Vraag 1

Bent u bekend met het artikel «Gegevens KvK-inschrijvingen gebruikt voor reclames op Facebook»?1

Ja.

Vraag 2

Onder welke voorwaarden en aan wie mogen de verplicht in het Handelsregister op te nemen gegevens ter beschikking worden gesteld? Mag de Kamer van Koophandel handelsinformatie voor reclamedoeleinden aanbieden via de in het artikel beschreven weg? Zo ja, onder welke voorwaarden mag dit?

Het handelsregister is een register van ondernemingen en rechtspersonen en is er op grond van artikel 2 van de Handelsregisterwet 2007:
De KvK verstrekt de handelsregistergegevens ter uitvoering van de artikelen 21 en 22 van de Handelsregisterwet 2007, waar staat dat de in de artikelen 9 tot en met 17 genoemde gegevens met uitzondering van de in artikel 21 bedoelde gegevens, door eenieder kunnen worden ingezien en dat de KvK deze op basis van een verzoek verstrekt.
Er is contact met de Autoriteit Persoonsgegevens over hoe deze verplichting tot levering van gegevens zich verhoudt tot de AVG. De KvK biedt handelsinformatie niet specifiek voor reclamedoeleinden aan. Er is geen wettelijke verplichting voor de KvK, op basis waarvan zij dient te registreren dan wel toe te zien, voor welke doeleinden de verstrekte gegevens door afnemers worden gebruikt.

Vraag 3

Deelt u de mening dat de privacy van zelfstandigen zonder personeel (zzp'ers) en kleine ondernemers die op deze wijze bestookt worden met reclame in het geding is? Wanneer worden de eerder gestelde schriftelijke vragen van de leden Lodders en Wörsdörfer (16 maart 2018) over de adresgegevens van zzp'ers beantwoord?

Wanneer de eigenaar van een eenmanszaak of vennoot van een personenvennootschap te maken krijgt met ongevraagde reclame van bedrijven, dan kan de privacy in het geding zijn. De eerder gestelde vragen van de leden Lodders en Wörsdörfer zijn reeds beantwoord.2

Vraag 4

Bent u bereid de Kamer te informeren over de uitkomsten van het gesprek dat deze week plaatsvindt tussen de Kamer van Koophandel en de Autoriteit Persoonsgegevens over bovengenoemd gebruik van informatie?

De gesprekken tussen de KvK, de Autoriteit Persoonsgegevens en EZK zijn nog gaande en vinden plaats in een vertrouwelijke sfeer. Over de uitkomsten daarvan valt thans nog niets te zeggen.

Vraag 1

Kent u het bericht «Kabinet zet koppositie ICT op het spel, waarschuwt Eelco Blok»?1

Ja.

Vraag 2

Herkent u zich in de bewering van de heer Blok dat het kabinet het ontbeert aan een langetermijnvisie op het gebied van informatie- en communicatietechnologie (ICT)? Zo nee, waarom niet?

Nederland heeft een goede uitgangspositie op het gebied van digitalisering. De vaste en mobiele netwerken in Nederland zijn van wereldklasse en worden continu verbeterd om te voldoen aan nieuwe eisen. De AMS-IX, een van de belangrijkste internetknooppunten ter wereld, bevindt zich in ons land. Ook heeft Nederland, internationaal gezien, een hoogopgeleide beroepsbevolking en lopen consumenten vaak voorop in het omarmen van nieuwe digitale toepassingen. Bovendien kennen we in Nederland een lange traditie van samenwerking, bijvoorbeeld tussen bedrijven, wetenschappers en overheden. Deze goede uitgangspositie blijkt ook uit de ranglijsten van zowel het World Economic Forum als de Europese Commissie2.
We mogen echter niet op onze lauweren rusten. Digitalisering is namelijk onder andere nodig op terreinen als de zorg, mobiliteit en het openbaar bestuur. Om de komende jaren voorop te kunnen lopen, bevat het regeerakkoord de nodige ambities en acties bevat als het gaat om digitalisering:
Om onze ambities en de opgaven uit het Regeerakkoord te realiseren en de Nederlandse positie op het gebied van digitalisering verder uit te bouwen, komt het kabinet voor de zomer met de Nederlandse Digitaliseringsstrategie. Deze strategie bevat de langetermijnvisie en acties waarmee het kabinet gezamenlijk aan de slag gaat om koploper te worden van Europa.

Vraag 3

Herkent u zich in de bewering van de heer Blok dat het kabinet de koppositie van Nederland op het gebied van ICT op het spel zet? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 4

Kunt u een overzicht geven van de door het kabinet te nemen maatregelen om ervoor te zorgen dat Nederland digitaal koploper wordt, zo ook beoogd in «Vertrouwen in de toekomst, regeerakkoord 2017–2021»? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 5

Verwacht u de voorgenomen data met betrekking tot de veilingen van de 700, 2100 en 3500 megahertzbanden (en de onderlinge samenhang tussen de beoogde veilingmomenten) vóór de Voorjaarsnota 2018 aan de Kamer te kunnen sturen, zoals eerder door de Kamer aan u verzocht in de motie-Weverling c.s. (Kamerstuk 21 501-33, nr. 677)?

Ja.

Vraag 6

Verwacht u de Kamer uiterlijk in het zomerreces 2018 te kunnen informeren over de oplossingsrichtingen om de 3,5 gigahertzband landelijk beschikbaar te stellen, zoals eerder door de Kamer aan u verzocht in de motie-Van den Berg/Graus (Kamerstuk 24 095, nr. 433)? Zo nee, waarom niet?

Ja.

Vraag 7

Is reeds bekend in welke vorm en met welke voorwaarden de veiling van de 5G-frequenties zal worden ingericht?

Zoals beschreven in de beantwoording van de vragen van het lid Van der Lee worden keuzes over de voorwaarden gemaakt na het besluit van de Europese Commissie over de voorgenomen fusie tussen T-Mobile en Tele2, en een advies van de ACM (Aanhangsel Handelingen II 2017/18, nr. 1103). In het Algemeen Overleg Telecom van 15 februari jl. heb ik uw Kamer vervolgens gemeld de voorwaarden voor de veiling van de 700 MHz-, 1400 MHz-, en 2100 MHz-frequenties, voor zover die niet afhankelijk zijn van voornoemde besluit en advies, alvast vast te leggen in het Actieplan Digitale Connectiviteit, welke ik uw Kamer nog voor de zomer wil toesturen.

Vraag 8

Wanneer ontvangt de Kamer de aangekondigde nationale digitaliseringsstrategie?

Uw Kamer zal de Nederlandse Digitaliseringsstrategie voor de zomer ontvangen.

Vraag 1

Kent u de artikelen «Debacle met digitale rechtspraak was voorzienbaar»1 en «Digitalisering blijft steken»?2

Ja.

Vraag 2

Hoe verklaart u het verschil in perceptie over digitalisering bij de overheid, waarbij in de evaluatie van het Programma Digitaal 2017 door het ministerie wordt geconcludeerd dat het beleid een doelmatig en doeltreffend programma is geweest, terwijl beide krantenartikelen juist wijzen op een gebrek aan doelmatigheid?

De verschillen worden veroorzaakt doordat er verschillende grootheden zijn onderzocht bij verschillende doelgroepen. In de evaluatie die in mijn opdracht is verricht, is bij ruim twintig sleutelfunctionarissen nagegaan wat de bijdrage was van het Programma Digitaal 2017 aan de digitalisering van de overheidsdienstverlening bij betreffende overheidsorganisaties. Op basis van de bevindingen heeft het onderzoeksbureau geconcludeerd dat het programma binnen de kaders (om te beginnen met het budget) doeltreffend en doelmatig was.
Het onderzoek dat in opdracht van Binnenlands Bestuur is verricht, richtte zich niet alleen op de digitalisering van de dienstverlening, maar op de digitalisering van de overheidsorganisatie in het algemeen. Bovendien is in dit onderzoek gevraagd of alle contacten tussen overheid en burgers inmiddels digitaal verlopen, waarbij de onterechte indruk kon ontstaan dat dit het doel was van het kabinet.

Vraag 3

Bent u van mening dat de door de Commissie-Elias geconstateerde veelvoorkomende gebreken (zoals gebrek aan realiteitszin, gebrek aan kennis, onbestuurbaarheid en geen inzicht in de kosten) nu, vier jaar na de Commissie-Elias, nog steeds in zijn algemeenheid een rol spelen bij ICT-projecten bij de overheid? Zo ja, op welke manier? Zo nee, waarom niet?

Er zullen altijd risico’s zijn bij de vaak complexe ICT-projecten bij de rijksoverheid. De mate waarin de risico’s ook tot gebreken bij individuele ICT-projecten leiden, hangt mede af van het managen van deze risico’s. Er zijn diverse maatregelen genomen, zoals de aanstelling van een CIO bij elk departement en de inrichting van het Bureau ICT-toetsing (BIT) als opvolging van de aanbevelingen van de commissie Elias. Uw Kamer wordt geïnformeerd over de BIT-toetsen en de reactie daarop van de verantwoordelijke bewindspersonen. Hierin wordt inzichtelijk welke risico’s het BIT constateert en welke opvolging de betrokken bewindspersonen daaraan geven.
Het BIT blijft aandacht geven aan het lerend effect van BIT-adviezen en ervoor zorgen dat de opgebouwde kennis en kunde verspreid blijven worden. De CIO Rijk zal over de constateringen van het BIT met de departementale CIO’s in gesprek gaan, zodat de follow up op aanbevelingen onderwerp van gesprek blijft binnen het betreffende departement.

Vraag 4

Bent u bereid inzichtelijk te maken, door middel van een jaarlijks totaaloverzicht, wat de ICT-kosten van de rijksoverheid zijn, inclusief personeels- beheer- en onderhoudskosten en dit aan de Tweede Kamer aan te bieden?

Het Kabinet informeert uw Kamer sinds 2016 over de uitgaven voor ICT binnen de rijksoverheid. In de Jaarrapportages Bedrijfsvoering Rijk 2016 (Kamerstuk 31 490, nr. 223) en 2017 (wordt medio mei aan de Tweede Kamer aangeboden) zijn (schattingen van) de materiële en de personele uitgaven ten behoeve van ICT opgenomen.

Vraag 5

Bent u het ermee eens dat het Rijk een duidelijke visie moet ontwikkelen op welke ICT-producten en diensten zij zelf ontwikkelt, welke zij door marktpartijen laat ontwikkelen en hoe gebruik gemaakt kan worden van beschikbare open source software?

In het regeerakkoord heeft het kabinet aangekondigd dat het een ambitieuze, brede agenda voor de verdere digitalisering van het openbaar bestuur ontwikkelt op verschillende niveaus. Onderdeel van de agenda wordt dat het Rijk voortvarender dan voorheen beslist welke producten en diensten zij zelf ontwikkelt en welke zij door marktpartijen laat ontwikkelen. In het Algemeen Overleg met uw Kamer van 14 maart jl. heb ik daarover al gemeld dat ik daarbij niet te afhankelijk wil zijn van grote marktpartijen. Per situatie wordt de markt van aanbieders verkend en vindt een afweging plaats met betrekking tot de wijze van aanbesteden. Hiertoe wordt het afwegingskader gehanteerd waarnaar in het antwoord op vraag 6 wordt verwezen.
In de Strategische I-agenda Rijksdienst (Kamerstuk 31 490, nr. 234) is een visie aangekondigd rond het zelf ontwikkelen danwel uitbesteden. Voor zover het Rijk taken in het I-domein zelf uitvoert, streeft het naar een heldere organisatie en taakverdeling van interne dienstverleners en verdere professionalisering. Het gaat om een optimale inzet van zowel de externe als de interne leveranciers.
Het kabinet geeft bij aanbestedingen closed- en opensource gelijke kansen, zoals gemeld in de brief van 12 februari 2016 (Kamerstuk 26 643, nr.389). Bij gelijke geschiktheid wordt de voorkeur gegeven aan open source software.

Vraag 6

Bent u het ermee eens dat de overheid te afhankelijk is van een klein aantal grote ICT-leveranciers en dat deze afhankelijkheid verminderd dient te worden? Onderzoekt u de mogelijkheden waarop dit kan, zoals de aanbestede opdrachten verkleinen of gebruik maken van functioneel aanbesteden?

Zoals bij het antwoord op vraag 5 is benoemd vindt per situatie een afweging plaats. Eerder is op verzoek van de Tweede Kamer daartoe al onderzocht in hoeverre de rijksoverheid haar afhankelijkheid van ICT-leveranciers kan verminderen (kst. 26 643, nr. 394). Uit het onderzoek komt naar voren dat risico’s van leveranciers-afhankelijkheid worden onderkend, maar dat een zekere mate van afhankelijkheid van leveranciers onontkoombaar is. Het Rijk is immers geen ICT-ontwikkelaar en daarom wordt de ontwikkeling van ICT-producten voor het merendeel uitbesteed aan de markt.
Zoals ook in het Algemeen Overleg van 14 maart jl. met uw Kamer is besproken wordt bij ICT-opdrachten al onderzocht hoe deze opdrachten het beste in de markt kunnen worden gezet. Ik zegde u in dit verband toe het afwegingskader voor ICT opdrachten toe te zenden. Dit afwegingskader, dat eerder als bijlage bij de derde voortgangsrapportage kabinetsreactie Tijdelijke commissie ICT projecten (kamerstuk 26 643, nr. 422) aan uw kamer is gezonden doe ik u hierbij nogmaals toekomen.
Daarnaast is het zo dat de ontwikkeling van categoriemanagement bij het Rijk heeft bijgedragen aan betere en specifieke kennis van de ICT-markt. Dat neemt niet weg dat software die belangrijk is voor de continuïteit van de bedrijfsvoering in sommige gevallen alleen tegen hoge kosten kan worden vervangen. Er zal daarom altijd een zekere afhankelijkheid van de leveranciers van deze software blijven bestaan. Dat neemt ook niet weg dat zoveel mogelijk van open standaarden gebruik wordt gemaakt en waar dat mogelijk is, voor onderdelen van processen van open source software.

Vraag 7

Heeft u inmiddels een gedragscode voor ICT-leveranciers ontwikkeld, waarbij elke leverancier die inschrijft op een aanbesteding deze gedragscode onderschrijft?

Eind 2015 is de nieuwe gedragscode van de brancheorganisatie Nederland ICT aangescherpt en door de leden van Nederland ICT vastgesteld. Deze gedragscode is alleen bindend voor de leden van Nederland ICT. Daarnaast is de nieuwe Gedragscode Integriteit Rijk van kracht, gepubliceerd in de Staatscourant nr.7100 op 12 december 2017. Deze is van toepassing op alle rijksambtenaren en is ook van toepassing op externen die werken voor het Rijk; van hen wordt verwacht dat zij zich aan dezelfde normen en waarden houden als hun ambtelijke collega’s.

Vraag 8

Bent u het eens dat de aanbestedingspraktijk van de overheid met betrekking tot ICT professioneler moet door bijvoorbeeld met resultaatsverplichtingen te werken en in contracten af te spreken dat er binnen een jaar een eerste werkbaar product moet liggen, en te allen tijde de «uurtje-factuurtje»-contracten te vermijden?

Bij het Rijk vindt ICT-inkoop plaats in zogenoemde inkoop uitvoeringscentra (IUC), waar expertise op ICT-inkoop binnen de Rijksdienst is geconcentreerd. Zoals ook in de derde voortgangrapportage in reactie op het eindrapport van de Tijdelijke commissie ICT-projecten (Kamerstuk 26 643, nr. 422) is aangegeven, zijn hierbij vele vormen van prikkels mogelijk en is het toepassen ervan maatwerk. Er wordt soms gecontracteerd op basis van resultaatsverplichting en soms op basis van inspanningsverplichting. De keuze vindt plaats op basis van de aard van de opdracht. Niet elke opdracht leent zich immers voor een resultaatsverplichting. Dat geldt ook voor de suggestie in contracten een verplichting op te nemen binnen een jaar een werkbaar product op te leveren. Ook dit hangt sterk af van de aard van de opdracht. In beginsel wordt de planning van oplevering afgestemd op de aard van de opdracht. Over de aanbestedingspraktijk van de medeoverheden kan ik geen uitspraken doen, dit valt binnen de autonomie van de medeoverheden.

Vraag 9

Bent u het ermee eens dat alles dat door externe ICT-leveranciers wordt geproduceerd, zoals de broncodes, openbaar moet zijn, om zo inzage te geven in de kwaliteit van het werk van ICT-leveranciers? Zo ja, hoe gaat u dit in de praktijk brengen?

Deze vraag zal ik beantwoorden in de beleidsvisie op het vrijgeven van overheidssoftware als open source software die ik aan uw Kamer heb toegezegd. Deze zal voor het zomerreces aan uw Kamer worden aangeboden.

Vraag 10

Deelt u de mening dat het Bureau ICT-toetsing (BIT) van grote waarde is als onafhankelijke autoriteit?

Ja. Zoals uit de aan uw Kamer toegezonden Jaarrapportage 2016–2017 (bijlage bij Kamerstuk 26 643, nr. 526) blijkt, worden de adviezen van het BIT meestal geheel overgenomen.

Vraag 11

Bent u bereid een overzicht te maken van de aanbevelingen van de Commissie-Elias met daarbij een toelichting of, en zo ja hoe, deze aanbevelingen zijn uitgevoerd? Zo ja, kunt u dit overzicht de Kamer doen toekomen? Zo nee, waarom niet?

In een viertal voortgangrapportages (Kamerstuk 26 643, nr. 365 van 10 juli 2015, nr. 389 van 12 februari 2016, nr. 422 van 4 oktober 2016 en als laatste nr. 454 van 24 maart 2017) is de Kamer over de voortgang van alle maatregelen uit de Kabinetsreactie (Kamerstuk 33 326, nr. 13) geïnformeerd. In maart 2017 is in de laatste rapportage gemeld dat alle maatregelen in werking waren gesteld. Het BIT is toen ingesteld, er zijn nieuwe ICT-opleidingen gestart voor het personeel van het Rijk en er zijn meer ICT-trainees in dienst genomen. De formatie van I-Interim Rijk is sterk opgehoogd. De aanpassing van het Integraal Afwegingskader Beleid en Regelgeving leidt ertoe dat expliciet aandacht wordt gevraagd voor de ICT-consequenties van voorgesteld beleid of regelgeving. Met het terugbrengen van het aantal inkooppunten, het inrichten van categoriemanagement en strategisch leveranciersmanagement is de organisatie van de ICT-inkoop versterkt. De ICT-uitgaven van het Rijk worden inzichtelijk gemaakt en het Rijks ICT-dashboard.bevat meer informatie dan voorheen.
Beheersing van ICT-projecten zal voortdurend aandacht blijven vergen. Daarom is de versterking van de I-functie een belangrijk onderdeel van de Strategische I-agenda Rijksdienst (Kamerstuk 26 643, nr. 234), die jaarlijks geactualiseerd wordt.

Vraag 12

Bent u bereid de aanbevelingen uit het rapport-Elias die nog niet zijn overgenomen expliciet ter overweging mee te nemen in de Digitaliseringagenda die u voor de zomer presenteert?

Zie het antwoord op vraag 11. Ik ben niet voornemens deze expliciet in de brede agenda digitale overheid op te nemen. In maart 2017 is aan de Kamer in de laatste rapportage gemeld dat alle maatregelen uit de Kabinetsreactie op de Commissie-Elias in werking zijn gesteld, ondermeer door bestuurlijke maatregelen, zoals de instelling van het BIT, en door verankering in processen, zoals de uitbreiding van het Integraal Afwegingskader voor Beleid en Regelgeving met vragen over ICT (IAK).

Vraag 1

Bent u bekend met het bericht «Cambridge Analytica is modern kolonialisme»?1

Ja.

Vraag 2

Kunt de methode van Cambridge Analytica, Aggregate IQ en het moederbedrijf Strategic Communication Laboratories (Cambridge Analyctica c.s.) uiteenzetten?

Volgens berichtgeving uit o.a. de NRC van 20 maart jl. en een undercover-reportage van de Britse TV-zender Channel 4, heeft Cambridge Analytica door microtargeting op basis van nepnieuws en gedragspsychologie op sentimenten van kiezers ingespeeld en daarbij juridische grenzen heeft overschreden.2 Ik ben niet op de hoogte van de exacte methodes van deze bedrijven, over welke gegevens zij de beschikking hadden, dan wel van welke sociale media platforms die persoonsgegevens afkomstig waren, anders dan dat Cambridge Analytica gegevens van personen wist te achterhalen via een docent die toegang had tot bepaalde gegevens op Facebook via de door hem gecreëerde persoonlijkheidstest genaamd «This is your digital life». Cambridge Analytica zou daarnaast verschillende vragenlijsten hebben gebruikt waarbij moest worden ingelogd met een Facebook-account waardoor via die weg gegevens konden worden verzameld3.
Het betreft gegevens die zouden zijn gebruikt bij o.a. microtargeting om op die wijze verkiezingen in onder andere de VS te beïnvloeden. Welke gegevens dat precies waren is afhankelijk van de privacy instellingen van de getroffen personen destijds.
Het toezicht op de naleving van de Europese en nationale privacywetgeving is in Nederland belegd bij de Autoriteit persoonsgegevens, die in de uitoefening van dit toezicht volstrekt onafhankelijk is. De politieke verantwoordelijkheid voor de bescherming van persoonsgegevens is belegd bij de Minister voor Rechtsbescherming.

Vraag 3

Over welke persoonsgegevens hadden deze bedrijven daarbij de beschikking?

Zie antwoord vraag 2.

Vraag 4

In hoeverre waren die persoonsgegevens afkomstig van sociale media platforms, en Facebook in het bijzonder?

Zie antwoord vraag 2.

Vraag 5

Op welke schaal had Cambridge Analyctica c.s. de beschikking over deze persoonsgegevens?

Zie antwoord vraag 2.

Vraag 6

In hoeverre verschilt de methode van Cambridge Analyctica c.s. van al gebruikelijke vormen van data-analyse en het plaatsen van gerichte advertenties op sociale media platforms als Facebook?

Zie antwoord vraag 2.

Vraag 7

Klopt het bericht van de NOS waarin wordt vermeld dat tot 90.000 Nederlanders mogelijk zijn getroffen door het dataschandaal rond Cambridge Analytica, dat persoonlijke data van Facebookgebruikers verzamelde? Kunt u nauwkeuriger aangeven om hoeveel Nederlanders het gaat?2

Door navraag bij Facebook kan ik u het volgende melden over het maximum aantal mensen dat in Nederland mogelijk getroffen is. Dat zijn 89.373 mensen, bestaande uit 28 mensen die de app hadden geïnstalleerd en 89.345 personen die mogelijk via hen getroffen zijn.

Vraag 8

Welke gevallen zijn bij u bekend waarin Cambridge Analyctica c.s. door middel van politieke «microtargeting», al dan niet via uitbesteding, Nederlanders bij verkiezingen heeft beïnvloed?

Mij zijn geen gevallen bekend waarin Cambridge Analytica door middel van politieke microtargeting Nederlanders bij verkiezingen heeft beïnvloed. Het NOS Journaal berichtte op 19 maart jl. weliswaar dat ook Nederlandse politieke partijen de mogelijkheid gebruiken om gericht te adverteren via Facebook, maar dat is, zoals in antwoord op vragen (Aanhangsel Handelingen, vergaderjaar 2017–2018, nr. 2231) van het lid Koopmans (VVD) is aangegeven op geen enkele wijze te vergelijken met de praktijken van Cambridge Analytica, dat volgens berichtgeving uit o.a. de NRC van 20 maart jl. en een undercover-reportage van de Britse TV-zender Channel 4, door microtargeting op basis van nepnieuws en gedragspsychologie op sentimenten van kiezers heeft ingespeeld en daarbij juridische grenzen heeft overschreden. Microtargeting door politieke partijen in Nederland is door de privacyregelgeving die in Nederland geldt aan striktere regels verbonden. Zo wordt politieke voorkeur als bijzonder persoonsgegeven aangemerkt, dat zonder expliciete toestemming van betrokkene niet mag worden verwerkt. In Nederland lijkt microtargeting door politieke partijen zich dan ook te beperken tot vormen van profiling die selecties van potentiële kiezers opleveren aan wie op internet in banners verkiezingsboodschappen kunnen worden verstrekt. Het gaat hier om een praktijk die niet per definitie in strijd is met de privacywetgeving. Verder is van belang dat de AVG per 25 mei 2018 striktere eisen stelt aan toestemming: de toestemming moet expliciet gevraagd én verkregen worden, en mag niet «verstopt» zitten in bijvoorbeeld de algemene voorwaarden.
Cambridge Analytica heeft daarentegen op grote schaal gebruik gemaakt van gegevens van personen die daarvoor op geen enkele wijze toestemming hadden gegeven. Er zijn bij mij geen bedrijven bekend die dit in Nederland op een gelijksoortige wijze hebben gedaan.

Vraag 9

Zijn er bij u andere bedrijven bekend die een gelijksoortige werkwijze van «microtargeting» in Nederland hanteren? Zo ja, kunt u de gevallen per bedrijf benoemen waarbij die werkwijze door hen is ingezet?

Zie antwoord vraag 8.

Vraag 10

Kunt u naar aanleiding van het citaat van het Kamerlid Baudet uit de Volkskrant van vorig jaar: «Cambridge Analytica werkte niet voor ons, maar we hebben wel hun methode gebruikt» aangeven of deze methode inderdaad door hen is gebruikt en zo ja, hoe?3

Nee, ik heb geen inzicht in de methoden die zijn gebruikt door het Forum voor Democratie om microtargeting toe te passen.

Vraag 11

Zijn er concrete resultaten bekend van campagnes die door Cambridge Analyctica c.s. zijn beïnvloed?

Nee, dergelijke gevallen of resultaten zijn mij niet bekend. Zoals ik eerder aangaf lijkt microtargeting door politieke partijen in Nederland zich te beperken tot vormen van profiling die selecties van potentiële kiezers opleveren aan wie op internet in banners verkiezingsboodschappen kunnen worden verstrekt. Het gaat hier om een praktijk die niet per definitie in strijd is met de privacywetgeving. Waar die strijd er wel is, is het aan de Autoriteit Persoonsgegevens om daartegen op te treden.
Voor wat betreft de kwestie Cambridge Analytica staat de Autoriteit in nauw contact met de privacytoezichthouder in het Verenigd Koninkrijk, de Information Commissioner’s Office (ICO), die heeft aangekondigd onderzoek te doen naar de kwestie.
Digitalisering in algemene zin speelt in toenemende mate een rol bij het functioneren van de democratie en dit onderwerp heeft dan ook mijn bijzondere belangstelling. Om die reden heb ik de Raad voor het Openbaar Bestuur gevraagd advies uit te brengen over zowel de kansen als de bedreigingen van digitalisering voor de Nederlandse democratie en het wenselijke handelingsperspectief van het openbaar bestuur dat hieruit volgt. Het advies verschijnt begin 2019 en zal ik uiteraard aan uw Kamer aanbieden.

Vraag 12

Indien bij u geen resultaten of gevallen in Nederland bekend zijn, bent u dan bereid te onderzoeken of de methode in Nederland wordt gebruikt en welke risico’s dit vormt voor de democratie en het vertrouwen daarin in Nederland?

Zie antwoord vraag 11.

Vraag 13

Als er bij u wel gevallen of resultaten bekend zijn, geven die aanleiding om maatregelen te nemen om de democratie en het vertrouwen daarin in Nederland te versterken? Zo ja, welke?

Zie antwoord vraag 11.

Vraag 1

Kent u het bericht «KPN: Nederland mag 5G-slag niet missen».1

Ja.

Vraag 2

Kunt u de meest recente informatie geven over de ontwikkelingen die gaande zijn om te faciliteren dat Nederland klaar kan worden gemaakt voor de uitrol van 5G? Kunt u hierbij ingaan op de Nederlandse situatie van de frequentieband van 3,5 gigahertz (GHz) in relatie tot 5G en de vraag of de frequentieband van 700 megahertz wel of geen goed alternatief zou zijn?

Voor de uitrol van 5G in Nederland is beschikbaarstelling van diverse frequenties van belang.
Zo wordt voor de 700MHz-, 3,5 GHz- en de 26 GHz-banden 5G technologie ontwikkeld. Ik werk reeds aan het landelijk beschikbaar stellen van de 700 MHz-band per 2020. Tevens bereid ik het beschikbaar stellen van de 26 GHz-band voor om na EU-besluitvorming over die band – naar verwachting later dit jaar – de inzet van 5G met die frequenties mogelijk te maken in heel Nederland.
Daarnaast en daaropvolgend zal 5G naar verwachting ook worden uitgerold in de frequentiebanden waar op dit moment 2G, 3G, en 4G mee worden aangeboden (800 MHz, 900 MHz, 1800 MHz, 2100 MHz en 2600 MHz).
5G betreft vooral een verbreding van het dienstenaanbod dat verder gaat dan alleen maar snel mobiel internet. Een belangrijke drijfveer achter 5G is een gedifferentieerd dienstenaanbod dat aansluit op de economische en maatschappelijke behoefte. Die verbreding van het dienstenaanbod ondersteun ik onder andere door het faciliteren van experimenten. Daarnaast kan een dergelijke dienstverlening ook op andere frequentiebanden worden aangeboden die in het bezit zijn van de mobiele operators.

Vraag 3

Klopt het dat andere Europese landen verder zijn op het gebied van voorbereidingen van 5G in vergelijking met Nederland? Zo ja, heeft dit alleen met de complexe situatie van Nederland op het gebied van de 3,5 GHz-band te maken of ook met andere zaken?

In verschillende Europese lidstaten zijn inderdaad al vergunningen voor de 3,5 GHz-band verleend of is men bezig om de verdeling van frequenties in de 3,5 GHz-band voor te bereiden. De hoeveelheid frequenties die wordt uitgegeven, en de termijn waarop, verschilt overigens aanzienlijk tussen lidstaten. Het meest vergevorderd is naar mijn weten Ierland waar inmiddels 350 MHz beschikbaar is gesteld in de vorm van regionale vergunningen3. Een ander voorbeeld is Duitsland waar wordt gewerkt aan het (vrijwel) landelijk beschikbaar stellen van 300 MHz. Het merendeel van die frequenties komt beschikbaar in 2021, 2022 of 2023 omdat er nog lopende vergunningen zijn. Lopende vergunningen zijn overigens net als voor Nederland een uitdaging in veel lidstaten omdat op grond van een EU-besluit uit 2008 (2008/411/EG) de frequenties reeds eerder zijn uitgegeven. Als gevolg daarvan worden in verschillende lidstaten de frequenties reeds verdeeld maar kunnen deze niet direct na vergunningverlening in gebruik worden genomen.

Vraag 4

Wat zijn de resultaten van de eerste proeven met 5G zoals die op het Leidseplein?

Experimenten voor 5G richten zich vooral op de ontwikkeling van nieuwe type dienstverlening. Dergelijke experimenten zijn niet afhankelijk van de inzet van één frequentieband. Er zijn ook mogelijkheden om in andere frequentiebanden experimenten in te zetten. De proef van T-Mobile met een 5G-antenne op het Leidseplein in Amsterdam is hier een goed voorbeeld van. Deze 5G-antenne maakt gebruik van de 2600 MHz-band. In september 2017 heeft T-Mobile een Massive MIMO-antenne in deze frequentieband voor haar klanten geactiveerd. Deze antenne wordt gebruikt om veel gebruikers tegelijkertijd van een snelle dataverbinding te voorzien (voor bijvoorbeeld videostreaming en skypen).

Vraag 5

Kunt u aangeven of het reëel is dat de Amsterdam Arena bij het Europees kampioenschap van 2020 het eerste 5G-stadion van Europa wordt?

Dat is lastig nu al te zeggen. Ik probeer daar in ieder geval aan bij te dragen door er voor te zorgen dat er daadwerkelijk geëxperimenteerd kan worden met 5G-technologie in de 3,5 GHz-band in het gebied rond de Amsterdam Arena.

Vraag 1

Kent u het bericht «Spionnenjacht Burum blokt 5G»?1

Ja.

Vraag 2

Is het waar dat als het aan de inlichtingendiensten ligt er boven de lijn Zandvoort – Coevorden «hoogstens een sterk afgezwakte versie van 5G» wordt toegestaan en dat dat dan alleen mogelijk zou zijn met «een kostbaar woud aan antennes»? Zo ja, wat is de aard van de bezwaren van de inlichtingendiensten? Zo nee, wat is er dan niet waar?

Op dit moment geldt tot 2023 een beperking van de uitrol van 5G-netwerken boven de lijn Amsterdam – Zwolle ter voorkoming van storing op de interceptie van satellietcommunicatie. Dit is vastgelegd in het Nationaal Frequentie Plan uit 2011.
Zowel de ministers van Defensie en van Binnenlandse Zaken en Koninkrijkrelaties als de Staatssecretaris van Economische Zaken en Klimaat zetten zich in om op basis van technisch onderzoek tot oplossingsmogelijkheden te komen voor de beschikbaarstelling van de 3,5 GHz-band. Een belangrijk element daarin is het gebruik van de 3,5 GHz-band door de inlichtingdiensten voor het vergaren van inlichtingen in het kader van de nationale veiligheid. Dit betekent ook dat het om complexe besluitvorming gaat, die niet uit de weg wordt gegaan, maar wel zorgvuldig moet gebeuren. Uw Kamer zal naar verwachting medio dit jaar over de mogelijke oplossingsrichtingen worden geïnformeerd.

Vraag 3

Deelt u de mening dat de 5G van groot belang is voor de verdere ontwikkeling van moderne toepassingen van informatie- en communicatietechnologie (ICT) en dat het noorden van het land daarbij zeker niet achter mag blijven? Zo ja, waarom en hoe gaat u voorkomen dat 5G in het noorden slechts op een dure en gebrekkige manier kan worden uitgerold? Zo nee, waarom deelt u die mening niet?

Ja, zoals ik in antwoord op eerdere vragen van het lid Van der Lee al heb aangegeven speelt snelle uitrol van 5G een belangrijke rol om een bijdrage te leveren aan het mogelijk maken van nieuwe diensten en dienstverleningsconcepten die tegemoet komen aan economische en maatschappelijke uitdagingen. Samen met andere technologieën, zoals LoRaWAN en ITS-5G wordt zo de communicatie-infrastructuur ontwikkeld voor innovatie in allerlei sectoren.2 Met 5G wordt nagestreefd dat mobiele netwerken straks ook diensten kunnen leveren waar op dit moment nog eigenstandige netwerken voor bestaan, zoals portofoonnetwerken die onder meer worden gebruikt in de evenementen-, beveiligings- en mediasector. Verder moet 5G diensten en dienstverleningsconcepten mogelijk maken die op dit moment in ontwikkeling zijn, zoals inspecties op afstand, monitoring door middel van grote hoeveelheden sensoren, en zelfrijdende auto’s. Afhankelijk van de precieze toepassing kan dit ook een bijdrage leveren aan CO2-reductie. Later dit jaar kom ik met een Actieplan Digitale Connectiviteit, zoals aangekondigd in de brief «Digitale connectiviteit» die op 12 februari jl. aan uw Kamer is gestuurd. Daarin zal ik acties aankondigen ten behoeve van de juiste randvoorwaarden voor verdere uitrol van vaste en mobiele netwerken in Nederland, waaronder dus ook 5G.

Vraag 4

Sinds wanneer is het bekend dat het gebruik van frequenties door de Nationale Sigint Organisatie (NSO) de uitrol van 5G in het noorden van het land kan belemmeren? Wat heeft u sinds die tijd gedaan om hier uit te komen?

In 2011 is ter bescherming van de satellietinterceptie in Burum in het Nationaal Frequentie Plan vastgelegd dat in de 3,5 GHz-band boven de lijn Amsterdam – Zwolle draadloze of mobiele communicatie niet is toegestaan. In Nederland wordt onder de lijn Amsterdam – Zwolle de 3,5 GHz-band gebruikt voor draadloze of mobiele communicatie. Inmiddels zijn zo’n 130 vergunningen daarvoor verleend. Vanaf 2011 heeft uitvoerig onderzoek plaatsgevonden naar de haalbaarheid van het plaatsen van een scherm rond het satellietgrondstation in Burum waarmee storing kan worden afgeschermd. Uit dit onderzoek is echter gebleken dat een scherm niet haalbaar en effectief is. Om deze reden worden nu andere oplossingsmogelijkheden onderzocht.

Vraag 5

Welke technische mogelijkheden worden overwogen om 5G uit te rollen zonder dat de werkzaamheden van de inlichtingendiensten daardoor worden gestoord? Is verplaatsing van de grondstations van NSO naar bijvoorbeeld niet meer gebruikte boorplatforms daarbij een optie?

Zie hiervoor het antwoord op vraag 2.

Vraag 6

Deelt u de mening dat indien de uitrol van 5G vanwege de activiteiten van de inlichtingendiensten duurder wordt, dat de rekening daarvan niet bij de burger neergelegd mag worden? Zo ja, waarom? Zo nee, waarom niet?

Op dit moment is het te vroeg om daar een uitspraak over te kunnen doen. De ministeries van BZK, Defensie en EZK zijn gezamenlijk op zoek naar oplossingsmogelijkheden voor het gebruik in Burum. Rond de zomer zal daar meer duidelijkheid over zijn. Dan kan ook inzichtelijk worden gemaakt wat het effect is van een oplossing voor Burum op toekomstige uitrol van 5G in Nederland.

Vraag 1

Is er economische schade opgetreden als gevolg van het onbereikbaar zijn van internetbankieren door de DDoS-aanvallen op banken? Zo ja, hoe groot is de totale schade?1

Als gevolg van de DDoS-aanvallen (distributed denial-of-service) had een aantal Nederlandse banken gedurende enkele dagen last van tijdelijke verstoringen in of beschikbaarheid van hun dienstverlening (internetbankieren, mobiele bankapps en iDEAL-betalingen). Door de aanvallen raakten de webservers van enkele banken tijdelijk overbelast waardoor hun websites trager werden, of moeilijk of niet bereikbaar waren, wat met name tot ongemak voor klanten heeft geleid. In hoeverre er economische schade is opgetreden als gevolg van onbeschikbare internetdiensten, laat zich lastig bepalen. Het gegeven dat klanten die op het moment van de DDoS-aanvallen een betaling via internet- of mobielbankieren mogelijk niet konden uitvoeren, is daarbij op zichzelf niet voldoende. Zij konden hun betaling namelijk later alsnog doen. In geval van een verstoring in iDEAL konden zij voor hun betaling uitwijken naar een andere betaalmethode, waaronder betalen met creditcard of Paypal. Deze mogelijkheden om op een andere manier of op een ander moment alsnog te kunnen betalen, geven mij het vertrouwen dat de economische schade beperkt is.

Vraag 2

Klopt het dat gemiddeld genomen zo’n tien à elf miljoen betalingen per dag worden verricht? Hebben de DDoS-aanvallen invloed gehad op het aantal betalingen? Zo ja, in hoeverre is het aantal betalingen beïnvloed door de DDoS-aanvallen?

Gemiddeld genomen worden er dagelijks zo’n 9,5 miljoen betalingen via internet-bankieren en mobiele bankapps verricht, waaronder ongeveer 1 miljoen iDEAL-betalingen.2 De recente DDoS-aanvallen en de daaruit voortvloeiende tijdelijke beschikbaarheidsproblemen van de getroffen banken hebben volgens de Betaalvereniging geen zichtbare invloed gehad op het aantal via deze kanalen verrichte betalingen.

Vraag 3

Welke wettelijke vereisten worden gesteld aan banken om het betalingsverkeer te beveiligen tegen DDoS-aanvallen? Bent u van mening dat banken deze wettelijke vereisten in voldoende mate naleven? Kunt u uw antwoord toelichten?

DNB heeft normen gesteld voor de veiligheid en beschikbaarheid van het betalingsverkeer in Nederland, die in de Regeling Oversight goede werking betalingsverkeer zijn vastgelegd. Daarin zijn onder meer beschikbaarheidsnormen opgenomen en is bepaald dat een instelling haar systemen zo heeft ingericht dat deze een hoog niveau van beschikbaarheid en veiligheid waarborgen. Op basis van deze regeling houdt DNB toezicht op het retailbetalingsverkeer, en DNB beoordeelt of banken de normen in voldoende mate naleven. Alle instelling waarop de regeling van toepassing is, hebben maatregelen genomen om zich tegen DDoS-aanvallen te beveiligen. De modus operandi van DDoS-aanvallen wijzigt echter, en het kost tijd om mitigerende maatregelen aan te passen en om de beveiliging tegen nieuwe soorten DDoS-aanvallen in te regelen. DNB heeft hier aandacht voor in het kader van het toezicht dat zij op basis van de regeling houdt. Wanneer instellingen structureel niet aan de regeling voldoen, acteert DNB hierop.

Vraag 4

Zijn de DDoS-aanvallen van de laatste week geavanceerder dan eerdere DDOS-aanvallen op banken? Kunt u uitleggen in welk opzicht deze aanvallen geavanceerder zijn?

De DDoS-aanvallen van eind januari jl. waren omvangrijker en geavanceerder dan eerdere aanvallen op banken. De modus operandi die de aanvaller(s) toepaste, was anders dan voorheen. De DDoS-aanvallen waren niet alleen gericht op de zogeheten mijnbank- en iDEAL-omgevingen van de bank in kwestie, maar ook op de netwerkproviders en alle publieke IP-adressen van de bank. De aanvaller hield daarbij rekening met wat er met het aanvalsdataverkeer werd gedaan. Op basis van de reactie van de banken koos de aanvaller een andere methode, of werd de aanval in bandbreedte verzwaard.

Vraag 5

Waaruit blijkt dat Nederlandse banken er om bekend staan hun cyberveiligheid goed op orde te hebben?2

DDoS-aanvallen komen wereldwijd vaak voor en de modus operandi van de aanvallers wijzigt voortdurend. Daardoor hebben instellingen, waaronder banken, dagelijks met dergelijke veranderlijke aanvallen te maken en dit maakt volledige onaantastbaarheid voor DDoS-aanvallen onmogelijk. De meeste aanvallen worden evenwel succesvol door de afweersystemen van banken afgeslagen voordat ze leiden tot overlast door tijdelijke uitval of onbeschikbaarheid van dienstverlening. Eind januari bleek dat banken bovendien in staat zijn om ook op nieuwe geslaagde aanvallen direct te reageren en ze af te slaan, onder meer door het nemen van maatregelen rond het versterken van hun IT-afweersystemen. In het bestrijden van cybercriminaliteit werken banken onderling nauw samen6, alsook met bedrijven gespecialiseerd in cybersecurity en met verschillende autoriteiten, waaronder DNB, de NCTV en het NCSC. De NCTV gaf daags na de aanvallen aan dat de situatie goed en professioneel door de (financiële instellingen) is opgepakt.7
Uit cijfers die de Betaalvereniging Nederland jaarlijks publiceert, blijkt dat de beschikbaarheid van het internet- en mobielbankieren voor de meeste banken hoog is: over 2017 >99,75% voor internetbankieren en >99,73% voor mobiel bankieren.8 Daarnaast is de fraude in het betalingsverkeer de afgelopen jaren structureel gedaald. Verschillende maatregelen op het gebied van preventie, voorlichting van consumenten en samenwerking tussen partijen, hebben aan die daling bijgedragen. Waar de totale schade als gevolg van fraude in het betalings-verkeer in 2012 nog bijna 82 miljoen euro betrof, was dit bedrag in 2016 gedaald naar iets meer dan 10 miljoen euro.9
Ik heb geen signalen ontvangen dat de website van ABN AMRO vaker is getroffen dan andere banken. De beschikbaarheids- en fraudecijfers, alsook de directe reactie van de banken op DDoS-aanvallen en de uitspraken van de NCTV, geven mij het vertrouwen dat de banken voortdurend werken aan hun cyberveiligheid om de beschikbaarheid van het betalingsverkeer goed op orde te houden.

Vraag 6

Wat is uw reactie op de bewering dat banken laks zijn en dat ons land alles in huis heeft om onaantastbaar te blijven voor DDoS-aanvallen?3

Zie antwoord vraag 5.

Vraag 7

Hebt u, net als techneut Erik Bais, twijfels over de strategie van ABN AMRO ten aanzien van het afslaan van deze aanvallen?

Zie antwoord vraag 5.

Vraag 8

Kunt u uitleggen waardoor ABN AMRO vaker is getroffen dan andere banken?4

Zie antwoord vraag 5.

Vraag 9

Zijn DDoS-aanvallen in deze orde van grootte ook op buitenlandse banken voorgekomen? Zo ja, wanneer?

Mij zijn geen signalen bekend dat de recente DDoS-aanvallen ook waren gericht op buitenlandse banken. Dat laat onverlet dat ook buitenlandse banken met dergelijke aanvallen te maken hebben. DDoS-aanvallen komen wereldwijd vaak voor.

Vraag 10

Welke lessen kunnen worden getrokken uit de recente DDoS-aanvallen op banken? Hoe ziet u er op toe dat deze lessen ook leiden tot concrete actie van zowel de overheid als van de banken?

De veranderlijkheid van de DDoS-aanvallen noopt ertoe dat banken voortdurend werken aan hun cyberveiligheid en de beschikbaarheid van het betalingsverkeer, opdat deze goed op orde blijft. Hiervoor is nauwe samenwerking van belang, tussen banken onderling maar ook van banken met bedrijven gespecialiseerd in cybersecurity en met verschillende autoriteiten. Die publiek-private samenwerking vindt al plaats. De in 2013 aangestelde bankenliaison fungeert daarbij als permanente verbindingsofficier tussen de banken en overheidsinstanties, en draagt eraan bij dat snel informatie over de cyberveiligheid tussen die partijen kan worden uitgewisseld. Ik span mij ervoor in om de kwaliteit en intensiteit van deze samenwerking op peil te houden, opdat ook op toekomstige DDoS-aanvallen adequaat kan worden gereageerd.

Vraag 11

Bent u bezig met het creëren van een back-upmogelijkheid voor directe digitale betalingen, bijvoorbeeld decentraal, voor het geval er op grote schaal aanvallen blijven plaatsvinden?

Gelet op de zeer hoge beschikbaarheid van het Nederlandse betalingsverkeer en de beperkte invloed daarop van de recente DDoS-aanvallen vertrouw ik erop dat banken ook in de toekomst in staat zullen zijn om een goede beschikbaarheid van hun digitale betaaldienstverlening zullen waarborgen. Hierbij acht ik het inrichten van een back-upmogelijkheid voor directe digitale betalingen niet proportioneel.

Vraag 1

Kent u het bericht «Online burgerinspraak kan leiden tot teleurstelling in politici»1 en het rapport van het Rathenau instituut «Online meebeslissen»?2

Ja.

Vraag 2

Op welke wijze wordt digitale inspraak in Nederland nu vormgegeven?

Vraag 3

Worden op het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties mogelijkheden onderzocht hoe de digitale technologie ingezet kan worden voor meer inspraak? Zo nee, waarom niet? Zo ja, hoe wordt dat gedaan en welke mogelijkheden worden bekeken? Wordt hierbij ook gekeken naar lokale en/of regionale initiatieven die als voorbeeld kunnen dienen?

Begin 2017 verscheen in opdracht van BZK het rapport «Digitale empowerment van de demos». Hierin inventariseerde de Universiteit Tilburg verschillende e-democratie praktijken uit binnen- en buitenland. Inzichten uit dit rapport hebben o.a. geresulteerd in de ontwikkeling van een zgn. «proeftuin digitale democratie». In de beantwoording van vraag 7 ga ik hier nader op in.
Ook is er met steun van BZK een website (www.e-dem.nl) en een handreiking verschenen voor het gebruik van verschillende open source participatietools. Deze tools komen (gedeeltelijk) voort uit het EU programma D-CENT (Decentralised Citizens Engagement Technologies). Voor de totstandkoming van de handreiking zijn verschillende lokale en regionale initiatieven geraadpleegd.

Vraag 4

In hoeverre is de ontwikkeling van digitale inspraak – bijvoorbeeld in het wetgevingsproces – onderdeel van de Wet digitale overheid? Zo nee, is dit dan ergens anders belegd?

Digitale inspraak wordt niet geregeld in de Wet digitale overheid. Het voorstel voor de Wet digitale overheid bevat regulering van de digitale overheid op het gebied van standaarden, informatieveiligheid en de generieke infrastructuur, waaronder de inrichting van stelsels voor elektronische identiteiten (eID) voor burgers en bedrijven. Om de continuïteit van (semi)publieke dienstverlening aan burgers te borgen wordt in het wetsvoorstel de mogelijkheid opgenomen om op basis van nader door de Minister van BZK vast te stellen eisen een of meer private inlogmiddelen voor burgers toe te laten, als alternatief naast DigiD. De wet verplicht dienstverleners om voor hun elektronische diensten een passend betrouwbaarheidsniveau te bepalen en daarvoor de door de Minister van BZK aangewezen generieke inlogmiddelen te accepteren. Het zou immers voor burgers en bedrijven onaanvaardbaar zijn, alsmede voor de overheid inefficiënt zijn, om bij elke dienstverlener of elke sector een andere inlogmethode te moeten hanteren. Digitale inspraak in het beleid- en wetgevingsproces is op dit moment vormgegeven via internetconsultatie. Het is bestaande praktijk dat deze stap in het beleids- en wetgevingsproces plaatsvindt voorafgaand aan de ministerraadbehandeling van wet- en regelgeving en steeds meer ook bij beleidsvoorstellen. De basis hiervoor is niet gelegen in de Wet digitale overheid of andere regelgeving; het betreft geïnstitutionaliseerd beleid.

Vraag 5

Bent u bekend met de in het rapport geschetste problemen bij het digitale inspraakproces? Zo ja, hoe probeert u die bij de digitale inspraak op nationaal of regionaal niveau in Nederland te voorkomen?

De twee problemen die in het rapport worden gesignaleerd worden herkend. Voor het probleem van de beperkte impact van digitale inspraakinitiatieven op de politieke besluitvorming geldt dat in deze besluitvorming verschillende elementen een rol spelen waarvan inspraak er een is. Het probleem dat de groep deelnemers niet representatief is, is niet bij elke vorm van digitale inspraak aan de orde. Zo is de consultatie via de website www.internetconsultatie.nl niet gericht op het verkrijgen van representatief commentaar, maar op het ontvangen van suggesties en ideeën die helpen om de kwaliteit van de voorstellen te verbeteren.
Binnen de proeftuin digitale democratie krijgen de deelnemende (lokale en regionale) overheden ondersteuning op verschillende uitdagingen die het Rathenau Instituut constateert bij het digitale inspraakproces.

Vraag 6

Deelt u de conclusie van de onderzoekers dat de bekendheid van internetconsultatie.nl – de internetconsultatiewebsite voor nieuwe wetgeving – te laag is? Zo nee, waarom niet? Zo ja, wat wordt er aangedaan om deze bekendheid te vergroten?

De conclusie over de bekendheid van de internetconsultatiewebsite wordt gedeeld. In de kabinetsbrief over transparantie van het wetgevingsproces (Kamerstuk 33 009, nr. 39) is aangegeven dat de evaluatie uit 2016 al liet zien dat de bekendheid van de site beperkt is. Zoals toegezegd in de kabinetsbrief is het kabinet bezig om de bekendheid met en het bereik van de site te verbeteren door het inzetten van meer en op doelgroepen gerichte communicatie over nieuwe internetconsultaties.

Vraag 7

Welke initiatieven neemt u dit jaar voor het bevorderen van digitale inspraak ter bevordering van de democratische participatie?

Voor wat betreft digitale participatie op het landelijke niveau worden aanvullende maatregelen m.n. bezien in samenhang met het verschijnen van het rapport van de Staatscommissie Parlementair Stelsel. Deze commissie is mede door uw Kamer ingesteld en zal zich o.m. buigen over de kansen en risico’s van de voortschrijdende digitalisering voor de democratie.
Voor wat betreft het regionale en lokale niveau start in april aldus een proeftuin digitale democratie. In deze tweejarige proeftuin ondersteunt BZK – enkele – gemeenten bij de inzet van open source digitale participatietools. Deze tools komen (gedeeltelijk) voort uit het EU programma D-CENT (Decentralised Citizens Engagement Technologies). Gemeenten gaan daarbij, onder begeleiding van experts, met nieuwe inzichten en (digitale) hulpmiddelen aan de slag. Deelnemers trekken hierin gezamenlijk op om zo veel mogelijk van elkaar te leren. Het doel is het stimuleren van meer directe burgerbetrokkenheid in lokale beleidsontwikkeling. Ook zal gedurende de proeftuin bezien worden of er – indien gewenst – ook nog overige decentrale overheden kunnen instromen.

Vraag 1

Bent u bekend met het bericht «E-healthweek 2018: «Opschaling is altijd gedoe»»?1

Ja.

Vraag 2

In hoeverre vormt opschaling een probleem bij de invoering van e-health innovaties in de zorg? Begrijpt u de zorgen die naar voren komen in het bericht? Hoe kunt u bijdragen aan een betere en snellere invoering van e-health innovaties, zoals blockchain, in de zorg?

De E-healthweek, met meer dan 250 bijeenkomsten en evenementen, heeft nadrukkelijk geïllustreerd dat overal in het land prachtige initiatieven worden ontplooid op het gebied van e-health en digitaal ondersteunde zorg. Daarbij zien we meer en meer dat het niet blijft bij pilots en experimenten, maar dat reële toepassingen in de praktijk van alledag hun weg vinden. Tegelijkertijd vormt verdere opschaling van dergelijke toepassingen naar meerdere locaties, regionaal of op landelijk niveau, vaak een aanzienlijke uitdaging. De kern van de uitdaging is dat het bij toepassing van innovaties, ook als er digitale techniek aan te pas komt, vaak gaat om (complexe) organisatorische veranderingsprocessen. Daarbij worden nieuwe samenwerkingsrelaties tussen professionals vormgegeven en kunnen patiënten vanuit een steeds gelijkwaardigere positie meesturen in hun behandelproces. Om daarin succesvol te zijn is een constructief samenspel nodig tussen innoverende bedrijven, patiënten, zorgaanbieders, verzekeraars, gemeenten en kennis- en onderwijsinstellingen. Wij dragen op verschillende manieren bij aan dit samenspel. In de eerste plaats bevorderen wij, met het zorgbrede Informatieberaad, het ontstaan van een «vruchtbare grond», een infrastructuur van standaarden en afspraken voor gegevensontsluiting en -uitwisseling, die onder andere gestalte krijgt in programma’s als VIPP en MedMij. Daarnaast stimuleren wij op tal van manieren het innovatieklimaat in de zorg. De E-healthweek is daar een voorbeeld van. Door de inzet van versnellingsmakelaars bevorderen we regionale en bovenregionale samenwerking. Via de Seed-capital regeling, waarin recent 12 miljoen Euro beschikbaar is gekomen, wordt geïnvesteerd in de opschaling van veelbelovende initiatieven. Met de Health Innovation School leiden we zorgmanagers op om implementatietrajecten succesvol vorm te geven en uit te voeren. En met zorgvoorinnoveren.nl bieden wij een kennisbank en een adviesloket voor innovatievraagstukken.
Binnenkort ontvangt u een vollediger overzicht met de voortgangsrapportage e-health en zorgvernieuwing, waarin wij ook een aantal nieuwe impulsen aan de verbetering van het innovatieklimaat voor e-health en digitale ondersteuning bekend zullen maken.

Vraag 3

Deelt u de mening dat blockchaintechnologie in de zorg een grote bijdrage kan leveren voor de patiënten maar ook voor het verlagen van administratieve druk en lasten bijvoorbeeld door defragmentatie en stroomlijning van (financiële) logistiek?

De blockchain technologie staat nog in de kinderschoenen. Met het project blockchain in de zorg verkent Zorginstituut Nederland wat blockchaintechnologie kan betekenen voor de gegevensuitwisseling in de zorg. Bij de verkenning is uitgegaan van een centrale positie van de burger waarmee deze controle krijgt over de eigen zorggegevens. Blockchain heeft de potentie om samenwerking, gegevensuitwisseling en wederzijds vertrouwen anders te organiseren. Dit kan onder andere leiden tot een vermindering van de administratieve lasten. Hiervoor moet er eerst inzicht worden geworven in de mogelijkheden en consequenties voor de gebruikte processen, wet- en regelgeving en technieken in de zorg. Voor deze onderzoeksdoeleinden is de blockchaintoepassing Mijn Zorg Log ontwikkeld.

Vraag 4

Kunt u uitleggen welke knelpunten er zijn voor de succesvolle invoering van blockchaintechnologie in de zorg? Hoe kunt u deze knelpunten, naast de knelpunten die naar voren komen in het rapport «Blockchain in de zorg» van Nictiz2 zoals de verschillende manieren van informatie en verouderde technologie, wegnemen?

Nictiz stelt in hun rapport «Blockchain in de zorg» dat de implementatie van blockchain in de zorg geen sinecure is. Een beheerste invoering is van belang, omdat het gaat om burgers en hun gezondheid en de mogelijkheden van zorgaanbieders om burgers daarbij te ondersteunen. De gegevensuitwisseling in de zorg is complex en vindt plaats in en vanuit de verschillende zorgdomeinen, maar ook over zorgdomeinen heen.
Voordat sprake kan zijn van implementatie of het oplossen van knelpunten is het zinvol eerst een nader beeld te krijgen van de (on)mogelijkheden van blockchain. Zoals aangegeven bij 3 onderzoekt Zorginstituut Nederland wat blockchain kan betekenen voor de gegevensuitwisseling in de zorg.

Vraag 5

Wat is de laatste stand van zaken omtrent het veelbelovende prototype blockchain «Mijn Zorg Log»? Is dit prototype ook geschikt voor een effectievere en efficiëntere uitvoering van het persoonsgebonden budget? Hoe gaat u er zorg voor dragen dat de opschaling van dit prototype voortvarend verloopt en leidt tot een afname van administratieve druk en lasten in plaats van toename?

In 2017 is Mijn Zorg Log juridisch gecertificeerd door advocatenkantoor Pels Rijcken, technisch getoetst door de TU Delft en bekroond met de Computable award voor beste ICT-project van het jaar in de zorg. Op dit moment lopen de voorbereidingen voor de kleinschalige praktijkproef Blockchain Kraamzorg met Mijn Zorg Log waarbij onderzocht wordt wat het gebruik van blockchaintechnologie in de praktijk betekent voor de administratieve processen in de kraamzorg, cliënten, kraamverzorgenden, kraamzorgorganisatie en zorgverzekeraars. Om Mijn Zorg Log breder in te zetten, waaronder voor PGB, is nader onderzoek nodig.
Op dit moment zijn er verschillende blockchain initiatieven vanuit verschillende organisaties in de zorg. Om de voordelen van blockchain in de zorg te benutten, is het van belang om de initiatieven te bundelen. Zoals aangegeven bij vraag 3 is één van de voordelen de vermindering van de administratieve lasten. Deze bundeling past in de agenda van het Informatieberaad, waarin organisaties in de zorg samenwerken aan een duurzaam informatiestelsel voor de zorg. Het is opgericht om hiervoor afspraken, standaarden en voorzieningen te maken zodat zorggegevens veilig en betrouwbaar kunnen worden gedeeld. Twee van de uitgangspunten zijn de patiënt regie over eigen gezondheid geven en de zorgprofessional voorzien van betere informatie.
Het onderzoeken van de mogelijkheden van blockchain passen in het streven om ervoor te zorgen dat de burger de beste zorg kan krijgen die er is en dat hij kan beschikken over de informatie die daarvoor nodig is.

Vraag 1

Bent u bekend met het definitief BIT-advies project Wet tegemoetkomingen loondomein van 16 november 2017 dat de aanbeveling bevat om het Loonkostenvoordeel (LKV) niet op 1 januari 2018 in te laten gaan maar een jaar uit te stellen? 1

Ja.

Vraag 2

Ben u op de hoogte van het «Instellingsbesluit tijdelijk Bureau ICT-toetsing», waarvan artikel 4, lid 4 stelt dat een definitief advies van het BIT, desgewenst met reactie, binnen vier weken dient te worden verzonden aan de Tweede Kamer der Staten-Generaal?

Ja.

Vraag 3

Waarom heeft u het advies niet voor 14 december 2017 aan de Kamer gestuurd en dus voor de ingang van de LKV op 1 januari 2018 definitief werd?

Ik betreur het dat ik uw Kamer niet binnen de reactietermijn van vier weken heb kunnen informeren. Juist omdat ik afwijk van het advies, vind ik zorgvuldigheid van groter belang dan snelheid. Om een zorgvuldige afweging te kunnen maken en tot een gefundeerd oordeel te komen, heb ik de uitkomst van de ketentesten daarbij willen betrekken. De ketentesten zijn op 5 januari jl. met succes afgerond. Vervolgens zijn de stukken, conform artikel 4, vijfde lid van het «Instellingsbesluit tijdelijk Bureau ICT-toetsing» aangeboden aan de eerstvolgende ministerraad na het Kerstreces op 12 januari jl.

Vraag 4

Realiseert u zich dat het hier om een groot project gaat, waarbij de overheid jaarlijks meer dan 900 miljoen euro subsidie gaat betalen voor het in dienst nemen/houden van werknemers?

Het gaat hier inderdaad om een groot project. Er wordt circa 900 miljoen euro besteed aan drie arbeidsmarktinstrumenten, namelijk het lage-inkomensvoordeel (LIV), jeugd-LIV en de loonkostenvoordelen (LKV). Het LIV is bedoeld om de werkgelegenheid aan de onderkant van de arbeidsmarkt te stimuleren. Het jeugd-LIV betreft een werkgeverscompensatie voor de toegenomen loonkosten vanwege het verhogen van het minimumjeugdloon. De loonkostenvoordelen zijn bedoeld om het arbeidsmarktperspectief van mensen met een kwetsbare positie op de arbeidsmarkt, zoals oudere werknemers en arbeidsgehandicapten, te verbeteren. Bovendien wordt met de nieuwe systematiek de handhaving verbeterd en de verzilveringsproblematiek opgelost, zodat ook kleine werkgevers optimaal kunnen profiteren van de tegemoetkomingen.
Aangezien de Wtl een groot project is, worden de uitvoeringskosten stapsgewijs door UWV geraamd. Het is namelijk niet realistisch bij grote ICT-projecten op voorhand een precieze kostenraming te maken. Zeker niet gezien de stapeling van wetgeving die bij de Wtl heeft plaatsgevonden. De jeugd-LIV is bijvoorbeeld tijdens het traject toegevoegd. Op dit moment wordt gewerkt aan het consolideren van de gezamenlijke projectkosten. Deze zullen binnenkort worden gepubliceerd via het daarvoor bestemde Rijks ICT-dashboard (www.rijksictdashboard.nl). De kosten die de 380 gemeenten maken om de Wtl te implementeren zijn niet bekend.

Vraag 5

Kunt u voor de jaren 2015–2010 per jaar en per deelnemer (UWV, Belastingdienst en gemeentes) aangeven hoeveel het project in de raming zou gaan kosten?

Zie antwoord vraag 4.

Vraag 6

Kunt u voor die jaren aangeven hoeveel er is uitgeven en hoeveel er geraamd is?

Zie antwoord vraag 4.

Vraag 7

Wanneer is een integrale ketentest gepland of uitgevoerd voor het Lage inkomensvoordeel (LIV), de jeugd-LIV en de LKV? Wat zijn de resultaten van die testen?

De Wet tegemoetkomingen loondomein (Wtl) wordt door UWV en Belastingdienst gefaseerd ingevoerd. Er is sprake van drie verschillende onderdelen, het lage-inkomensvoordeel (LIV), het lage-inkomensvoordeel voor jongeren (jeugd-LIV) en de loonkostenvoordelen (LKV’s). De implementatie van deze onderdelen is opgeknipt in verschillende werkprocessen. Ten behoeve van het proces voorlopige berekening LIV is de ketentest van 17 november 2017 tot en met 5 januari 2018 uitgevoerd en afgerond. De testen zijn volgens UWV en Belastingdienst positief verlopen en zijn aanleiding geweest voor definitieve vrijgave van dit proces voor productie.
De processen beschikken, herzien en bezwaar die aan het eind van het totale LIV-proces in de loop van dit jaar benodigd zijn, volgen in de komende maanden. Verder wordt de WTL-applicatie in de loop van 2018 door UWV aangepast voor de jeugd-LIV en LKV. De testen voor deze twee onderdelen staan gepland voor de tweede helft van 2018. Bij iedere procesrelease wordt een integrale ketentest uitgevoerd om een gefundeerd vrijgavebesluit te kunnen nemen. De voortbrenging vindt op deze wijze zorgvuldig en planmatig plaats.

Vraag 8

Constaterende dat u op 15 januari 2018 schreef dat een aantal knelpunten is opgelost tijdens het BIT-advies, welke knelpunten zijn opgelost en welke knelpunten zijn niet opgelost?

Alle relevante systemen voor de uitvoering van het proces «voorlopige berekening LIV» zijn gereed. De Wtl-applicatie («de rekenmachine»), de koppelingen voor het berichtenverkeer tussen UWV en de Belastingdienst en de gezamenlijke database zijn afgerond en werken. Op 26 januari jl. zijn deze procesonderdelen door de gezamenlijke stuurgroep vrijgegeven voor productie. Alle door het BIT benoemde bevindingen zijn geadresseerd in de bijlage van de brief van 15 januari jl.2
Onderstaand een opsomming van de belangrijkste bevindingen:
Het BIT adviseert de selectie op de polis af te ronden en te bekrachtigen. Dit knelpunt is inmiddels door UWV opgelost. Het bestand is veelvuldig getest en vrijgegeven voor productie.
Het BIT adviseert om zo snel mogelijk een integrale ketentest te plannen. De ketentest is inmiddels met succes afgerond. Er zijn geen bevindingen meer en UWV en de Belastingdienst zijn klaar om in productie te gaan voor het verzenden van de voorlopige berekening van het LIV naar de werkgevers (vóór 15 maart a.s.).
Het BIT beveelt aan om na te gaan of de voorlopige berekeningen in 2018 op enigerlei wijze digitaal aangeboden kunnen worden. Dit advies is overgenomen. De grote werkgevers met meer dan 100 LIV-gerechtigden worden zowel per post als digitaal geïnformeerd.
Het BIT adviseert om zo snel mogelijk de ketenmonitoring te ontwerpen en te realiseren. Dit advies is overgenomen en de realisatie van ketenmonitoring is in volle gang. Op 2 februari jl. is de productie gestart en worden de betreffende productieprocessen gemonitord op juistheid, tijdigheid en volledigheid. Gedurende 2018 wordt ketenmonitoring doorontwikkeld en uitgebreid naar de productieprocessen van de jeugd-LIV en de LKV.
Het BIT adviseert om de processen rond herziening en bezwaar en beroep te definiëren en daarbij aandacht te besteden aan de taakverdeling tussen UWV en de Belastingdienst. Dit advies is overgenomen, maar nog niet ingeregeld, omdat deze processen achteraan in de keten plaatsvinden. UWV en Belastingdienst zetten zich in om deze processen voor 1 juli 2018 geregeld hebben.
Het BIT adviseert om UWV de opdracht te geven om een terugvalplan uit te werken. De Wtl-applicatie is inmiddels getest en werkt. Een terugvalplan zoals het BIT aanbeveelt is daarom niet nodig.
Het BIT merkt op dat niet duidelijk is op welke wijze de Belastingdienst het proces van uitbetalen van tegemoetkomingen (waaronder verrekening van vorderingen en boete-inningen) ondersteunt.
De geautomatiseerde innings- en betaalvoorziening van de Belastingdienst is verouderd. De nieuwe voorzieningen voor de Wtl inbouwen in deze oude programmatuur is op zichzelf risicovol. Daarom is er vanuit een meerjarenperspectief voor gekozen om hiervoor nieuwe functionaliteit te gaan ontwikkelen. De Wtl is de eerste wet die gebruik gaat maken van deze nieuwe functionaliteit. De ontwikkeling hiervan valt binnen de scope van dit programma en ligt volgens de Belastingdienst qua ontwikkeling op schema. Medio januari 2018 zijn de betaalservice en administratie hierop aangepast en zal dit uitgebreid worden getest. De oplevering van deze nieuwe functionaliteit is medio april 2018 voorzien. De uitbetaling van het LIV is uiterlijk medio september 2018. De nieuwe betaalvoorziening is daarom volgens de Belastingdienst ruim op tijd beschikbaar. Daarnaast is een terugvalscenario uitgewerkt. Dit betekent dat de Belastingdienst met behulp van een reeds bestaand back-up systeem de in totaal circa 92.000 betalingen kan uitbetalen. Het go / no go moment voor het terugvalscenario is 1 augustus 2018. De Belastingdienst heeft aangegeven dat mocht de nieuwe ICT voor het betaalproces niet tijdig gereed zijn, dan is de uitbetaling aan de betrokken werkgevers met het back-up systeem gegarandeerd.
In het advies geeft het BIT aan dat de beleids- en verantwoordingsinformatie nog niet gerealiseerd is en adviseert deze snel te realiseren. De gevraagde informatie kan door UWV geleverd worden; eind van dit jaar zal de eerste beleidsinformatie (van het LIV) worden opgeleverd.
Ten tijde van het onderzoek constateert het BIT dat belangrijke systemen nog niet klaar waren. UWV heeft daarom vanaf begin oktober 2017 de bouw- en testcapaciteit moeten vergroten om op tijd klaar te kunnen zijn. Dat is gelukt. Verder zijn de belangrijkste processen die nodig zijn voor aanvraag en afgifte van LKV-doelgroepverklaringen bij UWV afgerond. De overige processen, waaronder een geautomatiseerd systeem voor doelgroepverklaringen LKV, worden conform planning dit jaar opgeleverd (zie ook vraag 13).

Vraag 9

Constaterende dat gemeentes nu al een doelgroepenverklaringen moeten opstellen, wanneer is het standaard aanvraagproces en de model doelgroepverklaring beschikbaar voor gemeentes? En kunnen UWV en SVB in de tussentijd alle niet gestandaardiseerde verklaringen aan?

Het standaard aanvraagproces, het aanvraagformulier en de model doelgroepverklaringen zijn inmiddels gereed en beschikbaar gesteld aan gemeenten via de site van de VNG (https://vng.nl/onderwerpenindex/werk-en-inkomen/nieuws/ondersteuning-doelgroepverklaring-en-lkv-oudere-werknemers). UWV is bij het registreren van doelgroepverklaringen afhankelijk van hoe gemeenten aanleveren en hoe zij hun processen inrichten. Wanneer de modelverklaring wordt gebruikt of wanneer alle gegevens die worden uitgevraagd in de modelverklaring op een ander format worden doorgegeven, kan UWV ook niet-gestandaardiseerde verklaringen aan. De SVB speelt overigens geen rol in de uitvoering van de Wtl.

Vraag 10

Kunt u de Privacy Impact Assessment die is uitgevoerd aan de Kamer doen toekomen?

Ja. De Privacy Impact Assessments (PIA’s) van zowel UWV als Belastingdienst zijn bijgevoegd3. De Belastingdienst heeft in eerste instantie een WMK-toets (Willen, Mogen, Kunnen) uitgevoerd. Op basis van deze toets wordt duidelijk of er een uitgebreidere PIA toets moet plaatsvinden. Uit de toets kwam naar voren dat een uitgebreidere PIA niet noodzakelijk is. Echter gezien het belang en de bevinding van het BIT op dit punt heeft de Belastingdienst besloten om een volledige gegevensbeschermingseffectbeoordeling (PIA) uit te voeren.
Voor UWV geldt dat vanaf het begin van het project, zoals bij alle projecten van UWV, de informatiebeheer- en privacyaspecten zijn meegenomen in de projectarchitectuur. Mede door de aanbeveling van het BIT en het grote belang van beveiliging en privacy voor burgers, heeft de stuurgroep in de tweede helft van 2017 besloten een PIA te doen om te zien of UWV aan de vereisten heeft voldaan. Daarnaast zal UWV in het licht van nieuwe Europese regels in de eerste helft van 2018 nog een extra gegevensbeschermingseffectbeoordeling uitvoeren.

Vraag 11

Constaterende dat het BIT op 16 november jl. constateert: «Echter, op dit moment zijn veel systemen nog niet af en voor sommige systemen is zelfs het ontwerp nog niet afgerond.», kunt u aangeven om welke systemen het gaat?

Het klopt dat UWV en Belastingdienst ten tijde van de interviews van het BIT (19 juni 2017 tot en met 22 augustus 2017) nog volop aan het bouwen waren aan systemen. In mijn reactie op het BIT-advies heb ik gerefereerd aan de lange doorlooptijd van het BIT-onderzoek. De constatering van het BIT dat veel systemen nog niet af zijn, dateert van augustus 2017. Op dat moment was bijvoorbeeld de Wtl-applicatie nog niet af. UWV en de Belastingdienst hebben aangegeven dat inmiddels alle systemen voor het proces «voorlopige berekening LIV» (de Wtl-applicatie, de koppelingen en de gezamenlijke database) zijn afgerond en gereed voor productie.

Vraag 12

Constaterende dat u volgens de wet u voor 15 maart 2018 de voorlopige berekeningen van de LIV moet sturen aan 80.000 werkgevers (over 350.000 werknemers), gaat dat lukken?

UWV en Belastingdienst geven aan dat dit gaat lukken. Alle voorbereidingen zijn getroffen en alle systemen zijn uitgebreid getest. Inmiddels zijn alle voorlopige berekeningen geprint en deze zullen voor 15 maart a.s. zijn verzonden. De eerste batch van 25.000 voorlopige berekeningen zijn afgelopen zaterdag 3 maart bij werkgevers bezorgd.

Vraag 13

Klopt het dat u zeventien FTE geworven heeft om de aanvragen voor de naar schatting 70.000 LKV verklaringen handmatig in een excel bestand vast te gaan leggen?

Deze 17 FTE zijn door UWV niet extra geworven, maar deze capaciteit is beschikbaar binnen UWV wanneer dat nodig is. Naast registratie van deze verklaringen, gaat het hier met name om het beoordelen van het recht op LKV, onder andere door het raadplegen van verschillende systemen binnen UWV en het versturen van doelgroepverklaringen. Deze registratie en een groot deel van deze personele bezetting is overigens tijdelijk, totdat dit proces zoveel mogelijk geautomatiseerd is. Het excel bestand wordt nog dit jaar vervangen door het geautomatiseerde DLA (Doelgroepverklaring Loonkostenvoordeel Aanvraagafhandeling). Uiteindelijk zijn er naar verwachting 6 FTE benodigd, wanneer het DLA volledig gereed is met alle modules.

Vraag 14

Welke beleid- en verantwoordingsinformatie zal volgend jaar beschikbaar zijn om te zien of bepaalde risico’s (zoals gebruik van loonkostensubsidies voor buitenlandse werknemers en verdringingseffecten) zich wel of niet hebben voorgedaan?

Het gaat bij de gevraagde reguliere (statistische) beleidsinformatie met name over het gebruik van de verschillende instrumenten, zowel in aantallen (werkgevers, werknemers en verloonde uren) als in geld. Met deze informatie kan het gebruik worden vastgesteld en worden bezien of de beleidsdoelen worden gehaald.

Vraag 15

Is er een ketenregisseur /ketenbureau met doorzettingsmacht?

Vanaf de beginfase van de implementatie van de Wtl wordt er een strakke ketenregie gevoerd. De governance van de implementatie van de Wtl is uitgewerkt in een gezamenlijk invoeringsprogramma met UWV en Belastingdienst, waarbij sprake is van ketensturing. De operationele ketensturing is geborgd door een gezamenlijke stuurgroep (GSG) van beide uitvoeringsorganisaties, met een voorzitter van UWV. Naast deze operationele borging is een tweede factor voor een succesvolle invoering dat beide uitvoeringsorganisaties op bestuurlijk niveau op elkaar zijn aangesloten via het zogenaamde Ketenmanagementberaad (KMB). In het KMB, dat wordt voorgezeten door SZW, zijn alle partijen (SZW, Financiën, Belastingdienst en UWV) vertegenwoordigd. Nadat de Wtl succesvol is geïmplementeerd, is het voornemen om de Wtl-keten gefaseerd onder te brengen binnen de structuur van de bestaande loonaangifteketen (LAK). Besluitvorming daarover is in voorbereiding.

Vraag 16

Op welke wijze gaat u het invoeringsproces monitoren en de Kamer op de hoogte houden?

Het Ketenmanagementberaad (zie vraag 15) wordt via een bestuurlijke rapportage van de gezamenlijke stuurgroep (GSG) maandelijks geïnformeerd over de voortgang. Ik zal uw Kamer voor Prinsjesdag 2018 schriftelijk informeren over de voortgang van de implementatie van het lage-inkomensvoordeel (LIV) en voor Prinsjesdag 2019 over de voortgang van de implementatie van het jeugd-LIV en loonkostenvoordelen (LKV). Mocht er aanleiding voor zijn dan zal ik uw Kamer tussentijds over de stand en ontwikkelingen informeren.

Vraag 17

Hoe beoordeelt u zelf de gang van zaken rond de invoering?

De totstandkoming van het programma en de resultaten die UWV en Belastingdienst met forse krachtinspanning hebben bereikt stemmen mij tevreden; zeker gezien de tijdsdruk waaronder deze implementatie door het vorige Kabinet is ingezet. Beide uitvoeringsinstanties zijn hard bezig om de ontwikkelde processen naar de productie omgeving te brengen. Inmiddels zijn de koppelingen tussen UWV en de Belastingdienst werkend en naar productie gebracht. De implementatie- en productiedraaiboeken zijn afgerond en vanaf begin februari 2018 zal er gefaseerd «live» worden gegaan met het werkproces voor het LIV. Momenteel wordt hard gewerkt door de Belastingdienst om ook de definitieve beschikkingen en uitbetalingen van het LIV conform planning te kunnen laten plaatsvinden. De uitvoeringsorganisaties liggen op koers om de eerste brieven van de voorlopige berekening LIV conform wettelijke bepaling voor 15 maart a.s. bij de werkgevers op de mat te kunnen laten landen. Kortom, het fundament voor een succesvolle invoering is hiermee gelegd.

Vraag 18

Kunt u deze vragen binnen drie weken beantwoorden?

Nee. De beantwoording vergde meer tijd omdat er PIA’s (zie vraag 10) zijn opgevraagd.

Vraag 1

Bent u bekend met het artikel «Maakbedrijven trekken naar India wegens groeiend gebrek aan Nederlandse ingenieurs»?1

Ja, dit artikel is mij bekend.

Vraag 2

Heeft u inzicht in hoe groot het verwachte tekort aan hoogopgeleid technisch personeel in de komende jaren is?

Door de economische groei en door de toepassing van technologie neemt de vraag naar voldoende en goed opgeleid technisch talent alleen maar toe. Het tekort aan bèta-technici is een belemmering voor de Nederlandse economische groei in de komende jaren. Uit de recente rapportage De Arbeidsmarkt naar opleiding en beroep tot 2022van het Researchcentrum voor onderwijs en arbeidsmarkt (ROA) van de Universiteit Maastricht, kan indicatief afgeleid worden dat de verwachte tekorten op de bèta-technische arbeidsmarkt groot zijn (zie tabel). Het is goed om te beseffen dat we niet alleen behoefte hebben aan hoogopgeleide bèta en technisch geschoolde mensen, maar vooral ook aan vakmensen. Mensen die dingen kunnen maken zoals lassers, installateurs, metselaars, elektriciens etc.
9.200
16.700
7.500
107.000
106.500
–500
7.100
5.800
–1.300
12.200
14.300
2.100
24.400
19.300
–5.100
4.200
7.500
3.300
11.000
14.500
3.500
10.700
8.100
–2.600
20.600
18.100
–2.500
16.800
18.900
2.100
13.800
11.800
–2.000
101.800
83.500
–18.300
7.700
26.400
18.700
18.900
5.900
–13.000
22.700
5.800
–16.900
5.800
4.000
–1.800
mbo 4 voertuigtechniek
8.900
5.400
–3.500
mbo 4 techniek overig
14.800
17.200
2.400
mbo 4 bouw en infra
16.300
7.900
–8.400
mbo 4 transport en logistiek
6.700
10.800
4.100
120.700
60.800
–59.900
16.100
13.200
–2.900
32.500
9.800
–22.700
22.900
14.400
–8.500
12.000
3.100
–8.900
28.000
13.500
–14.500
9.300
6.900
–2.400
15.500
13.700
–1.800
10.100
10.000
–100
5.400
3.700
–1.700
61.700
29.500
–32.200
19.500
8.300
–11.200
25.100
11.800
–13.300
17.100
9.400
–7.700
19.500
21.600
2.100
11.900
14.200
2.300
7.600
7.400
–200

Vraag 3

Hoeveel schade loopt de Nederlandse economie op doordat bedrijven uit Nederland vertrekken vanwege een tekort aan technisch personeel?

Er worden (door het CBS) geen gegevens bijgehouden over aantallen bedrijven die uit Nederland vertrekken. Ook is er geen informatie bekend over de specifieke landen waar deze bedrijven naar vertrekken. Er zijn, kortom, geen integrale gegevens beschikbaar over hoeveel bedrijven uit Nederland vertrekken en daarbij een gebrek aan technisch geschoold personeel als reden aangeven. Bij bedrijfsbeslissingen over vestigingslocaties, zien we in de praktijk dat een breed palet aan vestigingsklimaatfactoren een rol speelt. Een besluit om te vertrekken of omgekeerd, in Nederland te gaan vestigen, is dus zelden aan slechts één factor van het vestigingsklimaat toe te wijzen. Naast de factor arbeid (o.a. beschikbaarheid van goed opgeleid personeel), zijn ook andere locatiefactoren van belang, zoals bijvoorbeeld fiscaliteit, infrastructuur en kwaliteit van leven en leefomgeving.
Er is dus ook geen prognose te maken over hoeveel bedrijven uit Nederland de komende 10 jaar zullen vertrekken vanwege een tekort aan technisch geschoold personeel. Dat laat onverlet dat dit een belangrijke factor is van ons vestigingsklimaat. Het CBS heeft recent nieuwe informatie verzameld over de outsourcing van bedrijfsonderdelen. Daarin wordt o.a. gevraagd naar «Ingenieursdiensten en gerelateerde technische diensten» en naar motieven voor verplaatsing, waaronder een tekort aan personeel. Het CBS verwacht de resultaten in april te hebben. Wellicht dat deze studie meer inzicht kan bieden over het belang van deze locatiefactor.
Uiteraard bereiken ons wel signalen, ook vanuit de casuïstiek, dat voldoende beschikbaarheid van technisch geschoold personeel een aandachtspunt in het Nederlandse vestigingsklimaat is. Dit blijkt ook uit de recent gepubliceerde Global Talent Competitiveness Index (GTCI). De GTCI is een jaarlijkse meetlat waarin het concurrentievermogen van 119 landen op het gebied van talent wordt vergeleken. Nederland scoort goed in deze ranglijst en staat op plaats 9 (vorig jaar 11e). Nederland scoort met name op het vermogen om talent te ontwikkelen (1ste plek). Op andere subonderdelen van de lijst, zoals het aantrekken van talent, het faciliteren van talent, het vermogen om talenten te binden en de beschikbare voorraden van beroeps- en technische vaardigheden en hoger opgeleiden vaardigheden, doet Nederland het goed, maar staat het net iets achter de koplopers. Onder andere via het Techniekpact zet het Kabinet zich in om de positie van Nederland op deze laatste subfactor te verbeteren (zie ook het antwoord op vraag 7).
Aangezien er geen helder beeld is over hoeveel bedrijven in de afgelopen 10 jaar vanwege een tekort aan technisch personeel zijn vertrokken, is ook geen beeld te schetsen van hoeveel niet-technische arbeidsplaatsen hierdoor zijn vervallen. Bekend is dat in technische sectoren ook werkgelegenheid is voor niet-technici. Daarnaast levert een bedrijf ook regionale werkgelegenheid op, bijvoorbeeld bij toeleveranciers en facilitaire dienstverlening.

Vraag 4

Hoeveel bedrijven zijn de afgelopen 10 jaar vanwege een tekort aan technisch opgeleid personeel vertrokken uit Nederland? Wat is de prognose voor de komende 10 jaar?

Zie antwoord vraag 3.

Vraag 5

Heeft u inzicht in hoeveel niet-technische arbeidsplaatsen er vervallen doordat bedrijven naar India zijn vertrokken of gaan vertrekken?

Zie antwoord vraag 3.

Vraag 6

Heeft u inzicht in hoe in de ons omringende landen wordt omgegaan met eventuele tekorten aan technisch opgeleid personeel? Kunt u de Kamer informeren over de in die landen toegepaste oplossingen?

Veel landen in Europa kampen met tekorten aan bèta-technisch opgeleiden en zijn, net als Nederland, zoekende naar de juiste manier om dit gat te dichten. Recent hebben geïnteresseerde landen de handen ineen geslagen in de EU STEM Coalition om informatie uit te wisselen over het dichten van het gat. Dat de Nederlandse aanpak van het Techniekpact in Europees verband wordt gezien als een voorbeeld, blijkt uit de vele buitenlandse delegaties die Nederland over dit onderwerp ontvangt en uit het feit dat landen zoals Denemarken en Estland naar Nederlands voorbeeld een eigen Techniekpact zijn gestart. Op de site van de EU Stem Coalition staan verschillende voorbeelden genoemd van aanpakken om de tekorten aan bèta-technisch personeel aan te pakken. Zie: http://www.stemcoalition.eu.

Vraag 7

In hoeverre bent u in gesprek met bedrijven over de mogelijke oplossingen voor de tekorten aan technisch personeel in Nederland? Kunt u de Kamer informeren over deze mogelijke oplossingen?

Vraag 8

Bent u voornemens om maatregelen te nemen teneinde te zorgen voor meer in de techniek opgeleide mensen? Zo ja, welke maatregelen zijn dat?

Vraag 9

Bent u van plan om maatregelen te nemen om al in het primair onderwijs leerlingen enthousiast te maken voor een technische opleiding? Zo ja, welke maatregelen zijn dat?

Vraag 10

Wat vindt u van het feit dat universiteiten een numerus fixus instellen voor technische opleidingen? Deelt u de mening dat het goed is deze beperking van instroom in technische studies met ingang van het komend schooljaar op te heffen?

Vraag 1

Bent u bekend met het feit dat in andere landen, zoals de Verenigde Staten, de verwachting is dat in bepaalde steden al in 2018 gebruik kan worden gemaakt van 5G?

Ik ben bekend met recente persberichten van onder meer AT&T en Verizon, waarin zij stellen in de loop van 2018 5G uit te rollen in een select aantal steden in de Verenigde Staten. De informatie die AT&T verstrekt is echter zodanig beperkt dat de berichtgeving moeilijk op waarde is te schatten.1 Verizon is duidelijker en stelt van plan te zijn om 5G-technologie in te zetten voor het leveren van breedbandinternet aan bewoners van drie tot vijf steden, als alternatief voor breedbandinternet over koper of kabel.2 Deze toepassing is vergelijkbaar met het huidige gebruik van de 3,5 GHz-band in bijvoorbeeld het buitengebied van Zeeland voor het leveren van breedbandinternet aan bewoners daar door middel van een zeer geavanceerde vorm van 4G.3 Verder zijn Zuid-Koreaanse mobiele telecomaanbieders van plan om demonstraties van 5G-technologie te tonen tijdens de Olympische Winterspelen van Pyeongchang.
In Nederland en andere EU-lidstaten wordt aan vergelijkbare initiatieven gewerkt rond EURO2020, terwijl Japan werkt aan initiatieven rond de Olympische Zomerspelen van 2020.

Vraag 2

Deelt u de mening dat Nederland op dit punt absoluut niet achter kan blijven en dat de uitrol van 5G zo snel mogelijk moet plaatsvinden omdat anders innovatie wordt geremd en nieuwe kansen voor CO2-reductie onbenut dreigen te blijven?

De snelle uitrol van 5G speelt een belangrijke rol bij het mogelijk maken van nieuwe diensten en dienstverleningsconcepten. Samen met andere technologieën, zoals LoRaWAN en ITS-5G wordt zo de communicatie-infrastructuur ontwikkeld voor innovatie in allerlei sectoren.4 De visie voor 5G is dat mobiele netwerken straks ook diensten kunnen leveren waar op dit moment nog «dedicated» netwerken voor bestaan, zoals portofoonnetwerken die onder meer worden gebruikt in de evenementen-, beveiligings- en mediasector. Verder moet 5G diensten en dienstverleningsconcepten mogelijk maken die op dit moment in ontwikkeling zijn, zoals inspecties op afstand, monitoring door middel van grote hoeveelheden sensoren, en zelfrijdende auto’s. Afhankelijk van de precieze toepassing kan dit ook een bijdrage leveren aan CO2-reductie. Later dit jaar kom ik met een Actieplan Digitale Connectiviteit. Daarin zal ik acties aankondigen ten behoeve van de juiste randvoorwaarden voor verdere uitrol van vaste en mobiele netwerken in Nederland, waaronder dus ook 5G.
Voor de uitrol van 5G in Nederland is beschikbaarstelling van diverse frequenties van belang. Zo wordt voor de 700 MHz-, 3,5 GHz- en de 26 GHz-banden 5G technologie ontwikkeld. Ik werk reeds aan het landelijk beschikbaar stellen van de 700 MHz-band per 2020. Tevens bereid ik het beschikbaar stellen van de 26 GHz-band voor om na EU-besluitvorming over die band – naar verwachting later dit jaar – de inzet van 5G met die frequenties mogelijk te maken in heel Nederland.
Daarnaast en daaropvolgend zal 5G naar verwachting ook worden uitgerold in de frequentiebanden waar vandaag de dag 2G, 3G, en 4G mee worden aangeboden (800 MHz, 900 MHz, 1.800 MHz, 2.100 MHz en 2.600 MHz).

Vraag 3

Bent u in gesprek met de Autoriteit Consument en Markt (ACM) over mogelijke manieren om het door u aangekondigde uitstel van de Nota Mobiele Communicatie1 en de mede daarop te baseren besluitvorming rondom de frequentieveilingen alsnog zo min mogelijk vertraging te laten oplopen?

Ja.

Vraag 4

Kunt u nader toelichten waarom dit uitstel nodig is, of het echt onvermijdelijk is en uiteenzetten wat voor u de uiterste datum is waarop betrokken partijen én de Kamer geïnformeerd dienen te zijn over op zijn minst de voorgenomen opzet van de frequentieveilingen?

Door de aangekondigde overname van Tele2 door T-Mobile is onzeker hoe de markt er over een aantal maanden uit ziet en daarmee of, en zo ja welke maatregelen er getroffen moeten worden om een effectief concurrerende markt te waarborgen. Bij de inrichting van een frequentieveiling is het van het grootste belang om te weten hoe de concurrentiesituatie in de markt is, en welke voorwaarden er eventueel moeten worden gesteld om een effectief concurrerende markt te waarborgen of verbeteren. De Nota Mobiele Communicatie zet uiteen hoe ik dat bij de aankomende frequentieveilingen ga doen. Frequentieveilingen zijn namelijk bij uitstek vormende momenten voor de concurrentiesituatie in de (mobiele) telecommarkt. Ze bepalen de verhoudingen tussen de diverse marktpartijen. Immers, meer frequenties hebben dan je concurrent betekent dat je meer capaciteit in je netwerk hebt. Dat vertaalt zich onder meer in de mogelijkheid om hogere snelheden en grotere databundels aan klanten te kunnen bieden, en de prijs die een marktpartij daarvoor moet rekenen.
De ACM heeft laten weten dat zij mij pas van advies kan voorzien zodra een besluit is genomen over de aangekondigde overname van Tele2. Om deze reden kan ik nog geen datum geven, ook niet een uiterste. Ik streef er naar om ongewenste vertragingen te voorkomen. De frequentiebanden die geveild worden, komen beschikbaar vanaf 2020 en ik streef ernaar dat vanaf die datum ook daadwerkelijk gebruik kan worden gemaakt van deze belangrijke frequenties. Tegelijkertijd geldt wel dat de voorbereiding van de veiling een zorgvuldig proces behoeft, met betrokkenheid van belanghebbende partijen en uw Kamer, waardoor het nog spannend kan worden om de veiling tijdig te realiseren en uit te voeren. Bij beantwoording van de motie Weverling c.s. zal ik de Tweede Kamer verder informeren over mijn planning.6

Vraag 5

Bent u bereid om ook een andere optie te overwegen, namelijk door nu versneld twee scenario’s uit te werken: een scenario waarin er sprake is van een goedkeuring van Nederlandse en Europese mededingingsautoriteiten voor de overname van Tele2 door T-Mobile Nederland en een scenario waarin dat niet het geval is? Bent u bereid om op basis van deze twee scenario’s toch al de Nota Mobiele Communicatie uit te brengen en twee verschillende opzetten voor de frequentieveilingen te publiceren, zodat er niet nodeloos tijd verloren gaat, partijen tijdig geïnformeerd worden en – niet op de laatste plaats – voorkomen wordt dat de Kamer vanwege tijdsdruk voor (bijna) voldongen feiten wordt geplaatst? Zo nee, waarom niet?

Ik herken de scenario’s die u noemt. Goedkeuring van de overname kan echter onder tal van verplichtingen en/of voorwaarden worden verleend, en sommige daarvan raken rechtstreeks aan de vormgeving van de aanstaande veiling. Er zijn dus nog tal van sub-scenario’s denkbaar. Ik wijs bijvoorbeeld op de voorwaarde die de Europese Commissie stelde aan haar goedkeuring voor de fusie tussen Hutchison3G en Orange in Oostenrijk. Hierbij werd goedkeuring enkel verleend onder de voorwaarde dat de Oostenrijkse toezichthouder bij de eerstvolgende frequentieveiling vergunningen reserveerde voor een nieuwe partij.7 Het is onwenselijk om voor alle mogelijke (sub)scenario’s de opzet van de veiling uit te werken en te publiceren. Door te speculeren over de mogelijke besluitvorming van de Europese Commissie en/of de ACM zou ik hun besluitvormingsproces frustreren. Voorts zouden derden de indruk kunnen krijgen dat ik op basis van voorkennis bepaalde scenario’s wel of niet beschouw. Dat kan onder meer van invloed zijn op beurskoersen waardoor aandeelhouders onnodig worden geschaad, of op besluiten van financiers om al dan niet kapitaal te verschaffen aan Tele2, T-Mobile, of hun concurrenten.

Vraag 6

Is er inmiddels al zicht op een concrete oplossing voor het satellietgrondstation in Burum en wanneer kan de Kamer daarover nadere informatie tegemoet zien?

Ik ben op dit moment in gesprek met de Ministers van Defensie en Binnenlandse Zaken en Koninkrijksrelaties die beide belang hebben bij de activiteiten in Burum om te onderzoeken welke oplossingsmogelijkheden ter hand kunnen worden genomen. Zoals gevraagd in de motie Weverling c.s. zal uw Kamer uiterlijk voor de Voorjaarsnota op de hoogte worden gebracht van de eerste voortgang hierin.

Vraag 7

Bent u nu al in staat en bereid de garantie af te geven dat deze kwestie geen vertraging zal opleveren voor de uitrol van 5G in Nederland (boven de lijn Amsterdam–Zwolle)?

Voor wat betreft de uitrol van 5G in de 3,5 GHz band in heel Nederland kan een dergelijke garantie alleen bij volledig inzicht in de consequenties van de uitrol voor het grondstation worden gegeven. Zoals gezegd is daarvoor eerst grondig onderzoek noodzakelijk.

Vraag 1

Hebt u kennisgenomen van het bericht «Cybersecurity hoogleraren vrezen dat Nederland digitaal onder water komt te staan» en het bijbehorende position paper?1

Ja.

Vraag 2

Hoe verklaart u dat Nederland zo weinig investeert in wetenschappelijk onderzoek naar digitale veiligheid? Onderschrijft u dat het onderzoeksgeld in Nederland in het niet valt bij de investeringen die de Duitse overheden doen in onder andere het Helmholtz Center in Saarbrücken, Center for Advanced Security Research (CASED) in Darmstadt en Forschungszentrum Cyber Defence (CODE) in München? Herkent u het beeld dat topwetenschappers de Nederlandse universiteiten daardoor verlaten?

Vraag 3

Welke langetermijngevolgen kan dit hebben voor de digitale veiligheid van de Nederlandse samenleving?

Vraag 4

Hoe past het idee van een kennisfonds voor onderzoeksgroepen in de prioriteit die cybersecurity heeft gekregen in het regeerakkoord? Vindt u een bedrag van € 6 miljoen per jaar realistisch als aanzet voor zo’n fonds? Welke ambitie heeft u als het gaat om leerstoelen voor cybersecurity?

Vraag 5

Als de Kamer een gerichte impuls zou willen geven aan dit soort onderzoek, ligt het dan voor de hand dit via de begroting van Onderwijs, Cultuur en Wetenschap te doen? Of zou een dergelijke investering juist gedaan moeten worden via het topsectorenbeleid, dan wel via een van de ministeries die zich bezighouden met cybersecurity?

Vraag 6

Bent u bereid deze vragen te beantwoorden voor de aanstaande begrotingsbehandelingen van de ministeries van Onderwijs, Cultuur en Wetenschap, Economische Zaken en Klimaat en Justitie en Veiligheid?

Vraag 1

Kent u het onderzoek van de Consumentenbond waaruit blijkt dat bedrijven ongevraagd klantgegevens met Facebook delen?1

Ja.

Vraag 2

Hoeveel bedrijven delen hun gegevens ongevraagd met Facebook of andere online platforms? Hoeveel gegevens van klanten zijn hier bij betrokken?

Facebook heeft desgevraagd geen cijfermatige informatie verstrekt over het delen van klantgegevens door bedrijven met Facebook.

Vraag 3

Hoeveel bedrijven sluiten geen overeenkomst met Facebook af waarin de voorwaarden voor het gebruik van gegevens zijn vastgelegd terwijl zij wel gebruikersgegevens delen?

Zie antwoord vraag 2.

Vraag 4

Deelt u de mening dat direct marketing niet als zwaarwegend bedrijfsbelang moet worden gezien en dat deze bedrijven hiermee de Wet bescherming persoonsgegevens (Wbp) overtreden? Zo nee, waarom niet?

Om een rechtmatigheidsoordeel te kunnen vellen, is (nader) onderzoek nodig naar de wijze waarop de bedrijven persoonsgegevens van betrokkenen verwerken. Met het toezicht op de naleving en de handhaving van de Wet bescherming persoonsgegevens heeft de wetgever de onafhankelijke Autoriteit Persoonsgegevens belast, die als onafhankelijke toezichthouder zelf haar prioriteiten bepaalt. Naar aanleiding van het onderzoek van de Consumentenbond heeft de Autoriteit Persoonsgegevens laten weten dit signaal serieus te nemen; zij doet echter geen uitspraken over de vraag of zij ook zelf een onderzoek zal instellen.
Het is aan de Autoriteit Persoonsgegevens om te beoordelen of bij Facebook Custom Audience targeting sprake is van een gerechtvaardigd belang waarop de gegevensverwerking kan worden gebaseerd.

Vraag 5

Hoe vaak heeft de Autoriteit Persoonsgegevens in de afgelopen vijf jaar sancties opgelegd aan bedrijven die op deze manier de Wbp overtreden? Hoe hoog waren eventuele opgelegde dwangsommen en boetes? In welke mate verschilt het aantal overtredingen van het aantal opgelegde dwangsommen en boetes? Kunt u een verklaring geven voor dit verschil?

Per 1 januari 2016 kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Tot op heden heeft zij van die bevoegdheid nog geen gebruik gemaakt. In haar jaarverslagen heeft zij opgenomen in hoeveel trajecten sprake was van een last onder dwangsom (https://autoriteitpersoonsgegevens.nl/nl/publicaties/jaarverslagen). De AP laat weten dat door haar onderzochte bedrijven en organisaties veelal al maatregelen nemen om de geconstateerde overtredingen te beëindigen naar aanleiding van het voornemen tot het opleggen van de last en de daarop volgende hoorzitting.

Vraag 6

Deelt u de mening dat, indien het aantal beboete bedrijven laag is, het begrip «zwaarwegend bedrijfsbelang» nader dient te worden geduid zodat helder is dat direct marketing zonder toestemming van klanten niet toegestaan is?

Hiervoor verwijs ik u naar het antwoord op vraag 4.

Vraag 7

Welke mogelijkheden hebben klanten die op deze wijze worden benadeeld om het bedrijf dat de gegevens heeft doorgespeeld naar een online platform de direct marketing te laten stoppen?

De betrokkene kan vragen om de gegevensverwerking voor deze doeleinden te beëindigen. Indien het gegevensverwerking in het kader van direct marketing betreft, kan verzet worden aangetekend op grond van artikel 41 van de Wbp. Indien de gegevensverwerking was gebaseerd op toestemming, kan de toestemming worden ingetrokken op grond van artikel 5, tweede lid, van de Wbp. In beide gevallen moet de verwerking van de persoonsgegevens eindigen. Het is niet nodig dat de betrokkene een motivering geeft. Vanaf 25 mei 2018 – als de Algemene verordening gegevensbescherming van toepassing wordt – kunnen betrokkenen een klacht indienen bij de AP indien zij menen dat onrechtmatig met hun persoonsgegevens wordt omgegaan.

Vraag 8

Welke stappen gaat u ondernemen om ervoor te zorgen dat bedrijven zich ook op dit vlak aan de Wbp gaan houden?

Hiervoor verwijs ik u naar het antwoord op vraag 4.

Vraag 1

Herinnert u zich dat u op 8 februari 2017 het volgende aan de Kamer schreef: «Naar aanleiding van de signalen over mogelijke onregelmatigheden bij de aanbesteding van de ondersteuning van het programma Broedkamer, heb ik een extern forensisch onderzoek in gang gezet naar deze aanbestedingsprocedure. Bij het uitzetten van de opdracht wordt er op gelet dat de uitvoerende partij onafhankelijk is ten opzichte van alle deelnemers aan de aanbesteding en niet eerder op enigerlei wijze betrokken is geweest. In het onderzoek zal onder meer aandacht worden besteed aan de rechtmatigheid en ordelijkheid van de aanbestedingsprocedure zelf, aan mogelijke voorkennis over de opdracht bij de leverancier waaraan de opdracht is gegund en mogelijke banden tussen medewerkers van de Belastingdienst en van de gekozen leverancier. Het onderzoek wordt verricht in opdracht van de directeur-generaal Belastingdienst en ondersteund door een begeleidingscommissie. Mocht uit dit onderzoek blijken dat sprake is van een vermoeden van een strafbaar feit, dan zal daarvan aangifte worden gedaan. De onderzoeker wordt verzocht zijn rapport half mei op te leveren»?1

Ja.

Vraag 2

Wie voert het extern forensisch onderzoek uit? Welke uiterste leveringstermijn is bij de opdrachtverlening gegeven?

Het onderzoek wordt uitgevoerd door advocatenkantoor NautaDutilh. In het contract is geen opleverdatum opgenomen, omdat vooraf moeilijk een schatting kon worden gemaakt van de omvang van de met de opdracht gemoeide werkzaamheden. In eerst instantie is aan de onderzoekers gevraagd het rapport medio mei op te leveren. Ik heb uw Kamer in april en juni geïnformeerd over het feit dat het onderzoek langer duurt dan voorzien en over de redenen voor de uitloop.2

Vraag 3

Heeft u een tussentijdse rapportage ontvangen? Zo ja, kunt u die aan de Kamer doen toekomen?

Ik heb geen tussentijdse rapportages ontvangen, omdat dat niet past in het onafhankelijke en forensische karakter van het onderzoek. Periodiek heeft overleg plaatsgevonden tussen NautaDutilh en de begeleidingscommissie over de voortgang van het onderzoeksproces.

Vraag 4

Kunt u de brieven, mails en rapporten die zijn uitgewisseld tussen de onderzoekers en de begeleidingscommissie en anderen bij de rijksoverheid aan de Kamer doen toekomen?

Het onafhankelijke onderzoek bevindt zich in een afrondende fase. De onderzoekers leggen de bevindingen vast in een rapportage en geven een verantwoording over het onderzoek, waarin ook zal worden ingegaan op de medewerking van het ministerie en de looptijd van het onderzoek. Zodra ik het rapport heb ontvangen zal ik uw Kamer informeren en het rapport toesturen.

Vraag 5

Heeft u aangifte gedaan naar aanleiding van tussentijdse signalen? Zo ja, wanneer en tegen wie?

Tijdens van het onderzoek naar de aanbestedingsprocedure voor de Broedkamer heb ik geen signalen ontvangen. Of het nodig is om aangifte te doen of andere acties te ondernemen kan daarom ook pas na afronding van het onderzoek worden bepaald.
In mijn brief van 8 februari 20173 heb ik aangegeven dat bezien zou worden hoe de checks en balances in het inkoopproces versterkt zouden kunnen worden. Dat heeft geleid tot een aantal maatregelen:

Vraag 6

Heeft u naar aanleiding van het onderzoek andere actie ondernomen? Zo ja, welke actie?

Zie antwoord vraag 5.

Vraag 7

Kunt u aangeven wat u vindt van het feit dat in de voorlopers van de Broedkamer:

Dat belastinggegevens van zeer veel belastingplichtigen beschikbaar waren bij de Broedkamer (waaronder begrepen de voorlopers daarvan) is een direct gevolg van het karakter van dit programma. Het in samenhang analyseren van deze gegevens was de basis voor uit te voeren toezicht op naleving van de belastingwetgeving.
Er waren bij de Broedkamer 18 medewerkers met een USB-ontheffing die ook gebruik maakten van de analyseomgeving AWS, waarin ook persoonsgegevens stonden. Dit waren alleen interne medewerkers. De USB-ontheffingen zijn inmiddels in de hele Belastingdienst ingetrokken en er geldt een zeer stringent beleid voor het verstrekken van nieuwe ontheffingen. Bij de afdeling D&A zijn sinds intrekking in februari 2017 geen ontheffingen meer verleend. Van USB-sticks werd wel gelogd dat zij gebruikt werden, maar niet de inhoud van het dataverkeer.
De servers waarop zich de gegevens bevonden stonden in beveiligde ruimtes die niet voor alle belastingdienstmedewerkers toegankelijk waren. Toegang tot de kantoorruimtes van het programma Broedkamer was voor belastingdienstmedewerkers mogelijk met een Rijkspas.
Dat medewerkers gegevens naar buiten konden mailen vanuit de analyseomgeving was niet conform de beveiligingsvoorschriften van de Belastingdienst. Deze mogelijkheden zijn dan ook afgesloten.
Dat geen besluitvorming is aangetroffen over opvolging van signalen over risico’s voor oneigenlijk gebruik of het buiten de Belastingdienst brengen van gegevens past bij de indruk dat bij de Broedkamer sprake was van een werkwijze waarin het resultaat centraal stond en ten koste ging van zorgvuldige omgang met gegevens. Het management heeft hier onvoldoende op gestuurd en ook de technische maatregelen bleken uiteindelijk onvoldoende. Het toont aan dat er niet voldoende aandacht was voor de wijze waarop wordt omgegaan met gegevens. De IT-beveiligingsmuren om de Belastingdienst zijn hoog en stevig, maar daarbinnen moeten het besef van en de concrete maatregelen voor veilig omgaan met gegevens beter. Daarvoor zijn al verschillende maatregelen getroffen, zoals ik in de brieven van 30 juni en 2 oktober 2017 heb aangegeven.4

Vraag 8

Kunt u de «bedreigingen- en kwetsbaarhedenanalyse» die is uitgevoerd over de databeveiling bij de voorlopers van de Broedkamer in 2015 aan de Kamer doen toekomen?2

Het document waar u naar vraagt betreft een intern memo dat is gewisseld tussen ambtenaren. Ik acht het onwenselijk als communicatie tussen ambtenaren onderling onderdeel van het publieke debat wordt. Hiervoor verwijs ik ook naar de kabinetslijn in het kader van artikel 68 van de Grondwet omtrent het verstrekken van inlichtingen staat beschreven in de Kamerbrief van 25 april 2016 van de Minister van BZK6. Ik kan u wel in geobjectiveerde vorm kort de strekking van het memo geven. Het memo beoogt alleen een theoretische classificatie te geven van denkbare situaties die de continuïteit en veiligheid van de werkzaamheden van de Broedkamer kunnen bedreigen.
De theoretische classificaties zijn in het memo als volgt beschreven:
Bedreiging: een situatie die een nadelige invloed kan hebben op het betrouwbaar functioneren van (een deel van) de bedrijfsvoering.
Kwetsbaarheid: hoe gevoelig ben je voor de bedreiging, in relatie tot de preventieve maatregelen die je getroffen hebt.
Hoofdsoorten bedreigingen:
Kans (zonder preventieve maatregelen):
Zeer laag: Kans van optreden gemiddeld eens per 1.000 jaar
Laag: Kans van optreden gemiddeld eens per 100 jaar
Midden: Kans van optreden gemiddeld eens per 10 jaar
Hoog: Kans van optreden gemiddeld eens per 5 jaar
Zeer hoog: Kans van optreden gemiddeld eens per jaar
Kwetsbaarheid niveau (met preventieve maatregelen):
Laag: Kans dat ernstige schade geleden wordt is minder dan 25%
Midden: Kans dat ernstige schade geleden wordt ligt tussen 25% en 50%
Hoog: Kans dat ernstige schade geleden wordt is groter dan 50%
Het memo bevat niet de uitkomst van een analyse van de feitelijke bedreigingen en kwetsbaarheden van de Broedkamer. Ter illustratie is een overzicht van denkbare situaties bijgevoegd.

Vraag 9

Kunt u het rapport «investigating data streams» van Oliver Wyman uit 2015 aan de Kamer doen toekomen? Kunt u een reactie geven op de bevindingen daarin en de opvolging die daaraan is gegeven?

De onderzoekers concluderen dat de aanbevelingen in de onderzochte periode niet zijn opgevolgd in formele besluiten. Dat is de periode daarna, in juni 2016, wel gebeurd. In lijn met de hoofdaanbevelingen in het rapport heeft de toenmalige Raad van Bestuur van de Belastingdienst in juni 2016 besloten een Datamanagement Forum in te richten bij de Belastingdienst, met als opdracht om integraal datamanagement vorm te geven. Eind 2016 is dit van start gegaan. Binnen de structuur van het Forum worden operationele en beleidsmatige kwesties rond gebruik van gegevens behandeld. De eerste resultaten daarvan zijn de ontwikkeling van een beleidsvisie op het omgaan met gegevens en het oplossen van een aantal concrete operationele kwesties rond gebruik van gegevens.
De activiteiten die in het kader van het Datamanagement Forum worden verricht, krijgen een plaats in de nieuwe structuur van de Belastingdienst. Datamanagement (waarvan informatiebeveiliging onderdeel uitmaakt) wordt in alle lagen van de Belastingdienst doorgevoerd: in strategie, uitvoering en control.
Gelet op de aard van dit rapport en de mogelijke risico’s van brede verspreiding, stuur ik het gehele rapport nu ter vertrouwelijke inzage aan de Kamer7. Ik streef ernaar u voorafgaand aan het Algemeen Overleg op woensdag 25 oktober een openbare8 versie te sturen waarin de vertrouwelijke passages onzichtbaar gemaakt zijn.

Vraag 10

Kunt u een appreciatie geven bij elk van de bevindingen van «het Rapport van bevindingen onderzoek informatiebeveiliging programma Broedkamer en voorlopers»?

De appreciatie van de bevindingen uit de twee onderzoeken heb ik gegeven in de brief van 2 oktober 2017.

Vraag 11

Van welke datalekken die zijn geconstateerd, is aangifte gedaan bij de autoriteitspersoonsgegevens? Kunt u per geconstateerde datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Over de periode van de Broedkamer is één geval geconstateerd waarin gegevens via e-mail buiten de Belastingdienst zijn gebracht. Dit geval is niet gemeld bij de Autoriteit Persoonsgegevens, omdat hierbij geen sprake was van persoonsgegevens maar van gegevens van bedrijven, zonder vermelding van de bedrijfsnaam.
Ik neem aan dat in vraag 15 wordt gedoeld op de periode van de afdeling D&A. Op 2 februari 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van een vermoedelijk datalek op grond van de mededeling van het programma Zembla dat het beschikte over een USB-stick met een groot aantal documenten. Op 29 juni 2017 is bij de Autoriteit Persoonsgegevens melding gemaakt van 11 incidenten die mogelijk als datalek te kwalificeren waren. Deze melding is gedaan op grond van tussentijdse bevindingen in het onderzoek naar gegevensgebruik bij D&A.

Vraag 12

Welke maatregelen zijn er genomen tegen de medewerkers van de Belastingdienst die via bankrekeningnummers gegevens van belastingplichtigen en gegevens van VIP’s hebben opgevraagd?3

In de onderzoeksrapporten wordt een aantal gevallen genoemd waar mogelijk sprake was van niet-functionele gegevensopvragingen. Deze zijn vervolgens nader onderzocht. Bij deze nadere analyse zijn geen indicaties gevonden dat de persoonsgegevens niet functioneel zijn gebruikt. Er zijn om die reden geen maatregelen getroffen tegen de desbetreffende medewerkers.

Vraag 13

Kunt u een appreciatie geven van elk van de bevindingen in het «Rapport van bevindingen onderzoek gegevensgebruik D&A»?

Zie antwoord vraag 10.

Vraag 14

Hoe vaak hebben medewerkers gezocht naar de gegevens van individuele belastingplichtigen? Welke acties zijn ondernomen tegen deze medewerkers?

Zie antwoord vraag 12.

Vraag 15

Van welke datalekken die zijn geconstateerd is aangifte gedaan bij de Autoriteit Persoonsgegevens? Kunt u per geconstateerd datalek bij de Broedkamer en haar voorgangers sinds 2012 aangeven wanneer die geconstateerd is, wanneer er aangifte is gedaan of waarom er geen aangifte is gedaan?

Zie antwoord vraag 11.

Vraag 16

Kunt u een overzicht geven van de signalen die klokkenluiders gegeven hebben over de beveiliging van de gegevens bij de Broedkamer en haar voorlopers en wat er met deze signalen gebeurd is?

In het onderzoek naar gegevensgebruik bij de Broedkamer en voorlopers hebben de onderzoekers signalen over risico’s en feiten ten aanzien van het daadwerkelijk oneigenlijk gegevensgebruik of het buiten de Belastingdienst brengen van gegevens geïnventariseerd. Zij hebben zich gericht op drie typen bronnen. Het eerste type betrof memo’s en mailberichten. Hierin werden vier signalen aangetroffen over vermeend onveilige hardware en vermeende aanschaf van hardware buiten de gebruikelijke inkoopprocedure. Het tweede type betrof twee rapporten van Oliver Wyman en Liquid Hub waarin adviezen en randvoorwaarden voor inrichting van de Broedkamer waren opgenomen; deze adviezen gingen ook over de beveiliging. Er is in de periode waarover het onderzoek zich uitstrekt geen formele besluitvorming aangetroffen over maatregelen naar aanleiding van de signalen uit deze twee typenbronnen. Over het rapport van Oliver Wyman heeft buiten de onderzoeksperiode wel besluitvorming plaatsgevonden (zie het antwoord op vraag10.
Het derde type betrof het logboek van beveiligingsincidenten. Bij analyse van dit logboek zijn door de onderzoekers geen incidenten aangetroffen die het buiten de Belastingdienst brengen van gegevens betroffen.
Overigens is nooit met zekerheid te zeggen dat een dergelijk overzicht volledig is, omdat men uiteraard geen kennis kan hebben van wat men niet gezien heeft.

Vraag 17

Waarom verklaarde u in de Kamer dat er actief gemonitord is, terwijl uit de onderzoeken blijkt dat er in het geheel geen monitoring heeft plaatsgevonden?

Zoals ik in mijn brief van 2 oktober 2017 heb aangegeven, heeft wel monitoring plaatsgevonden, maar deze was dominant gericht op de continuïteit in de bedrijfsvoering en op monitoring van kwaadaardige invloeden van buiten naar binnen. Monitoring van e-mailverkeer op het buiten de Belastingdienst brengen van persoonsgegevens vond niet systematisch plaats.

Vraag 18

Kunt u deze vragen een voor een beantwoorden en voor dinsdag 24 oktober 2017 te 11 uur aan de Kamer doen toekomen?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het artikel «Hacker steelt Australische JSF-bestanden»?1

Ja.

Vraag 2

Kunt u bevestigen dat er bij de Australische krijgsmacht informatie is gestolen over het F-35 project? Onderschrijft u de lezing van uw Australische collega dat hierbij geen sprake is geweest van diefstal van uiterst geheime informatie die de nationale veiligheid in gevaar brengt? Kunt u uw antwoord toelichten?

In het desbetreffende artikel wordt gesproken over een inbraak in het computernetwerk van een Australische leverancier. Deze is bij het F-35 programma betrokken via commerciële contracten met onderleveranciers van de Amerikaanse hoofdcontractanten. De Australische krijgsmacht is geen partij bij die contracten. Uit onderzoek dat Australië naar de toedracht van het incident heeft ingesteld, is gebleken dat de F-35 gegevens waartoe mogelijk toegang is verkregen geen gerubriceerde (geheime) informatie bevatten.

Vraag 3

Had hierbij informatie gestolen kunnen worden die de Nederlandse nationale veiligheid had kunnen bedreigen, nu of in de toekomst? Zo ja, heeft u de garantie dat dit niet gebeurd is?

Het verlies van niet-gerubriceerde informatie brengt de nationale veiligheid niet in gevaar.

Vraag 4

Om wat voor documenten ging het wel en welke waarde kunnen die documenten hebben voor derden, waaronder andere landen? Geven de documenten bijvoorbeeld belangrijke informatie over technische specificaties, waarmee derden een F-35 of onderdelen daarvan zouden kunnen ontwerpen/bouwen, of waarmee offensieve of defensieve capaciteiten van de F-35 kwetsbaar worden? Kunt u uw antwoord toelichten?

Er zijn geen details over de niet-gerubriceerde F-35 informatie verstrekt. Informatie benodigd voor het ontwerp en de bouw van complexe onderdelen, alsmede informatie over de capaciteiten van de F-35 is hoog-gerubriceerd (geheim/zeer geheim). Tot dergelijke informatie is blijkens het onderzoek geen toegang verkregen.

Vraag 5

Welke protocollen bestaan er binnen de internationale F-35 projectgroep bij eventuele diefstal van informatie? Zijn deze effectief gebleken?

Verlies van informatie wordt behandeld als een veiligheidsincident, waarnaar het desbetreffende partnerland en/of het Joint Program Office (JPO) altijd een onderzoek instelt. Hierbij bepaalt de ernst van het incident de omvang en diepgang van het onderzoek. Onderzoeksuitkomsten die relevant zijn voor de internationale F-35 projectgroep, waartoe ook Nederland behoort, worden aan de groepsleden beschikbaar gesteld om soortgelijke incidenten in de toekomst te voorkomen. Aangezien het bij dit incident informatie van een commerciële partij betrof, zijn de International Traffic in Arms Regulations (ITAR) van toepassing en is in eerste instantie melding gemaakt van het incident in de commerciële keten van de Australische leverancier, andere betrokken contractpartijen en de hoofdcontractant.

Vraag 6

Bestaan er binnen de internationale F-35 projectgroep bepaalde voorwaarden op het gebied van cybersecurity om als partnerland beschikking te krijgen tot de geheime informatie aangaande het F-35 project? Zo ja, voldeed Australië aan deze voorwaarden? Zo ja, dienen deze voorwaarden in het licht van dit hack dan verder aangescherpt te worden?

Het JPO ziet erop toe dat de beveiligingsmaatregelen, ook op het gebied van cybersecurity, die partnerlanden moeten toepassen op informatie die betrekking heeft op het F-35 programma, correct worden uitgevoerd. Daartoe dienen landen aan hoge veiligheidseisen te voldoen, wat voor Australië het geval is. Cybersecurity heeft bij het JPO en de F-35 partnerlanden hoge prioriteit en is een voortdurend punt van aandacht. Indien nodig worden de veiligheidseisen en maatregelen aangescherpt. Daarnaast is in de Amerikaanse International Traffic in Arms Regulations (ITAR) vastgelegd aan welke eisen commerciële bedrijven moeten voldoen voor de bescherming van informatie.

Vraag 7

Kunt u garanderen dat alle F-35 informatie in Nederland veilig is voor diefstal? Heeft u informatie gehad van uw Australische collega over dit hack en heeft dit geleid tot aanpassingen c.q. intensivering van de Nederlandse cybersecurity?

Nederland voldoet aan alle veiligheidseisen die het JPO partnerlanden oplegt voor de bescherming van F-35 informatie. Verder verwijs ik naar het antwoord op vraag 5.

Vraag 8

Wordt er nader onderzoek gedaan naar wie achter de hack heeft gezeten? Kunt u uw antwoord toelichten?

Om veiligheidsredenen kan ik niet op deze vraag ingaan en verwijs ik naar het antwoord op vraag 5.

Vraag 1

Wat is de stand van zaken van het project met de slimme camera’s in de Rotterdamse haven?1

De stand van zaken is dat de ondertekening van een convenant door de betrokken – publieke en private – partners aanstaande is. Er is dan ook geen aanleiding voor het Kabinet om nu in gesprek te gaan met deze partners. Als de vereiste handtekeningen gezet zijn, zal de – gefaseerde – uitwerking plaatsvinden en kunnen de camera's door de betreffende partners in het kader van hun onderscheidenlijke werkzaamheden uitgelezen gaan worden. Volgens de huidige planning van de partners zal na afronding van de aanbesteding de operationele realisatie van het cameraproject in de periode 2018–2021 plaatsvinden.

Vraag 2

Worden de camera’s inmiddels uitgelezen? Zo ja, wie leest deze camera’s uit? Zo nee, waarom niet?

Zie antwoord vraag 1.

Vraag 3

Klopt het dat er een patstelling is tussen de partners die het cameraproject moeten financieren? Zo ja, bent u bereid om met deze partners in gesprek te gaan zodat dit probleem snel kan worden opgelost?

Zie antwoord vraag 1.

Vraag 4

Kloppen de schattingen dat slechts eenvijfde deel van de cocaïnesmokkel wordt onderschept?

Het is mij niet bekend waarop de schatting van een vijfde is gebaseerd. Over de totale hoeveelheid cocaïne die Nederland binnenkomt heb ik geen informatie. Wel is mij duidelijk dat de handel in en smokkel van cocaïne als dreiging wordt gekwalificeerd, zoals ook door de politie is gedaan in het Nationaal Dreigingsbeeld 20172. Cijfers over inbeslagnames laten zien dat door het HARC team Rotterdam, een samenwerkingsverband van Zeehavenpolitie, Douane, FIOD en Openbaar Ministerie, met betrekking tot 2016 de inbeslagneming van 13.312 kg cocaïne is geregistreerd.

Vraag 5

Bent u het eens met het voornemen van de burgermeester van Rotterdam, om te kijken of de camera’s gekoppeld kunnen worden aan de meldkamer van de politie? Zo ja, heeft dit personele implicaties?

De beelden van de huidige camera’s in de haven van Rotterdam kunnen al worden doorgezet naar de meldkamer van de politie. Dat gebeurt indien daar aanleiding voor is, bijvoorbeeld bij incidenten of ten behoeve van de opsporing van strafbare feiten. De extra camera’s die in de haven zullen worden geplaatst kunnen op dezelfde wijze worden gekoppeld. De extra camera’s worden – zoals nu ook het geval is – niet «live» uitgekeken en dit heeft dan ook geen verdere personele implicaties.

Vraag 6

Functioneert inmiddels de «Haventafel», waarover eerder gesproken is, om de problematiek omtrent de drugsinvoer in de Rotterdamse haven te bespreken?2

De eerste bijeenkomst van de Haventafel heeft plaatsgevonden op 5 september jongstleden. Daarbij zijn goede afspraken gemaakt over de inrichting van dit publiek-private overlegmodel.

Vraag 1

Kent u het artikel «Fox IT houdt zeggenschap staat af»?1

Ja.

Vraag 2

Is het waar dat de Nederlandse overheid (mede)zeggenschap wenste over besluiten en benoemingen bij Fox Crypto, over enig besluit tot fusie, afsplitsing of ontbinding van Fox Crypto, over de zekerheid dat het ICT-systeem van Fox Crypto wordt afgescheiden van de rest van Fox IT/NCC en voorts de zekerheid dat alle lopende en nieuwe overheidsopdrachten ondergebracht worden bij Fox Crypto? Zo ja, kunt u concreet aangeven in hoeverre deze eisen inmiddels in afspraken zijn verwerkt?

Ja. Aan het verzoek om de ICT-systemen van Fox Crypto B.V. te scheiden van die van andere delen van het moederbedrijf en het onderbrengen van de lopende en nieuwe relevante overheidsopdrachten bij Fox Crypto B.V. is voldaan. De voorwaarden met betrekking tot zeggenschap en eigendom zijn nog onderwerp van nadere bespreking met Fox-IT.

Vraag 3

Klopt het dat de overheid niet langer inzet op een eerste recht op koop van aandelen in geval Fox Crypto c.q. Fox IT verkocht wordt door NCC Group? Zo ja, waarom heeft u de eis betreffende het eerste recht op koop laten vallen?

Ja, dat klopt. Het afzien van het eerste recht van koop heeft geen consequenties voor de cryptografische bescherming van staatsgeheime informatie. Er bleken doeltreffender middelen te zijn om eventueel maatregelen te nemen bij een ongewenste overname. Zo heeft het kabinet besloten tot de voorbereiding van wetgeving ter bescherming van nationale veiligheidsbelangen bij buitenlandse overnames van bedrijven die zich bezighouden met de (cryptografische) bescherming van staatsgeheime informatie, zoals Fox-IT. Dit traject bevindt zich in de verkennende fase.

Vraag 4

Is met Fox IT/NCC afgesproken dat de overheid c.q. de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) geïnformeerd wordt wanneer technologie, kennis en/of ervaring binnen Fox IT naar het Verenigd Koninkrijk wordt overgebracht?

Ja. In aanvulling hierop merk ik op dat dit reeds voortvloeit uit de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO), waarin staat dat gerubriceerde informatie niet aan anderen dan daartoe gerechtigden beschikbar mag worden gesteld. Fox Crypto B.V. voldoet aan de ABDO.

Vraag 5

Hoe verklaart u het feit dat bijna twee jaar na de overname van Fox IT door NCC nog geen sluitende afspraken over de bescherming van staatsgeheimen zijn gemaakt? Hoe beoordeelt u in dat licht de betrokkenheid van de Nederlandse regering bij de afspraken over de overname in 2015? Kunt u aangeven in hoeverre de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en MIVD destijds betrokken zijn geweest bij het beschermen van Nederlandse veiligheidsbelangen rondom het overnamebesluit?

Na de overname van Fox IT door het Britse NCC Group heeft de MIVD aan Fox IT aanvullende voorwaarden gesteld in het kader van de ABDO. Alle partijen hebben baat bij een zorgvuldige uitwerking van deze voorwaarden. De gesprekken hierover tussen Defensie en Fox IT verlopen constructief en bevinden zich in een afrondende fase.
Van het ontbreken van sluitende afspraken over de bescherming van staatsgeheimen is geen sprake. In het geval van Fox-IT is het bedrijfsonderdeel waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, een in Nederland ingeschreven B.V. Voor zowel personen, materieel, informatie als de fysieke locatie zijn onverkort Nederlandse wetgeving en contractuele eisen van kracht op het gebied van de bescherming van staatsgeheimen. Ook hier geldt dat de Staat toezicht houdt op de naleving van deze wettelijke en contractuele beveiligingseisen. Zo moeten bedrijven, die in opdracht van Defensie omgaan met bijzondere informatie, voldoen aan de ABDO. Fox Crypto B.V. voldoet aan de ABDO. In de nieuwe ABDO 2017 zijn de beveiligingseisen aangepast aan de huidige dreigingen. Hierbij krijgt het hoofdstuk Cyber prominent aandacht.
Over (eventuele) specifieke aandachtsgebieden van de AIVD en MIVD kan ik slechts uitspraken doen via de daartoe geëigende kanalen.

Vraag 6

Kunt u aangeven in hoeverre Fox IT dan wel Fox Crypto ook informatie beveiligt van ministeries die betrokken zijn bij de Brexit-onderhandelingen?

Nee. Om veiligheidsredenen ga ik niet in op specifieke vragen over de beveiliging van staatsgeheimen.

Vraag 7

Heeft u alternatieve aanbieders in kaart gebracht indien de gesprekken met Fox IT niet tot een gewenste uitkomst leiden?

Zoals gesteld (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 1349) in antwoord op schriftelijke vragen van het lid Verhoeven (D66), zijn er in Nederland maar in beperkte mate alternatieve aanbieders beschikbaar voor de ontwikkeling van producten voor de cryptografische bescherming van staatsgeheime informatie.

Vraag 1

Kent u het bericht «Fox-IT houdt zeggenschap staat af»?1

Ja

Vraag 2

Klopt het dat de onderhandelingen met Fox-IT over de zeggenschap nog steeds niet zijn afgerond? Zo ja, waardoor komt dit?

Na de overname van Fox IT door het Britse NCC Group heeft de MIVD aan Fox IT aanvullende voorwaarden gesteld in het kader van de ABDO. Alle partijen hebben baat bij een zorgvuldige uitwerking van deze voorwaarden, waaronder de voorwaarden over zeggenschap en eigendom. De gesprekken hierover tussen Defensie en Fox IT verlopen constructief en bevinden zich in een afrondende fase. Van een plan B is daarom geen sprake.

Vraag 3

Klopt het dat Fox-IT en de Britse eigenaar NCC Group bezwaar hebben tegen het in de statuten opnemen van de vereisten dat de verkoop van het bedrijfsonderdeel en/of de benoeming van nieuwe bestuurders alleen na instemming van het Ministerie van Defensie zou mogen geschieden? Zo ja, waarom hebben Fox-IT en de NCC Group hier bezwaar tegen?

Zie antwoord vraag 2.

Vraag 4

Klopt het dat de overheid de eis, om bij eventuele verkoop van het bedrijfsonderdeel van Fox-IT waar de staatsgeheimen worden bewaard, als eerste de aandelen te mogen kopen heeft laten varen? Zo ja, waarom worden deze eisen nu niet meer gesteld? Wat zijn de mogelijke consequenties voor de veiligheid van Nederlandse staatsgeheimen wanneer niet aan deze eis voldaan wordt?

Ja, dat klopt. Het afzien van het eerste recht van koop heeft geen consequenties voor de cryptografische bescherming van staatsgeheime informatie. Er bleken doeltreffender middelen te zijn om eventueel maatregelen te nemen bij een ongewenste overname. Zo heeft het kabinet besloten tot de voorbereiding van wetgeving ter bescherming van nationale veiligheidsbelangen bij buitenlandse overnames van bedrijven die zich bezighouden met de (cryptografische) bescherming van staatsgeheime informatie, zoals Fox-IT (Kamerstuk 30 821, nr. 38). Dit traject bevindt zich in de verkennende fase.

Vraag 5

Hoe wordt gewaarborgd dat de randvoorwaarden die van te voren zijn opgesteld om de staatsgeheimen op een veilige manier bij Fox-IT onder te brengen worden nagekomen?

In het geval van Fox-IT is het bedrijfsonderdeel waarbinnen beveiligingsproducten voor staatsgeheime informatie worden ontwikkeld, een in Nederland ingeschreven B.V. Voor zowel personen, materieel, informatie als de fysieke locatie is onverkort Nederlandse wetgeving en contractuele eisen op het gebied van bescherming van staatsgeheimen van kracht. De Staat houdt toezicht op de naleving van deze wettelijke en contractuele beveiligingseisen.
Bedrijven die in opdracht van Defensie omgaan met bijzondere informatie, moeten voldoen aan de Algemene Beveiligingseisen voor Defensieopdrachten (ABDO). Fox Crypto B.V. voldoet aan de ABDO. In de nieuwe ABDO 2017 zijn de beveiligingseisen aangepast aan de huidige dreigingen. Hierbij krijgt het hoofdstuk Cyber prominent aandacht.

Vraag 6

Welke mogelijke consequenties zijn er wanneer u met Fox-IT niet uit de onderhandelingen komt? Ligt er een plan B klaar voor dit geval? Zo ja, wat is dit plan B? Zo nee, waarom niet?

Zie antwoord vraag 2.

Vraag 7

Zijn er meer van dit soort situaties waarbij de Nederlandse overheid problemen ondervindt met buitenlandse overnames van bedrijven die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt? Zo ja, welke situaties betreft dit?

Vraag 8

Hoe wordt voorkomen dat er in de toekomst opnieuw problemen ontstaan in de samenwerking met bedrijven in sectoren die als vitaal voor de Nederlandse infrastructuur zijn aangemerkt? Kunt u daarbij ingaan op de conclusies van onderzoekers van de Radboud Universiteit in Nijmegen in het rapport «Vitale Vennootschappen in Veilige Handen»?

Vraag 9

Hoe zijn de belangen van de samenleving in dit proces gewaarborgd door een onafhankelijke toetsing? Ziet u hier een rol weggelegd voor de commissie Toezicht Inlichtingen en Veiligheid? Zo nee, waarom niet?

Vraag 1

Kent u het bericht «Reclameborden op A'dam CS weten wanneer en hoelang jij kijkt»?1

Ja.

Vraag 2

Hoeveel slimme reclameborden gebruiken Exterion en eventuele andere exploitanten in Nederland?

NS heeft aangegeven dat er op 21 september 2017 74 van dit type reclameborden op treinstations stonden. Het is op voorhand niet zeker of er sprake is van verwerking van persoonsgegevens, omdat niet duidelijk is of de camera's identificeerbare beelden verwerken. Alle exploitanten dienen zich, wanneer zij persoonsgegevens verwerken, te houden aan de hiervoor geldende wet- en regelgeving. Wanneer een exploitant zich hier niet aan houdt, kan dit een reden zijn voor de Autoriteit Persoonsgegevens om vragen te stellen, onderzoek te doen en eventueel een sanctie op te leggen. De Autoriteit Persoonsgegevens heeft aangekondigd informatie in te winnen en, indien hier aanleiding voor is, maatregelen te nemen. Alle borden vallen binnen de bevoegdheid van de Autoriteit Persoonsgegevens.
Het is ons niet bekend hoeveel van de in het bericht bedoelde type reclameborden worden gebruikt door Exterion en eventuele andere exploitanten in Nederland, noch welke data en technieken hiervoor worden gebruikt. Naar aanleiding van de maatschappelijke onrust heeft Exterion overigens bekend gemaakt dat de camera's voorlopig zijn uitgeschakeld.2

Vraag 3

Welke data verzamelen de slimme reclameborden van Exterion op Amsterdam Centraal en welke technieken worden hiervoor gebruikt?

Zie antwoord vraag 2.

Vraag 4

Kunnen mensen voorkomen dat hun beeltenis gekoppeld wordt aan andere gegevens die door apparaten worden uitgezonden? Zo ja, hoe?

Wij hebben geen aanwijzing dat er gegevens die door apparaten worden uitgezonden, worden gekoppeld aan de beeltenis van mensen.

Vraag 5

In welke mate gebruiken staatsdeelnemingen en andere bedrijven digitale volgsystemen en welke data wordt hiermee verzameld? Deelt u de mening dat bedrijven dit alleen zouden moeten kunnen doen als zij hiervoor uitdrukkelijk toestemming hebben van burgers via een «opt-in» van gebruikers?

Staatsdeelnemingen verschillen in hun rechtspositie onder de Wbp niet wezenlijk van andere bedrijven. Het is in zijn algemeenheid niet mogelijk om een overzicht te geven van bedrijven die data verzamelen, noch van de technieken waarmee data worden verzameld. Dit is immers geen limitatieve verzameling van bedrijven en technieken. Staatsdeelnemingen en andere bedrijven dienen in al hun handelen, en daarmee ook in de verwerking van persoonsgegevens, binnen de grenzen van de wet te blijven. Verwerking van persoonsgegevens is alleen toegestaan wanneer dit rechtmatig geschiedt voor een welbepaald doel en proportioneel is. Toestemming of «opt-in» is hiervoor één van de grondslagen, maar niet de enige. De verwerking van persoonsgegevens kan bijvoorbeeld ook noodzakelijk zijn voor de uitvoering van een overeenkomst, voor het vervullen van een wettelijke plicht, of in het gerechtvaardigd belang van de verwerkingsverantwoordelijke zijn. De Wbp bepaalt voor alle verwerkingsverantwoordelijken wanneer een nieuwe verwerking van persoonsgegevens moet worden gemeld. In beginsel wordt een nieuwe geautomatiseerde verwerking gemeld, tenzij een verwerking is vrijgesteld. Overigens is het in casu niet duidelijk of er sprake is van verwerking van persoonsgegevens. Wij zien geen aanleiding om staatsdeelnemingen te verplichten advies te vragen aan de Autoriteit Persoonsgegevens in andere gevallen dan in de wet is voorgeschreven.

Vraag 6

Kunt u een overzicht geven van bedrijven die data verzamelen en technieken waarmee zij data verzamelen? Zo nee, bent u bereid hier onderzoek naar te doen en dit onderzoek met de Kamer te delen?

Zie antwoord vraag 5.

Vraag 7

In hoeverre bespreekt u de exploitatie van de ruimte op stations met de NS en Prorail om ervoor te zorgen dat die exploitatie binnen de kaders van de wet plaatsvindt?

NS exploiteert de stations in Nederland. Voor een groot deel vindt de exploitatie plaats door derden. Alle exploitanten hebben zelfstandig de verplichting om voor wat betreft hun exploitatie zich te houden aan wet- en regelgeving. NS geeft aan dat zij ook in haar contracten met derden vastlegt dat deze zich dienen te houden aan wet- en regelgeving.
Het Ministerie van Infrastructuur en Milieu heeft regelmatig overleg met NS en Prorail, ook specifiek over stations. De voorliggende vragen over reclameborden zijn in het overleg niet naar voren gekomen, omdat NS geen aanleiding had te denken dat het wellicht niet binnen de kaders van de wet zou plaatsvinden.

Vraag 8

Kunt u aangeven waarom de NS zelf niet onderzoekt of de exploitatie van deze borden binnen de grenzen van de Wet bescherming persoonsgegevens (Wbp) plaatsvindt?

De exploitant Exterion is zelfstandig verantwoordelijk dat de exploitatie binnen de grenzen van de Wbp plaatsvindt. Dit geldt ook voor eventuele verwerking van persoonsgegevens met behulp van de cameratoepassing in de borden en exploitant zal daarom in dat kader zelf een afweging moeten maken. In april 2017 heeft NS naar aanleiding van een vraag van een journalist bij de exploitant van de borden, Exterion, navraag gedaan over de werking van de borden. Daarbij heeft Exterion expliciet aangeven dat met de gebruikte techniek geen beelden worden vastgelegd of persoonsgegevens worden verwerkt en dat zij voldoen aan wet- en regelgeving. Op basis van de verklaring van Exterion was er voor NS geen aanleiding om te veronderstellen dat Exterion mogelijk niet in overeenstemming met privacy wet- en regelgeving zou handelen.

Vraag 9

Vragen staatsdeelnemingen advies aan organisaties als de Autoriteit Persoonsgegevens over innovaties die mogelijk de Wbp of andere wetgeving overtreden? Zo nee, kunt u aangeven waarom dit niet gebeurt en bent u bereid hen hier opdracht toe te geven?

Zie antwoord vraag 5.

Vraag 10

Voorziet u problemen met de opkomst van dergelijke apparatuur enerzijds en de verwachte toename van het aantal apparaten met netwerktoegang door het zogenaamde «internet of things»?

De opkomst van deze apparaten en het «internet of things» hangt nauw samen met keuzes van consumenten. Wanneer in dit kader verwerking van persoonsgegevens plaatsvindt, zal dit, net als in andere situaties, wel binnen de grenzen van de wet moeten blijven. Transparantie over het gebruik van deze apparatuur is ons inziens van groot belang om consumenten in staat te stellen bewust om te gaan met het beschermen van hun privacy en te voorkomen dat hierover maatschappelijke onrust ontstaat.