgifte van de gegevens uit de Europese Unie naar de Verenigde Staten moet berusten op één van de grondslagen bedoeld in de artikelen 25 of 26 van richtlijn 95/46/EG, de EU-privacyrichtlijn. De bijlagen van het op 21 augustus 2016 in werking getreden EU – US Privacy Shield 5, dat op bedoelde artikelen van de EU-privacyrichtlijn is gebaseerd bevatten een uitgebreide opsomming van beschikbare rechtsgangen krachtens Amerikaans recht.

Vraag 1

Kunt u uw zienswijze geven op de gevolgen van de uitspraak van de Rotterdamse rechter dat de datavrije muziekbundel die T-Mobile aanbiedt niet in strijd is met de netneutraliteit, zoals die in de Nederlandse wetgeving is vastgelegd?1

De rechtbank heeft geoordeeld dat de netneutraliteitsverordening «zonder twijfel geen categorisch verbod op prijsdiscriminatie («acte clair») bevat», waardoor de Telecommunicatiewet op dit punt onverbindend is. Concreet betekent dit dat zero-rating-aanbiedingen, zoals die van T-Mobile, niet op grond van strijd met de Telecommunicatiewet verboden zijn. Tevens volgt uit de uitspraak dat een aanbod als dat van T-Mobile niet zonder meer in strijd is met de netneutraliteitsverordening. Het oordeel van de rechtbank staat er echter niet aan in de weg dat in het geval van het aanbod van T-Mobile (of iedere andere concrete casus waarin sprake is van zero-rating) sprake kan zijn van omstandigheden die maken dat de geboden vorm van zero-rating strijdig is met de verordening. De rechtbank heeft zich in haar vonnis niet uitgelaten over de vraag of zich bij de dienst van T-Mobile zulke omstandigheden voordoen. De Autoriteit Consument en Markt (ACM) zou dit (alsnog) kunnen onderzoeken. De ACM heeft aangegeven een dergelijk onderzoek te zijn gestart.

Vraag 2

Deelt u de mening dat een vrij en open internet gebaat is bij het voorkomen van alle vormen van discriminatie tussen soorten data die via het internet worden verstuurd?

Ja.

Vraag 3

Op basis waarvan oordeelt de rechter dat u niet bevoegd bent geweest om «zero rating» in de Telecommunicatiewet uitdrukkelijk te verbieden?2

Naar het oordeel van de rechtbank biedt de verordening geen grondslag voor aanvullende wettelijke bepalingen met betrekking tot de reikwijdte en de omvang van het in de verordening neergelegde discriminatieverbod, dat volgens de rechtbank geen categorisch verbod op prijsdiscriminatie is.

Vraag 4

Welke mogelijkheden heeft de Autoriteit Consument en Markt (ACM) om dit besluit aan te vechten en bent u op de hoogte van een voornemen van de ACM om dit te doen?

De ACM kan in hoger beroep gaan bij het College van Beroep voor het bedrijfsleven.

Vraag 5

Welke consequenties heeft deze uitspraak voor de huidige Telecommunicatiewet? Bent u bereid, indien dit grote gevolgen heeft voor het Nederlandse netneutraliteitsbeleid, hierover in overleg te treden met de Europese Commissie?

De consequentie is dat de Telecommunicatiewet op dit onderdeel door de rechtbank onverbindend is verklaard. Nu de ACM niet in hoger beroep gaat, ligt het in de rede om het categorische verbod op prijsdiscriminatie in de Telecommunicatiewet te schrappen. Hiertoe zal ik de voorbereidingen treffen. Overleg met de Europese Commissie op dit punt zal niet leiden tot wijzigingen. Nog afgezien van de opvattingen van de Europese Commissie in dezen is de Commissie niet bevoegd een rechterlijk oordeel ter zijde te stellen.

Vraag 6

Bent u bereid met de Duitse Minister van Economische Zaken te overleggen over het toestaan van zero rating binnen de Europese netneutraliteitsverordening?3

De lidstaten hebben bij de totstandkoming van de verordening binnen de Europese Raad een belangrijke rol gespeeld. Echter de nationale wetgevers hebben geen formele rol bij de handhaving van de verordening. Dit is aan de nationale toezichthouders. De Duitse toezichthouder (Bundesnetzagentur) kan deze zero-rating dienst onderzoeken op basis van de verordening.
De uitspraak van de rechter beslecht een geschil tussen de ACM en T-Mobile over de vraag of prijsdiscriminatie op grond van de netneutraliteitsverordening en de Telecommunicatiewet zonder meer verboden is of niet. De rechter heeft hierbij de ACM in het ongelijk gesteld door te oordelen dat de netneutraliteitsverordening geen categorisch verbod op prijsdiscriminatie bevat en het artikel in de Telecommunicatiewet dat het (vermeende) categorische verbod nader uitwerkt onverbindend te verklaren. Tegen deze uitspraak van de rechter staat voor de bij het geschil betrokken partijen (ACM en T-Mobile) hoger beroep open. De ACM heeft besloten van deze mogelijkheid geen gebruik te maken. Ik respecteer die beslissing. Bij deze handhavingskwestie ligt het besluit om wel of niet in hoger beroep te gaan bij de ACM als onafhankelijk toezichthouder. Conform de Instellingswet ACM dient de Minister van Economische Zaken zich niet te mengen in individuele handhavingszaken van de ACM. Zoals aangegeven in bovenstaande beantwoording onderzoekt de ACM nu, uitgaande van het ontbreken van een categorisch verbod op prijsdiscriminatie, of er specifieke omstandigheden zijn die maken dat de datavrije muziekdienst van T-Mobile in strijd is met de netneutraliteitsverordening.