Vraag 1

Bent u bekend met het Volkskrant-bericht «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (d.d. 5 maart 2026)?1

Ja.

Vraag 2

Hoe beoordeelt u de conclusie van experts dat de risico’s die overheden lopen door het gebruik van de nieuwe clouddienst van Amazon worden onderschat?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn. Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:

Vraag 3

Bent u voornemens gebruik te maken van de nieuwe clouddienst van Amazon? Waarom wel of niet?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak. Vanuit deze inzet zullen ook nieuwe ontwikkelingen op de cloudmarkt overwogen worden.

Vraag 4

Bent u bekend met de aangenomen motie van het lid Dassen (Kamerstuk 36 800, nr. 61) over het volledig overstappen op Europese, op open standaarden gebaseerde digitale alternatieven voor de digitale infrastructuur?2

Ja.

Vraag 5

Hoe verhoudt het publiceren, en naar aanleiding van deskundige kritiek weer verwijderen, van dit rapport zich tot de aangenomen motie van het lid Dassen en de brede wens van de Kamer om grootschalig over te stappen naar Europese alternatieven?

Er is geen verband tussen de lopende uitvoering van de motie Dassen en het tijdelijk terugnemen van de publicatie van het rapport. De motie richt zich op het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven, terwijl het tijdelijk terugnemen van de publicatie van het rapport te maken heeft met onduidelijkheden in de interpretatie. Het begeleidende bericht is verduidelijkt en daarna opnieuw geplaatst. De inhoud van het rapport is geheel ongewijzigd.

Vraag 6

Welke alternatieven zijn er al reeds om invulling te geven aan deze motie en hoe snel kunnen deze worden geïmplementeerd?

De motie roept op tot het ontwikkelen van een routekaart voor het overstappen op Europese, open standaarden gebaseerde digitale alternatieven. Deze is in ontwikkeling en zal uiterlijk in het laatste kwartaal van dit jaar aan de Kamer voorgelegd worden.

Vraag 7

Hoe zou het eventueel aanschaffen van diensten van de nieuwe clouddienst van Amazon staan in relatie tot het coalitieakkoord, waarin staat dat het inkoopbeleid van de overheid gebruikt zal worden voor het aanjagen van Nederlandse en Europese ICT-industrie?

Zoals aangegeven in het coalitieakkoord is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Erkent u het risico voor onze digitale soevereiniteit als wij niet versneld overstappen op Europese alternatieven voor onze digitale infrastructuur? Waarom wel of niet?

Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal buitenlandse spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. In algemene zin is de inzet van het kabinet erop gericht om het Europese aanbod van clouddiensten te vergroten en eenzijdige afhankelijkheden van partijen met een marktmacht en partijen uit derde landen af te bouwen.
Hier ziet het kabinet op in met verschillende beleidsinstrumenten zoals wetgeving (Dataverordening en de Digitalemarktenverordening) en innovatiebevordering (o.a. middels het IPCEI CIS). Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen in het digitale domein te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 9

Kunt u deze vragen binnen een week en afzonderlijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht: «Onderzoek naar Amerikaanse cloud-risico’s door Ministerie van overheidswebsite verwijderd» (De Volkskrant, 5 maart 2026)?

Ja.

Vraag 2

Kunt u verklaren waarom het onderzoek naar de risico’s van de Amazon «European Sovereign Cloud» tijdelijk offline is gehaald?1

Vanwege onduidelijkheden in de interpretatie is de publicatie tijdelijk teruggenomen voor verduidelijking in het begeleidende bericht en daarna opnieuw geplaatst; de inhoud van het rapport is geheel ongewijzigd.

Vraag 3

Wat is uw reactie op het rapport?

Het onderzoeksrapport dat SLM heeft laten opstellen door het advocatenkantoor Greenberg Traurig bevat een objectieve juridische beoordeling van de AWS ESC ten aanzien van de soevereiniteit op data en soevereiniteit op de beschikbaarheid van het systeem.
Het onderzoek heeft samengevat de volgende bevindingen opgeleverd:
De conclusie van Greenberg Traurig dat de AWS European Sovereign Cloud compatibel kan zijn met de visie digitale autonomie en soevereiniteit, heeft alleen betrekking op een deel van de eisen ten aanzien van Nederlandse of Europese jurisdictie, maar niet op de overige autonomie doelstellingen van de Visie.

Vraag 4

Wat is het doel geweest van het onderzoek van GreenbergTraurig? Wat wordt er gedaan met de uitkomsten?

Binnen de scope en mandaat van SLM Microsoft, Google Cloud en AWS valt het onderzoeken van het aanbod van de genoemde partijen. Zo voert SLM onder meer Data Protection Impact Assessments (DPIA’s) uit op diensten van deze partijen.
Gezien het beschikbaar zijn van de AWS European Sovereign Cloud (AWS ESC) per 15–01 jl. is dit aanbod in opdracht van SLM onderzocht.
Het onderzoeksrapport dat SLM heeft laten opstellen door het advocatenkantoor Greenberg Traurig bevat een objectieve juridische beoordeling van de AWS ESC ten aanzien van de soevereiniteit op data en soevereiniteit op de beschikbaarheid van het systeem.
Een belangrijke disclaimer is dat dit geen technisch onderzoek is naar de doeltreffendheid van technische en/of organisatorische maatregelen van AWS. Ook betreft dit geen beleidsadvies of een compliance-beoordeling.

Vraag 5

Hoe reageert u op de kritiek dat het rapport eenzijdig is geschreven? Ziet u aanleiding om de risico’s nader te onderzoeken?

Het rapport beoogt een objectieve juridische beoordeling te geven van de juridische onderzoeksvragen die in het rapport geformuleerd zijn.
Momenteel is er geen aanleiding om de risico’s nader te onderzoeken. Nu wordt prioriteit gegeven aan onderzoek en contractering van EU leveranciers (momenteel STACKITt, ESET en OVH).

Vraag 6

Hoe leest u de conclusies van het rapport, waaruit blijkt dat de Amerikaanse overheid via de Amazon «European Sovereign Cloud» nog steeds toegang kan krijgen tot Nederlandse data?

Zie beantwoording vraag 3.

Vraag 7

Kunt u bevestigen dat het afnemen van de Amazon «European Sovereign Cloud» en soortgelijke initiatieven van Amerikaanse techgiganten niet bijdraagt aan het digitaal autonoom maken van Nederland? Wordt het afbouwen van het gebruik hiervan onderdeel van het kabinetsbeleid?

Zie antwoord op vraag 3 (voor eerste deelvraag).
Het kabinetsbeleid is er, middels de Nederlandse Digitalisering Strategie (NDS), op gericht een soevereine overheidscloud te realiseren, waar mogelijk en passend in samenwerking met de Nederlandse of Europese IT industrie.
In algemene zin is de inzet van het kabinet erop gericht om eenzijdige afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 8

Hebben ministeries, uitvoeringsorganisaties, zbo’s of andere overheidsdiensten reeds plannen om gebruik te maken van de Amazon «European Sovereign Cloud» of soortgelijke initiatieven? Zo ja, kunt u een overzicht geven van organisaties die van plan zijn om de dienst af te nemen of dit al hebben gedaan?

Overheidsorganisaties zijn verantwoordelijk voor hun eigen gebruik van clouddiensten. Op dit moment is mij niet bekend of er overheidsorganisaties voornemens zijn deze clouddienst te gaan gebruiken.

Vraag 9

Zijn er nog andere risicoanalyses of onderzoeken uitgevoerd naar de gevolgen voor de digitale autonomie bij het afnemen van de Amazon «Sovereign European Cloud» of soortgelijke initiatieven? Zo ja, kunt u deze aan de Kamer doen toekomen?

In samenwerking met een werkgroep van het CIO Platform Nederland, waaraan ook een aantal overheid CIO’s deelnemen, is er een inventarisatie gedaan naar een aantal cloud diensten die als «soevereine cloud» worden aangeboden.
Deze inventarisatie is nog niet afgerond en indien een rapport wordt opgesteld, kan het gedeeld worden met de Tweede Kamer.

Vraag 10

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht «Pedobots gewoon te vinden op internet en dat mag volgens de wet: Anya (7) is vastgebonden en huilt»?1

Ja.

Vraag 2

Deelt u de mening dat dergelijke AI-toepassingen net als kindersekspoppen bijdragen aan de normalisering van seksueel misbruik van minderjarigen, ook wanneer er geen fysiek kind bij betrokken is?

Wij zijn met zijn allen verantwoordelijk voor de bescherming van onze kinderen en moeten elke subcultuur die seksueel misbruik van kinderen normaliseert, bestrijden. Seksueel misbruik van kinderen is onacceptabel en heeft ernstige gevolgen voor de slachtoffers en hun omgeving. Elk slachtoffer van (online) seksueel kindermisbruik is er één te veel. De AI-ontwikkelingen die op dit moment gaande zijn op dit vlak, en de berichten die hierover naar buiten komen, baren mij zorgen. Dit soort ontwikkelingen zijn zeer onwenselijk.

Vraag 3

Deelt u de mening dat gedragingen die in de fysieke wereld strafbaar zijn, ook online niet moeten worden getolereerd, ook wanneer het gaat om nabootsing door middel van AI?

Die mening deel ik. Uitgangspunt van de Wet seksuele misdrijven (hierna: WSM) is dat wat offline strafbaar is, ook online strafbaar is. Het voeren van seksgesprekken met of het aanbieden van AI-seksbots van kinderen keur ik af;iedere poging tot normalisering van seksueel misbruik van kinderen is zeer onwenselijk.
Het enkel voeren van seksgesprekken met een AI-chatbot die zich voordoet als een kind is op dit moment niet als zodanig strafbaar. Datzelfde geldt voor het vervaardigen van een AI-chatbot die zich kan voordoen als een kind.
Dat betekent overigens niet dat gebruikers van zo’n chatbot vrij spel hebben: bepaalde aspecten van het bevragen van of praten met een AI-chatbot zijn mogelijk wel strafbaar, bijvoorbeeld het uitvragen van tips voor seksueel misbruik van kinderen, ex artikel 250a Wetboek van Strafrecht en het via zo’n AI-chatbot uitvragen van/creëren van kinderporno, ex artikel 252 van het Wetboek van Strafrecht.
De strafzaak waarnaar wordt verwezen in het door u aangehaalde artikel van het Algemeen Dagblad is een voorbeeld waarin wel sprake was van een strafbare situatie. Hoewel een en ander altijd afhankelijk is van de omstandigheden van het geval overwoog de rechtbank dat sprake was van voorbereidingshandelingen van seksueel kindermisbruik. In de gesprekken die de verdachte met de AI-chatbot voerde werd niet alleen gesproken, of «gefantaseerd», over misbruik, maar werd hoofdzakelijk informatie vergaard over een methode voor het groomen van het neefje van de verdachte om de voorwaarden te scheppen waarin dat misbruik zou kunnen plaatsvinden. De rechtbank oordeelde dat het chatgesprek daarmee, in samenhang met de geschetste context, een duidelijk instructieve inslag had.2

Vraag 4

In hoeverre biedt het huidige strafrecht voldoende mogelijkheden om op te treden tegen het ontwikkelen van dergelijke bots, het verspreiden ervan en het gebruiken van dergelijks bots met een seksueel oogmerk?

Het ontwikkelen, verspreiden en gebruiken van dergelijke bots is niet strafbaar gesteld. Bepaalde aspecten van het bevragen van/praten met een dergelijke bot zijn mogelijk wel strafbaar, bijvoorbeeld het uitvragen van tips voor seksueel misbruik van kinderen, ex artikel 250a Wetboek van Strafrecht, en het via zo’n AI-chatbot uitvragen van/creëren van kinderporno, ex artikel 252 Wetboek van strafrecht.

Vraag 5

Bent u bereid om het Wetboek van Strafrecht aan te passen zodat ook het creëren, aanbieden of gebruiken van seksueel expliciete AI-personages die minderjarigen voorstellen strafbaar wordt gesteld?

Als beantwoord in de vragen 3 en 4 kunnen bepaalde aspecten van het gebruiken van dit soort bots strafbaar zijn, daarmee zijn er dus nu al instrumenten om dit gedrag aan te pakken. Ik heb daarom op dit moment niet het voornemen om het creëren, aanbieden of gebruiken van deze bots apart strafbaar te stellen.

Vraag 1

Bent u bekend met het bericht «Hackers hadden vijf maanden toegang tot gegevens DJI-medewerkers»?1

Ja.

Vraag 2

Deelt u de mening dat met spoed onderzocht moet worden tot welke gegevens de hackers toegang hebben/hadden?

Ja, deze mening deel ik en dit onderzoek wordt momenteel uitgevoerd.
Het Nationaal Cyber Security Centrum (NCSC) is op 29 januari jl. door Ivanti op de hoogte gesteld van kwetsbaarheden in Ivanti Endpoint Manager Mobile (EPMM) en doet technisch onderzoek2. Ivanti EPMM is een softwareplatform dat door verschillende organisaties wordt gebruikt om mobiele apparaten centraal te beheren en te beveiligen. Uw Kamer is op 27 februari 2026 geïnformeerd omtrent de organisaties die door de kwetsbaarheid in Ivanti EPMM zijn getroffen.3 De Justitiële ICT Organisatie (JIO), de IT-leverancier van de Dienst Justitiële Inrichtingen (DJI), heeft een extern expertisebureau de opdracht gegeven technisch/forensisch onderzoek uit te voeren. Waar nodig doen zij dit met specialistische adviespartijen.
De uitkomsten van de onderzoeken zijn nog niet bekend. Indien sprake is van relevante ontwikkelingen zal de Kamer worden geïnformeerd.

Vraag 3

Hoe kan het dan zo zijn dat de u aangeeft dat het geen reden is om aan te nemen dat medewerkers onveilig zouden zijn, terwijl ook voormalig gevangenisdirecteur Klaas Brandsma aangeeft dat medewerkers van Dienst Justitiële Inrichtingen (DJI) lopen extra risico op chantage en afpersing?

De informatie waar toegang tot is verkregen betreft persoonsgegevens van medewerkers zoals namen, emailadressen, telefoonnummers en locatiegegevens. In algemene zin geldt dat de aard van de werkzaamheden van DJI maakt dat medewerkers mogelijk een aanvullend risico lopen op chantage en afpersing indien dergelijke gegevens bij derden bekend raken. Vanwege dit risico vind ik het dan ook erg belangrijk dat waar nodig veiligheidsmaatregelen zijn getroffen. Dit alles heeft uiteraard impact op de medewerkers van DJI. DJI houdt samen met JIO alsmede met partners uit de keten nauwlettend in de gaten welke eventuele gevolgen de onbevoegde toegang heeft voor de DJI-medewerkers. Daaruit volgt dat er op dit moment geen signalen zijn dat er sprake is van eventuele gevolgen voor de veiligheid van de DJI medewerkers.
Op basis van de voorlopige uitkomsten van het forensisch onderzoek heeft het NCSC een handelingsperspectief opgesteld dat op 16 februari 2026 is gedeeld met DJI. DJI heeft hierop in samenwerking met JIO en NCSC direct maatregelen getroffen die zowel zien op de techniek als op de monitoring van (cyber)dreigingen. Daarover communiceert DJI periodiek naar alle medewerkers. Daarnaast heeft DJI de medewerkers voorzien van een handelingskader, waaronder een oproep tot extra alertheid en instructies hoe om te gaan locatiegegevens.

Vraag 4

Zijn DJI-medewerkers van de Extra Beveiligde Inrichting (EBI) ook getroffen?

Zoals in de beantwoording van vraag één is aangegeven, wordt er momenteel onderzoek gedaan naar de precieze omvang van de daadwerkelijke onbevoegde toegang tot devices die draaien op Ivanti. Vanuit het oogpunt van de veiligheid van de medewerkers kan ik niet verder ingaan op welke medewerkers dit onderzoek ziet. Uit voorzorg heeft DJI breed alle medewerkers van een handelingskader voorzien.

Vraag 5

Bent u van mening dat het datalek mogelijk invloed kan hebben op behoud van het huidige personeel en de aanwerving van nieuw personeel? Welke maatregelen gaat u nemen om het getroffen personeel tegemoet te komen?

Ik ben me zeer bewust van welke impact deze situatie kan hebben op de medewerkers van DJI. De effecten hiervan op de werving van nieuw personeel zijn onvoorspelbaar. Dergelijke onbevoegd toegang tot systemen heeft impact op medewerkers, met name op hen die al werkzaam zijn voor DJI. Het kan tot vragen leiden over het uitvoeren van de werkzaamheden en mogelijk ook tot gevoelens van onzekerheid, met name over de veiligheid. Daarom is het van belang dat er maatregelen zijn genomen zoals het periodiek informeren van de medewerkers. Ten aanzien van de maatregelen verwijs ik u naar de beantwoording bij vraag drie.

Vraag 6

Welke extra maatregelen gaat u nemen om dergelijke scenario’s in de toekomst te voorkomen?

De eerste prioriteit ligt bij de veiligheid van de medewerkers en het afronden van het onderzoek. Nadat het onderzoek is afgerond zal een evaluatie en oorzakenanalyse plaatsvinden om te komen tot potentiële verbeteringen.
Ik kan niet vooruitlopen op de uitkomsten van de onderzoeken die op dit moment lopen. Zoals bij de beantwoording van vraag drie is aangegeven houdt DJI samen met partners uit de keten nauwlettend in de gaten welke eventuele gevolgen de onbevoegde toegang heeft voor de DJI medewerkers. Indien nodig worden aanvullende maatregelen getroffen.

Vraag 1

Bent u bekend met het bericht «Digitale autonomie en de uitbesteding applicatiediensten omzetbelasting door de Staat»1 en de desbetreffende aanbesteding van de Belastingdienst?2

Ja.

Vraag 2

Wat is uw reactie op het bericht en de aanbesteding?

Voor het antwoord op deze vraag verwijs ik u naar de Kamerbrief die u op 17 maart jl. over dit onderwerp heeft ontvangen.

Vraag 3

Op welke gronden is gekozen om (het beheer en het onderhoud van) de software van de omzetbelasting bij FAST Enterprises in te kopen, namelijk het softwarepakket «GenTax»?

Het systeem voor de omzetbelasting is sterk verouderd en dringend toe aan modernisering. Daarover is uw Kamer in de laatste jaren veelvuldig geïnformeerd. De Belastingdienst is in 2020 gestart met het traject om het verouderde omzetbelastingsysteem te moderniseren. In 2021 heeft de Belastingdienst een marktconsultatie gedaan, waaruit bleek dat er oplossingen in de markt beschikbaar zijn. In 2022 is na extern advies besloten om een aanbesteding te starten en een pakketoplossing uit de markt aan te schaffen in plaats van zelf een nieuw systeem te bouwen. Uit het advies bleek dat een oplossing uit de markt sneller en tegen lagere kosten zou kunnen worden gerealiseerd dan wanneer de Belastingdienst zelf een systeem zou bouwen.
In 2023 is de Belastingdienst een aanbestedingsprocedure (een concurrentiegerichte dialoog) gestart. Na het doorlopen van een zorgvuldige Europese aanbestedingsprocedure is de opdracht gegund aan het Amerikaanse bedrijf Fast Enterprises. Dit bedrijf scoorde het beste op de aangegeven criteria uit de vooraf via TenderNed openbaar gemaakte aanbestedingsstukken. Voorbeelden van criteria zijn: gebruiksvriendelijkheid, gegevensbeheer, informatiebeveiliging en datamigratie.

Vraag 4

Op welke manier is er, ten tijde van de aanbesteding, rekening gehouden met digitale autonomie als voorwaarde voor aanbestedingen van overheids-ICT? Zou u dit in de huidige politieke context anders beoordelen?

Het traject is gestart in een andere (geo)politieke context. Het versterken van de nationale digitale autonomie door het beperken van de afhankelijkheid van niet-Europese technologie speelde destijds een beperktere rol in de afwegingen. Er is bewust gezocht naar bewezen technologie en gekeken naar de ervaringen van andere Europese landen.
De aanbesteding is zorgvuldig doorlopen conform de Europese aanbestedingsregels. De gevolgde Europese aanbestedingsregels maken het niet mogelijk om niet-Europese landen uit te sluiten indien hier handelsverdragen mee zijn gesloten.
Tegelijkertijd ziet dit kabinet ook dat Nederland kwetsbaar is geworden door afhankelijkheid van een klein aantal buitenlandse (tech)spelers en kijkt daarom met veel aandacht naar de digitale, en open strategische, autonomie van Nederland. In Europees verband wordt daarom gesproken over het herzien van de aanbestedingswet- en regelgeving, en een eventueel EU-voorkeursprincipe bij aanbestedingen in specifieke sectoren.

Vraag 5

Indien de keuze voor FAST Enterprises de digitale autonomie niet bevordert, kunt u dan onderbouwen waarom dit alsnog de voorkeursoptie is?

In 2020 startte de Belastingdienst het traject voor de modernisering van het verouderde omzetbelastingsysteem. Een marktconsultatie in 2021 wees uit dat er geschikte pakketoplossingen beschikbaar waren in de markt. In 2022 is na een onderzoek uitgevoerd door McKinsey besloten om een aanbesteding te starten om een bewezen pakketoplossing voor de omzetbelasting aan te schaffen in plaats van zelf een nieuw systeem te bouwen.3 Uit het onderzoek bleek dat het aanschaffen van een systeem sneller te realiseren is dan zelf bouwen. Een tweede onafhankelijk onderzoek heeft dit beeld bevestigd.
De Belastingdienst heeft een zorgvuldige Europese aanbestedingsprocedure doorlopen in de vorm van een concurrentiegerichte dialoog. Het stond Nederlandse en Europese bedrijven uiteraard vrij om hieraan deel te nemen, dat hebben zij ook gedaan. Na het doorlopen van deze aanbestedingsprocedure is de opdracht gegund aan het Amerikaanse bedrijf, Fast Enterprises. Zoals ik reeds aangaf in het antwoord op vraag 3 scoorde dit bedrijf het beste op de van te voren aangegeven criteria in de aanbestedingsstukken. Daarnaast sluiten de gevolgde Europese aanbestedingsregels Amerikaanse bedrijven niet uit.

Vraag 6

Kunt u onderbouwen waarom er niet is gekozen om de software van de omzetbelasting intern te ontwikkelen en beheren of dit in te kopen bij een Nederland of Europees bedrijf?

Zie antwoord vraag 5.

Vraag 7

Hoe garandeert u dat de relatie met FAST Enterprises niet door de Verenigde Staten gebruikt zal worden als drukmiddel, in het licht van de Nationale Veiligheidsstrategie van de VS?3 Kunt u inzicht geven in alle maatregelen die zijn genomen om dit risico te voorkomen?

Ik kan u die garantie niet geven. Het volledig uitsluiten van dit risico is bij een afhankelijkheid van een externe leverancier niet mogelijk. Het kabinet is doorlopend met de Verenigde Staten in gesprek om dergelijke vergaande maatregelen te voorkomen.5 In een extreem geval, kan de leverancier onder statelijke druk gedwongen worden om te stoppen met het leveren van diensten. In de recente geschiedenis is dit alleen onder zeer specifieke sanctiewetgeving gebeurd. De risico’s rondom continuïteit in relatie tot de Amerikaanse leverancier dienen te worden afgewogen tegen de risico’s die samenhangen met het langer in stand houden van het huidige verouderde systeem waarover ik u in de oplegbrief heb geïnformeerd. Deze risico’s acht ik groter en reëler dan dat de relatie met de leverancier als drukmiddel wordt ingezet.
De Belastingdienst voert als onderdeel van het programma een risicoanalyse conform de IRAM (Information Risk Assessment Methodology) uit. Op basis daarvan worden maatregelen uitgewerkt en geïmplementeerd en vervolgens op hun effectiviteit getoetst. Gelijktijdig en als onderdeel van de risicoanalyse laat ik parallel onderzoeken op welke termijn en onder welke voorwaarden de Belastingdienst het beheer en onderhoud van de infrastructuur van het systeem kan overnemen van Fast Enterprises. Dit kan als een alternatieve route dienen in het geval uit de risicoanalyse blijkt dat de restrisico’s, na het treffen van de beheersmaatregelen, niet tot een aanvaardbaar niveau kunnen worden teruggebracht. Het zorgvuldig uitwerken van deze alternatieve route vergt tijd. Ik zal uw Kamer hierover informeren voor het zomerreces.
Ik zal hierbij ingaan op een aantal maatregelen die nader worden uitgewerkt. De Belastingdienst werkt met Fast aan de invulling van deze mitigerende maatregelen. Zo zal de leverancier gaan werken op locatie in Apeldoorn onder toezicht van medewerkers van de Belastingdienst die worden opgeleid om het systeem te beheren. Er wordt door de leverancier, eenmaal in productie, geen beheer op afstand vanuit de Verenigde Staten gevoerd. De Belastingdienst heeft de infrastructuur ingericht als een «onvertrouwde» omgeving binnen de infrastructuur van de Belastingdienst. De omgeving is gezoneerd en koppelingen of verbindingen met andere systemen worden gecontroleerd.
De Belastingdienst is in gesprek met de leverancier over het treffen van aanvullende beheersmaatregelen. Het gaat daarbij onder meer, maar niet uitsluitend, om te bewerkstelligen dat er wordt gewerkt met medewerkers die niet onder Amerikaanse jurisdictie vallen. Ook is de Belastingdienst in gesprek met de leverancier om de escrow-regeling die is opgenomen in de overeenkomst met Fast een ruimere toepassing te geven. Dit is een regeling die dient als waarborg op de continuïteit van de dienstverlening. Er wordt een kopie van de broncode en documentatie in bewaring gegeven bij een Nederlandse onafhankelijke derde partij. In geval van het niet nakomen van dienstverleningsafspraken wordt deze broncode en documentatie vrijgegeven. De Belastingdienst gaat een proces inrichten om te zorgen dat de Belastingdienstmedewerkers in dat geval over de benodigde expertise beschikken en werkzaamheden kunnen uitvoeren.

Vraag 8

Kan de Belastingdienst gedurende de looptijd van het contract wel of niet volledig zelfstandig en zonder bijdrage van FAST Enterprises: 1) reageren op incidenten in GenTax; 2) bugfixes doorvoeren in GenTax; en 3) GenTax aanpassen zodat het voldoet aan nieuwe regelgeving?

Nee, deze handelingen kan de Belastingdienst niet volledig zelfstandig uitvoeren. Dit onderwerp is wel onderdeel van de kritische blik op de beheersmaatregelen en de nadere uitwerking hiervan. Zoals hiervoor aangegeven is de Belastingdienst een proces aan het inrichten om te zorgen dat de Belastingdienstmedewerkers de benodigde expertise hebben om continuïteit te waarborgen ingeval van niet nakomen van dienstverleningsafspraken.

Vraag 9

Kunt u precies aangeven wat de werkzaamheden en de taken zijn van het projectteam van FAST Enterprises dat op Nederlandse bodem diensten zal leveren, zowel vóór als na de implementatie van GenTax?4

De implementatie betreft een integrale oplossing waarbij Fast het beheer gaat voeren op het totale systeem (software en infrastructuur). De infrastructuur staat in Apeldoorn, maar wordt beheerd door Fast (door middel van een housing-oplossing geleverd door de Belastingdienst). Zoals in de specificatie van de opdracht beschreven zal het projectteam van Fast, op Nederlandse bodem, werkzaamheden uitvoeren die samenhangen met de realisatie, configuratie en implementatie van GenTax. Dit gebeurt onder toezicht van Belastingdienstmedewerkers (vier-ogenprincipe). De Belastingdienst werkt met Fast aan wijze waarop hier invulling aan wordt gegeven.
Het projectteam van Fast ondersteunt daarnaast de voorbereiding en uitvoering van de migratie naar de nieuwe oplossing en begeleidt de organisatorische inbedding daarvan. Ook verzorgt Fast de opleidingsmaterialen die nodig zijn om medewerkers met het nieuwe systeem te laten werken.
Na de implementatie is Fast verantwoordelijk voor het onderhoud van de oplossing, waaronder het herstellen en verbeteren van functionaliteit en het doorvoeren van productupdates. Verder draagt het projectteam van Fast op dit moment zorg voor het technisch applicatiebeheer en de beschikbaarheid en werking van de oplossing op basis van de overeengekomen service levels. Fast biedt daarnaast ondersteuning bij vragen en verstoringen en blijft, waar nodig en binnen de functionele kaders van de oplossing, configuratiewijzigingen doorvoeren wanneer wet- en regelgeving verandert.
In geval van wijzigingen in wet- en regelgeving ondersteunt Fast bij de configuratie hiervan. Deze wijzigingen voert Fast niet zelfstandig uit. Hiervoor geldt het voortbrengingsproces waarbij Fast bij het configureren samenwerkt met de Belastingdienst. De configuratie van het systeem moet worden goedgekeurd door de Belastingdienst. Dat gebeurt via een proces van definities, verschillende testen, goedkeuren en acceptatie.
Verder werkt Fast doorlopend aan verbeteringen van het Gentax-pakket. Deze verbeteringen kunnen zowel betrekking hebben op de implementatie van nieuwe Europese wet- en regelgeving als functionele en technische verbeteringen van het Gentax-pakket zelf. Het doorvoeren van deze verbeteringen vindt plaats onder regie van de Belastingdienst.

Vraag 10

Valt FAST Enterprises volledig en uitsluitend onder Nederlandse en Europese jurisdictie? Zo niet, heeft u dan in kaart gebracht welke gevolgen deze aanbesteding heeft voor de digitale autonomie van Nederland?

Nee, Fast Enterprises is een Amerikaans bedrijf en valt daarmee onder Amerikaanse jurisdictie. Daarmee komen de gegevens waartoe de leverancier, na implementatie, toegang krijgt in potentie binnen reikwijdte van extraterritoriale wetgeving zoals de CLOUD Act en de FISA Amendments Act.
De Belastingdienst is met de leverancier in gesprek over de mogelijkheid dat zij een onafhankelijke Europese entiteit oprichten met de intentie om het contract met de Belastingdienst, dat valt onder Nederlands recht, daarheen te verhuizen. Dit wordt momenteel juridisch nader verkend.

Vraag 11

Welke analyses zijn uitgevoerd op het risico op spionage, dataweglek en het vergroten van de afhankelijkheid van de Verenigde Staten door deze keuze? Kunt u deze aan de Kamer doen toekomen (al dan niet vertrouwelijk), en de uitkomsten op hoofdlijnen delen?

De Belastingdienst voert als onderdeel van het programma een risicoanalyse conform de IRAM (Information Risk Assessment Methodology) uit. Dit is een internationaal erkende methodiek om informatierisico's systematisch in kaart te brengen en te beoordelen. Deze analyse is nog niet afgerond; op basis van de uitkomsten worden maatregelen uitgewerkt en geïmplementeerd, en vervolgens op hun effectiviteit getoetst. Het nieuwe systeem wordt niet in gebruik genomen voordat de beheersmaatregelen aantoonbaar effectief zijn ingericht.
Aangezien de IRAM nog wordt uitgevoerd, kan ik de uitkomsten op dit moment nog niet met uw Kamer delen. Zodra de analyse is afgerond, ben ik bereid de resultaten en de daaruit voortvloeiende maatregelen vertrouwelijk ter inzage aan uw Kamer aan te bieden.

Vraag 12

Kunt u alle relevante notities, adviezen, (risico)analyses en documenten, die betrokken zijn bij de keuze voor FAST Enterprises, in volledigheid met de Kamer delen?

Tijdens de regeling van werkzaamheden op 3 maart jl. heeft uw Kamer verzocht om alle relevante stukken en notities die de keuze onderbouwen te ontvangen. Dit verzoek heb ik ontvangen. Omdat ik het belangrijk vind uw Kamer voor het debat van 19 maart te informeren, is de zoekslag met prioriteit uitgevoerd. Daardoor kan ik uw Kamer documenten doen toekomen die bezien op de aanbesteding, advisering, informatievoorziening en besluitvorming vanuit verschillende fasen binnen de overstap naar een ander OB-systeem. De documenten zijn bijgevoegd bij de Kamerbrief over het systeem voor de omzetbelasting die u op 17 maart jl. heeft ontvangen.
Wanneer er nieuwe relevantie informatie naar boven komt, waarmee een nieuw licht wordt geschenen op de reeds gedeelde inlichtingen, wordt dit op korte termijn met u gedeeld.

Vraag 13

Onder welke voorwaarden is het in eigen beheer en onderhoud nemen van de applicatiediensten voor de omzetbelasting een haalbare oplossing? Welke aanvullende middelen of capaciteit is nodig om dit te realiseren?

De Belastingdienst heeft dit jaar op hoofdlijnen een aantal andere scenario’s verkend. Eén van deze scenario’s is dat de Belastingdienst het beheer van de infrastructuur overneemt (van housing naar hosting). Zoals aangegeven in het antwoord op vraag 7 en in de Kamerbrief die u heeft ontvangen laat ik de mogelijkheid tot het zelfstandig beheren van de infrastructuur gelijktijdig en als onderdeel van de risicoanalyse parallel onderzoeken en zal ik uw Kamer hier voor het zomerreces over informeren. Voor een besluit wordt genomen of een toezegging wordt gedaan voor een andere variant dan het continueren van de huidige koers geldt wel dat de impact in beeld moet worden gebracht en expliciet worden gewogen inclusief de daarbij behorende dekking.
In het geval dat er voor een andere koers wordt gekozen dan de huidige zullen de risico’s en gevolgen die samenhangen met het langer in stand houden van het huidige verouderde systeem toenemen. Dat betekent dat het gevolgen kan hebben voor de tijdige implementatie van Europese wet- en regelgeving zoals de ViDA. Als deze wetgeving niet tijdig wordt geïmplementeerd kan dit leiden tot ingebrekestellingen van de Europese Commissie en problemen voor het (Nederlandse) bedrijfsleven.

Vraag 14

Heeft de Belastingdienst een duidelijke sourcingstrategie voor het inkopen van ICT-diensten? Zo ja, kunt u deze met de Kamer delen?

Ja de Belastingdienst heeft een ICT-sourcingstrategie opgesteld. Deze strategie is erop gericht om een onderbouwde keuze te maken bij de aanschaf van software. De voorkeur is om bewezen standaardoplossingen uit de markt te gebruiken, zodat de Belastingdienst marktconform kan werken. Deze strategie is eerder in oktober 2024 met uw Kamer gedeeld.7
De Belastingdienst zal het sourcingbeleid herzien en waar nodig actualiseren. Daarbij zal rekening worden gehouden met recente (geo)politieke en technische ontwikkelingen.

Vraag 15

Welke mogelijkheden heeft u om alsnog van deze leverancier af te zien, gezien de veranderende politieke situatie en de uitgesproken wens van de Kamer om digitale afhankelijkheden af te bouwen?

Het is mogelijk om de overeenkomst (onder voorwaarden) met de leverancier te ontbinden. Ik zie dat niet als een reëel scenario. Voor de systemen van de omzetbelasting geldt dat de modernisering niet langer kan wachten. Dit systeem is inmiddels rond de veertig jaar oud, de kennis wordt schaarser, de risico’s op storingen en uitval groter en de mogelijkheid om nieuw beleid uit te voeren is zeer beperkt. De keuze voor deze oplossing is weloverwogen gemaakt. De Belastingdienst heeft de aanbestedingsprocedure zorgvuldig doorlopen en de gunning is in maart 2025 definitief verleend. Zoals aangegeven in de Kamerbrief die u heeft ontvangen en in mijn antwoord op vraag 7 zet ik het traject voort en laat ik parellel onderzoeken door de Belastingdienst of het beheer en onderhoud van de infrastructuur door de Belastingdienst kan worden overgenomen.

Vraag 16

Waarom is het McKinsey-rapport «Kopen of zelf bouwen?,» dat betrokken is geweest bij de keuze om de software van de omzetbelasting in te kopen, niet meer Openbaar?5 Kunt u het rapport opnieuw Openbaar maken?

Het rapport staat nog steeds online. De link uit het artikel is verouderd. Het is in te zien via: Open overheid.

Vraag 17

Welke ambities zijn er om het gebruik van GenTax uit te breiden naar andere middelen dan de omzetbelasting, aangezien in het McKinsey-rapport wordt gesteld dat uitbreiding een voordeel is van het inkopen van een extern pakket?

Op dit moment zijn er geen plannen om het gebruik van GenTax uit te breiden naar andere belastingmiddelen.

Vraag 18

Uit welk advies bleek dat ook het beheer en onderhoud van de applicatiediensten uitbesteed moest worden? Op welke momenten is de Kamer geïnformeerd dat beheer en onderhoud bij een niet-Europees bedrijf zou worden belegd?

Hierover is geen extern advies ingewonnen.
De Tweede Kamer is periodiek geïnformeerd over de voortgang van de aanbesteding. Tijdens het commissiedebat Belastingdienst in maart 2025 is aangegeven dat de gunning aan Fast Enterprises had plaatsgevonden. Aangezien het ongebruikelijk is om uw Kamer op dit detailniveau te informeren over aanbestedingen, bent u niet specifiek geïnformeerd over het uitbesteden van het beheer en onderhoud van applicatiediensten.

Vraag 19

Zijn de waarschuwing en het advies van het Adviescollege ICT uit 2024 naar behoren opgevolgd?6 Zo nee, om welke redenen is dit niet nageleefd?

Ja. Het Adviescollege ICT heeft in april 2024 advies uitgebracht over het programma modernisering omzetbelasting. In dit advies onderschreef het Adviescollege de keuze van de Belastingdienst voor een pakketoplossing, maar werd de Belastingdienst geadviseerd de voorbereiding op een aantal punten te versterken. Mijn ambtsvoorganger heeft uw Kamer op 7 mei 2024 geïnformeerd over de wijze waarop de Belastingdienst deze adviezen zou opvolgen.10 Deze adviezen zijn opgepakt en benut door de Belastingdienst voor het verdere verloop van het traject.

Vraag 20

Kunt u nauwkeurig toelichten in welke mate medewerkers van FAST Enterprises toegang krijgt tot de gegevens die verwerkt worden bij het heffen van de omzetbelasting? Welke garantie is er dat data via deze medewerkers toegankelijk wordt voor Amerikaanse overheidsdiensten?

Fast Enterprises zal de servers gaan beheren die geplaatst worden in het datacenter van de Belastingdienst in Apeldoorn. Daardoor krijgt Fast Enterprises, als de OB-regeling(en) in productie zijn genomen, toegang tot data van belastingplichtigen. De mate waarin medewerkers van Fast toegang krijgen tot data die in deze servers staat hangt af van hun autorisatie. Het uitgangspunt is dat medewerkers van Fast tijdens de productiefase geen toegang hebben tot productiedata en daartoe alleen tijdelijk toegang verkrijgen wanneer dit nodig is om hun beheerwerk te verrichten.
Fast Enterprises heeft een geheimhoudingsverklaring ondertekend. Deze verklaring voorkomt niet dat de Amerikaanse Staat voorgenoemde data kan vorderen op basis van extra territoriale wetgeving zoals de CLOUD Act en FISA Amendments Act. Er worden maatregelen genomen om dit risico te mitigeren, zoals het inrichten van het eerdergenoemde vier-ogen principe en infrastructurele beperkingen om data uit het systeem te kunnen halen, en logging en monitoring.

Vraag 21

Deelt u de zienswijze dat het feit dat de servers van de Belastingdienst in Nederland blijven onvoldoende is om de risico’s voor de vertrouwelijkheid en cyberveiligheid weg te nemen, als een Amerikaanse partij straks toegang krijgt tot de servers?

Het gegeven dat de servers in het datacenter van de Belastingdienst staan is op zichzelf niet afdoende om alle risico’s weg te nemen. Daarom gaat de Belastingdienst ook aanvullende maatregelen nemen, zoals aangegeven in de brief die u bij met deze antwoorden heeft ontvangen, om deze risico’s tot een acceptabel niveau terug te brengen.

Vraag 22

Bent u bereid om een kort, onafhankelijk onderzoek uit te voeren naar de mogelijkheid om het project alsnog stop te zetten, met behoud van de continuïteit van de belastingheffing?

Het stopzetten van het project acht ik niet verstandig, de redenen daarvoor heb ik uitgebreid toegelicht in de Kamerbrief die u heeft ontvangen. Een onderzoek met als uitgangspunt het stopzetten van dit traject lijkt mij prematuur gezien het feit dat de risicoanalyse en de uitwerking van beheersmaatregelen nog gaande zijn. Zoals aangegeven in de Kamerbrief die u heeft ontvangen en in mijn antwoord op vraag 7 laat ik, als onderdeel van de risicoanalyse, door de Belastingdienst parellel onderzoeken of het beheer en onderhoud van de infrastructuur door de Belastingdienst kan worden overgenomen.
Ik acht het zorgvuldiger om eerst het uitwerken van deze route en het afronden van de risicoanalyse af te wachten en vervolgens de uitkomsten hiervan te beoordelen. Voorafgaand aan de ingebruikname van het nieuwe systeem zullen alle beheersmaatregelen worden getoetst op hun effectiviteit. Ik ben bereid deze toetsing door een onafhankelijke partij te laten doen en de resultaten met uw Kamer te delen.

Vraag 23

Kunt u een actueel overzicht geven van de planning van het lopende implementatietraject?

De Belastingdienst heeft gekozen voor een stapsgewijze implementatie. Deze planning is door mijn ambtsvoorganger op 13 november 2025 met uw Kamer gedeeld.11
Juli 2026
Juli 2027
4. Kleine ondernemersregeling (NL-KOR): de btw-vrijstelling voor ondernemers met een jaaromzet in Nederland tot en met € 20.000;.
Juli 2028

Vraag 24

Kunt u toezeggen om geen onomkeerbare stappen te zetten in de migratie van de diensten naar FAST Enterprises, totdat volledig is uitgesloten dat de digitale autonomie hierdoor wordt ondermijnd en de Kamer zich hierover heeft kunnen uitspreken?

Er wordt op dit moment nog geen gebruik gemaakt van het nieuwe systeem. Het huidige systeem functioneert ongewijzigd. Wel wordt er doorgewerkt aan de voorbereiding van de ingebruikname om te voorkomen dat er vertraging optreedt en de risico’s met betrekking tot de continuïteit van het systeem daarmee toenemen. Daarbij merk ik op dat de gunning in maart 2025 definitief is geworden en het contact met Fast Enterprises is getekend. De Belastingdienst is als contractpartij gehouden aan de verplichtingen die hieruit voortvloeien. Het opzeggen of niet nakomen van het contract zal juridische en financiële consequenties met zich meebrengen.
Zoals aangegeven in de Kamerbrief en in de antwoorden op vraag 7 en 13 zal ik u voor het zomerreces en dus voor de ingebruikname van het systeem informeren over het uitwerken van de alternatieve route en de risicoanalyse.

Vraag 25

Kunt u deze vragen afzonderlijk en zo snel mogelijk beantwoorden en in ieder geval te voldoen aan de aanvullende informatieverzoeken voordat het commissiedebat Belastingdienst van 19 maart 2026 plaatsvindt?

Ja, de vragen zijn zoveel mogelijk afzonderlijk van elkaar beantwoord.

Vraag 1

Bent u bekend met het bericht van Reuters waarin wordt gesteld dat de Amerikaanse regering diplomaten instrueert om buitenlandse initiatieven op het gebied van datasoevereiniteit actief tegen te gaan?1

Ja.

Vraag 2

Hoe beoordeelt u deze instructie van de Amerikaanse regering in het licht van het belang dat Europa zelf zeggenschap houdt over waar en hoe gevoelige data van burgers, bedrijven en overheden wordt opgeslagen en verwerkt?

Voor het kabinet staat voorop dat Nederland en de EU soeverein zijn in het bepalen van hun eigen wet- en regelgeving, inclusief wetgeving op het gebied van Europese datasoevereiniteit, en dat aanpassing van regelgeving onder druk van derde landen niet mag gebeuren.
Wel zal de EU haar concurrentievermogen moeten vergroten en weerbaarder moeten worden, ook op digitaal vlak. In dat kader waardeert het kabinet de inspanningen die hiertoe op EU-niveau worden gedaan en kijkt het met interesse uit naar het aankomende Technology Sovereignty Package van de Europese Commissie, dat naar verwachting onder meer voorstellen bevat voor een Cloud & AI Development Act (CADA) en herziening van de Chips Act. Het kabinet gaat daarover t.z.t. graag in gesprek met uw Kamer. Ook de Agenda Digitale Open Strategische Autonomie van het kabinet past in de inzet om het concurrentievermogen en de weerbaarheid van de (digitale) economie te vergroten.
Tot slot is het van belang om met al onze bondgenoten, waaronder de VS, actief in gesprek te blijven.

Vraag 3

Is bij u bekend of Amerikaanse diplomaten richting Nederland of bij de Europese Commissie pogingen hebben ondernomen om beleid op het gebied van datasoevereiniteit te beïnvloeden, en zo ja, op welke wijze en in welke context?

Het is niet ongebruikelijk dat belanghebbenden – zoals overheden, bedrijven, onderzoeksinstellingen en andere belangengroepen – invloed proberen uit te oefenen op politieke besluitvormingsprocessen en daartoe hun zienswijzen delen. Dit geldt ook voor de VS. Uiteindelijk besluit het kabinet zelf welke zienswijzen het verwerkt in zijn standpuntbepaling. Specifiek naar aanleiding van de casus waarnaar in deze vragen wordt verwezen, is mij niet bekend dat hierop door Amerikaanse diplomaten actie is ondernomen.

Vraag 4

Welke gevolgen kan het afzwakken van beleid op het gebied van datasoevereiniteit hebben voor de bescherming van persoonsgegevens, de online veiligheid en de controle die burgers hebben over hun eigen data?

De Algemene Verordening Gegevensbescherming (AVG) geldt als hoeksteen van het EU beleid in de digitale ruimte. De AVG beschermt grondrechten en de fundamentele vrijheden van natuurlijke personen en met name hun recht op bescherming van persoonsgegevens. De online veiligheid wordt onder meer beschermd doordat verwerkingsverantwoordelijke organisaties niet meer gegevens mogen verwerken dan noodzakelijk is, en een passende beveiliging van persoonsgegevens dienen te waarborgen. De verwerkingsverantwoordelijke dient ervoor te zorgen dat de bescherming van het grondrecht niet wordt ondermijnd, ongeacht waar de gegevens zich bevinden. In lijn met de doelstellingen van de AVG, is het Nederlandse beleid op het vlak van datasoevereiniteit erop gericht de bescherming van het grondrecht zowel in EU-verband als bij internationale doorgiften te waarborgen.

Vraag 5

Ziet u hierin aanleiding om, samen met Europese partners, actiever in te zetten op het versterken van digitale soevereiniteit, onder meer door het bevorderen van Europese cloud- en data-infrastructuur?

Het kabinet onderschrijft in algemene zin de noodzaak om actief in te zetten op het versterken van onze digitale soevereiniteit, specifiek ten aanzien van het bevorderen van Europese cloud- en datainfrastructuur. In onder meer de kabinetsreactie op de initiatiefnota «Wolken aan de Horizon» van de leden Kathmann en Six Dijkstra heeft het kabinet erkend dat het vanwege de internationale aard van de problematiek op de cloudmarkt essentieel is om deze problemen waar mogelijk in Europees verband beleidsmatig aan te pakken. In de Kamerbrief over Europese cloud-alternatieven van maart 2025 is uw Kamer geïnformeerd over de lopende initiatieven die onderdeel zijn van de geïntegreerde Europese aanpak om Europese cloud-alternatieven te stimuleren en digitale afhankelijkheden af te bouwen.
Voorts heeft het kabinet signalen ontvangen dat de Commissie in de herziening van de aanbestedingsrichtlijnen overweegt om een Europees voorkeursprincipe bij aanbesteden voor strategische sectoren op te nemen. Daarbij kan ook gekeken worden naar de cloudsector. Het kabinet is terughoudend met de inzet van een dergelijk principe en is van mening dat per sector zorgvuldig en gericht moet worden afgewogen of de baten van de inzet van een dergelijk principe opwegen tegen de kosten. Het kabinet is tevens van mening dat het instrument in beginsel enkel moet worden ingezet om de weerbaarheid van de Unie te versterken en eventuele toepassing moet daarbij tijdelijk, doelmatig en proportioneel zijn. De toegang voor gelijkgestemde handelspartners moet hierin niet belemmerd worden. Een Europees voorkeursprincipe in aanbestedingen zou, samen met andere maatregelen, kunnen bijdragen aan het afbouwen van strategische afhankelijkheden.

Vraag 6

Ziet u daarnaast aanleiding om in Europees verband gezamenlijke uitgangspunten over datasoevereiniteit actiever uit te dragen en te verdedigen?

Het kabinet zet in op eenduidige afspraken en definities over soevereiniteit van cloud- en datainfrastructuur in Europees verband. Er bestaan op dit moment geen uniforme principes om te bepalen wat soevereiniteit in relatie tot cloud is. Als gevolg hiervan vermarkten aanbieders op dit moment uiteenlopende clouddiensten als «soeverein». Omdat er op dit moment geen regels zijn die voorschrijven in welke mate zelfverklaarde soevereine clouddienstverlening bescherming moet bieden tegen niet-Europese extraterritoriale wetgeving, is het in de praktijk mogelijk dat er clouddienstverlening op Europese bodem wordt aangeboden als «soeverein» terwijl deze onder specifieke omstandigheden verplicht is niet-Europese veiligheids- en opsporingsdiensten toegang te geven tot opgeslagen data.
Het kabinet zet zich er daarom actief voor in dat het voorstel van de Europese Commissie voor de CADA bepalingen bevat voor het vaststellen van gezamenlijke uitgangspunten voor cloud- en datasoevereiniteit. Dit biedt aanbieders duidelijkheid over de eisen waar ze aan moeten voldoen om een soevereine cloud propositie te mogen aanbieden, terwijl afnemers zekerheid hebben dat de dienstverlening daadwerkelijk het beschermingsniveau biedt dat ze wensen. Het wetsvoorstel voor de CADA wordt verwacht in het tweede kwartaal van 2026.
De inzet van het kabinet voor het realiseren van gedeelde, uniforme uitgangspunten voor cloud- en datasoevereiniteit vindt parallel plaats aan het streven onder de Nederlandse Digitaliseringsstrategie om een soevereine overheidscloud te ontwikkelen.

Vraag 1

Bent u bekend met het bericht «Hackers persen Odido af na datalek en eisen een miljoen euro losgeld»?1

Ja.

Vraag 2

Deelt u de mening dat het verdienmodel van cybercriminelen voor een groot deel draait op het afpersen van slachtoffers, onder dreiging van het publiceren van gestolen data of het voor eeuwig versleutelen van systemen?

De modus operandi van cybercriminelen waarbij slachtoffers worden afgeperst onder dreiging van het publiceren van gestolen data of versleuteling is bekend.2

Vraag 3

Vindt u dat het toegeven aan dit soort afpersing het verdienmodel van cybercriminelen in stand houdt? Hoe verhoudt dit zich volgens u tot de bescherming van slachtoffers, die hun persoonlijke data in handen van criminelen zien verdwijnen als een getroffen organisatie niet betaalt?

Slachtoffer worden van ransomware en dit soort afpersing kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging is aan de getroffen organisatie, maar het dringende advies vanuit de overheid blijft: geen losgeld betalen. Het betalen van losgeld biedt geen garantie dat criminelen systemen weer toegankelijk maken of gestolen data niet doorverkopen aan andere criminelen. Het uitbetalen van losgeld houdt bovendien het verdienmodel van criminelen in stand. En lokt daarmee mogelijk nieuwe aanvallen op Nederlandse organisaties uit.
Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Het is vooral belangrijk dat getroffen personen informatie krijgen over de risico’s die zij lopen en wat zij daartegen kunnen doen. Mensen die vermoeden dat ze slachtoffer zijn geworden van de diefstal van hun gegevens, kunnen op de site van de politie controleren3 of hun data in handen van criminelen is gevallen.

Vraag 4

Klopt het dat het voor een getroffen organisatie logisch kan lijken om losgeld te betalen (op basis van de belofte van daders dat gestolen data niet gepubliceerd worden of versleutelde systemen worden vrijgegeven), maar dat dit de samenleving als geheel juist meer kan kosten, omdat het verdienmodel van cybercriminelen in stand gehouden wordt? Zo nee, waarom niet? Zo ja, op welke manier kan de samenleving volgens u dit dilemma oplossen?

Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Staat u nog steeds achter het advies van de overheid aan organisaties om geen losgeld aan hackers te betalen? Op welke expertkennis baseert u dat advies?

Ja, zie de antwoorden op de voorgaande vragen. Dit sluit aan bij het inzicht en advies van de politie en het OM.

Vraag 6

Zou een verbod op het betalen van losgeld aan hackers de samenleving als geheel ten goede kunnen komen? Zo ja, waarom? Zo nee, waarom niet? Wat zijn volgens u de voor- en nadelen van een dergelijk verbod?

We willen organisaties die slachtoffer zijn geworden van een ransomware aanval niet criminaliseren. Er kan zich spanning voordoen tussen het belang van een individueel slachtoffer om op de korte termijn schade te beperken en het bredere maatschappelijke belang om het totaal aantal (potentiële) slachtoffers te verminderen en het verdienmodel van criminelen niet in stand te houden. Zolang die spanning niet eenduidig kan worden opgelost wordt – net als in de meeste EU landen – dringend geadviseerd om geen losgeld te betalen, in plaats van een wettelijk verbod. Daarnaast wordt ingezet op preventie, meldplichten bij toezichthouders en gerichte informatie aan individuen wier gegevens zijn getroffen.

Vraag 7

Kan een verbod op het betalen van losgeld ook dienen als extra prikkel voor organisaties om extra werk te maken van cyberweerbaarheid? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni, de AVG en de aankomende Cyberbeveiligingswet) verplicht organisaties om serieus werk te maken van cyberweerbaarheid. Zoals uiteengezet in het antwoord op vraag 2 is daarbij het dringende advies om geen losgeld te betalen. Er kunnen situaties voorkomen waarbij toch een andere afweging wordt gemaakt door een organisatie. Om deze reden achten wij een volledig wettelijk verbod onwenselijk.

Vraag 8

Welke extra prikkels en instrumenten kunt u inzetten om ervoor te zorgen dat organisaties te dwingen hun cyberweerbaarheid serieus te nemen? Denkt u dat boetes hier een effectief middel voor kunnen zijn? Zo ja, op welke manier? Zo nee, waarom niet?

Het huidige wettelijke kader (Telecommunicatiewet, Wbni en AVG) biedt de nodige handhavende bevoegdheden om in te grijpen bij vastgestelde onregelmatigheden. Ingrijpen kan bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen van persoonsgegevens of het opleggen van boetes. Onder de zorgplicht van de Telecommunicatiewet moeten organisaties passende technische en organisatorische maatregelen nemen om beveiligingsrisico’s te beheersen. Hieronder vallen ook risico’s met betrekking tot diensten zoals een klantsysteem. De Rijksinspectie Digitale Infrastructuur houdt toezicht op de Telecomwet en de Autoriteit Persoonsgegevens houdt toezicht op de AVG.
Daarnaast wordt met de aankomende implementatie van de Cyberbeveiligingswet (Cbw) een impuls gegeven aan de wettelijke verplichtingen voor essentiële en belangrijke entiteiten om maatregelen te nemen die bijdragen aan hun eigen cyberweerbaarheid. Ook is er sprake van een meldplicht bij significante incidenten. De verplichtingen uit de Cbw worden gehandhaafd door de bevoegde toezichthouders/autoriteiten. Organisaties worden onderworpen aan een beveiligingsscan en audit, en kunnen een aanwijzing, de verplichting tot het openbaar maken van een overtreding, een last onder bestuursdwang, een last onder dwangsom en een bestuurlijke boete opgelegd krijgen.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en binnen de gestelde termijn beantwoorden?

ja.

Vraag 1

Bent u bekend met het bericht van RTL waarin wordt gemeld dat bij telecomprovider Odido een grootschalig datalek heeft plaatsgevonden en dat hierbij, anders dan eerder door het bedrijf gecommuniceerd, ook burgerservicenummers (BSN) zijn gelekt?1

Ja

Vraag 2

Hoe beoordeelt u de ernst van het incident, in het bijzonder het lekken van BSN, vanuit het perspectief van de bescherming van fundamentele rechten van burgers en hoe ingrijpend beoordeelt u de impact op burgers?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte gegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede beveiliging van persoonsgegevens zoals vereist in de Algemene Verordening Gegevensbescherming (AVG) pure noodzaak is en een cruciaal onderdeel van de bedrijfsprocessen moet zijn. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket een strafrechtelijk onderzoek naar de aanval en de daders.
De gelekte gegevens waaronder ook het BSN zijn niet direct bruikbaar voor fraudeurs om zelfstandig fraude op naam van gedupeerden te plegen. Criminelen gebruiken de gegevens vooral om phishingaanvallen uit te voeren en gedupeerden te verleiden om op een link te klikken of nog meer gegevens prijs te geven.
Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties adviseert niet om paspoorten of identiteitskaarten te vernieuwen. Er zijn alleen paspoortnummers gelekt. Alleen met die informatie kunnen criminelen niet zelfstandig fraude plegen. Zij kunnen die informatie echter wel gebruiken voor bijvoorbeeld gerichte phishingaanvallen. Met behulp van de gestolen informatie proberen ze dan om zo betrouwbaar mogelijk te lijken en in te spelen op het gevoel van burgers met als doel om meer informatie te ontfutselen of burgers te verleiden op een link, button of QR-code te klikken.

Vraag 3

In hoeverre acht u daarbij het recht op privacy en gegevensbescherming geschonden, nu (oud-)klanten van Odido buiten hun eigen schuld risico lopen op misbruik van hun persoonsgegevens?

In algemene zin is een datalek een inbreuk in verband met het recht op persoonsgegevens. Of, en zo ja in hoeverre, de privacy en het recht op gegevensbescherming van betrokken in deze concrete zaak zijn geschonden, is niet aan het kabinet om te beoordelen. Dit is aan de Autoriteit Persoonsgegevens (AP) en de Rijksinspectie Digitale Infrastructuur (RDI) als toezichthouders of in voorkomende gevallen aan de rechter om te beoordelen.

Vraag 4

Hoe beoordeelt u het advies aan Odido om geen losgeld te betalen, gelet op de huidige situatie waarin de hackersgroep Shinyhunters is overgegaan tot publicatie van gestolen persoonsgegevens, met mogelijke ernstige gevolgen voor de (oud-)klanten van Odido?2

Het besluit van Odido om geen losgeld te betalen sluit aan bij de visie van het kabinet. Slachtoffer worden van dergelijke afperspraktijken kan veel impact hebben. De schade kan enorm oplopen en plaatst een getroffen bedrijf in een moeilijke positie, ook richting hun klanten. Zeker in dit geval waar het aantal gestolen gegevens zo omvangrijk is. De uiteindelijke afweging ligt bij de getroffen organisatie, maar het dringende advies van de overheid blijft om geen losgeld te betalen. Betaling van losgeld biedt geen garantie dat criminelen systemen herstellen, gestolen data verwijderen of ervan afzien deze openbaar te maken of door te verkopen aan andere criminelen. Daarnaast houdt het betalen van losgeld het verdienmodel van cybercriminelen in stand. De opbrengsten worden veelal ingezet voor verdere, geavanceerde cyberaanvallen, waarmee nieuwe slachtoffers worden gemaakt. Dit kan bovendien nieuwe aanvallen op Nederlandse organisaties uitlokken.

Vraag 5

Kunt u aangeven welke opsporingsprioriteit wordt gegeven aan het strafrechtelijk onderzoek dat is gestart door het Openbaar Ministerie en ligt daarbij ook een rol voor de digitale recherche?

Het OM gaat over de opsporingsprioriteit. De politie is onder gezag van het Openbaar Ministerie een opsporingsonderzoek gestart. Een team van het Team High Tech Crime, dat gespecialiseerd is in dit soort cybercriminaliteit, doet onderzoek naar het incident.

Vraag 6

Welke rol ziet u bij het ondersteunen en informeren van burgers van wie persoonsgegevens door cybercriminelen zijn gepubliceerd en acht u het huidige instrumentarium hiervoor toereikend?

De overheid geeft praktische tips om de digitale weerbaarheid van burgers te vergroten. Zo hebben burgers de mogelijkheid om websites zoals veiliginternetten.nl en die van het NCSC te raadplegen waar veel informatie en adviezen worden gegeven over hoe ze zich online kunnen beschermen en over de basisprincipes van digitale weerbaarheid. Via Centraal Meldpunt Identiteitsfraude (CMI) kan er melding worden gedaan van fraude, hier is ook een specifieke pagina over de Odido hack. Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Economische Zaken – digitale economie en soevereiniteit en de aangenomen motie van het lid Rajokowski die opriep tot een duidelijk handelingskader voor slachtoffers van datalekken.3

Vraag 7

Ziet u aanleiding om het strafrechtelijk kader of de opsporingscapaciteit op het terrein van hacks en digitale afpersing te versterken, bijvoorbeeld door intensivering van de digitale recherche van de politie of door aanpassing van wet- en regelgeving?

Door het Ministerie van Justitie en Veiligheid worden met de politie en het OM worden gesprekken gevoerd over wat er nodig is om de aanpak van online criminaliteit een stap verder te brengen, daarin zullen de recente incidenten zoals de hacks bij Clinical Diagnostics en Odido worden meegenomen.
In het coalitieakkoord is verder aangekondigd dat de strafmaxima voor zware cyberdelicten zullen worden verhoogd. Bij de nadere beleidsuitwerking hiervan zal ook aandacht worden besteed aan deze recente incidenten.

Vraag 8

Kunt u de vragen afzonderlijk beantwoorden en dit doen voorafgaand aan de behandeling van de Cyberbeveiligingswet?

Dit is helaas niet gelukt.

Vraag 1

Bent u bekend met het recent gepubliceerde Amerikaanse onderzoeksrapport d.d. 3 februari jl. The foreign censorship threat, part II: Europe’s decade-long campaign to censor the global internet and how it harms American speech in the United States, waarin wordt verwezen naar Europese en nationale betrokkenheid bij moderatie van politiek-inhoudelijke uitingen op sociale media?1

Ja, daar ben ik mee bekend.

Vraag 2

Hoe beoordeelt u het feit dat de EU in 2023 een handboek opstelde voor techbedrijven om te modereren bij de volgende onderwerpen: «populist rhetoric», «anti-government/anti-EU»-content, «anti-elite»-content, «political satire», «anti-migrants and Islamophobic content», «anti-refugee/immigrant sentiment», «anti-LGBTIQ... content» en «meme subculture»?2 Kunt u uw antwoord toelichten?

Het opgestelde handboek in 2023 van de Europese Unie (EU) heeft betrekking op zogeheten borderline content. Hoewel borderline content geen strikt illegaal karakter heeft en niet per definitie tot geweld hoeft te leiden, kan zij de veiligheid van burgers en instituties ernstig ondermijnen. Dit kan bijvoorbeeld doordat dergelijke uitingen aanzetten tot haat of opruiing, of doordat extremistisch gedachtengoed erdoor wordt genormaliseerd. Dit type content draagt bij aan radicaliseringsprocessen en is zeer zorgelijk. Het EU-handboek betreft een niet-bindende leidraad voor online platformen bij het omgaan met online risico’s, en daarmee het voorkomen dat de veiligheid van burgers en instituties wordt ondermijnd door terroristische en schadelijke content. In het kader van dit EU-handboek staat de vrijheid van meningsuiting centraal: uitingen zoals politieke satire, kritiek op de overheid of zogenoemde populistische retoriek maken deel uit van het democratisch debat.

Vraag 3

Hoe beoordeelt u het feit dat de EU via de Permanent Task-Force Crisis Response Group «desinformatie bestreed» op het gebied van onderwerpen zoals bijvoorbeeld COVID-19 en een potentieel verband tussen de sancties tegen Rusland en de Europese energiecrisis? Kunt u uw antwoord toelichten?

Het staat de Europese Commissie vrij om haar eigen werkprocessen en informatiestromen vorm te geven in lijn met de in de Verdragen neergelegde bevoegdheden. Het instellen van een interne taskforce om de EU Code of Practice on Disinformation effectief uit te werken valt binnen deze bevoegdheid.

Vraag 4

Acht u het wenselijk dat de EU techbedrijven aanmoedigt dan wel opdraagt zich te bemoeien met legale, niet-gewelddadige politieke uitingen op sociale media? Kunt u uw antwoord toelichten?

De EU draagt techbedrijven niet op om zich te bemoeien met legale, niet-gewelddadige politieke uitingen op sociale media. Wel is er de digitaledienstenverordening (Digital Services Act, «DSA»), die voorschrijft dat zogenaamde zeer grote online platforms de systeemrisico’s, die voortvloeien uit het ontwerp of de werking van hun diensten, moeten identificeren. En waar nodig maatregelen te nemen. Hieronder vallen ook negatieve effecten op het publieke debat en verkiezingsproces. Of sprake is van systeemrisico’s, is afhankelijk van de concrete omstandigheden van het geval en dat moet in eerste instantie door het platform zelf beoordeeld worden. Het kabinet staat achter deze wetgeving. Daarbij is het uiteraard van belang dat rekening wordt gehouden met alle toepasselijke grondrechten, waaronder de vrijheid van meningsuiting. Dit brengt bijvoorbeeld mee dat maatregelen tegen schadelijke content niet zozeer gericht zullen zijn op het verwijderen van die content, maar bijvoorbeeld op het markeren daarvan.

Vraag 5

Kunt u aangeven of het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties in aanloop naar de Tweede Kamerverkiezingen van 2023 door de Europese Commissie is aangewezen als «trusted flagger» in het kader van de Digitale Dienstenverordening (DSA)? Zo ja, per welke datum gold deze aanwijzing en welke bevoegdheden en taken waren daaraan verbonden?

Dit klopt niet. De Europese Commissie kan deze status ook niet verlenen binnen de DSA. Dit is toebedeeld aan de nationale toezichthouder op basis van de DSA. Wel heeft het ministerie met de platformen van X, Meta, TikTok, Google, en Snapchat de vrijwillige afspraak dat zij meldingen van het Ministerie van BZK gedurende de verkiezingsperiode met prioriteit behandelden. Hierbij blijft het platform te allen tijde zelf verantwoordelijk voor de afhandeling en de beoordeling van de melding die gedaan wordt, in relatie tot geldende regelgeving en de gebruikersvoorwaarden.
Het Ministerie van BZK heeft via deze kanalen geen bevoegdheid content te laten verwijderen.

Vraag 6

Kunt u inzicht geven in het aantal en het type meldingen dat door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, of namens Nederland, als «trusted flagger» is gedaan bij sociale mediaplatforms in de periode voorafgaand aan de Tweede Kamerverkiezingen van 2023 en 2025? Kunt u daarbij specificeren in hoeverre deze meldingen betrekking hadden op politieke of maatschappelijke uitingen? Kan de Kamer deze meldingen ontvangen of vertrouwelijk inzien? Zo nee, waarom niet?

Het Ministerie van BZK maakt het contact met de platformen na afloop van de verkiezingen openbaar in een rapport via de evaluatie van de desbetreffende verkiezing.3 In dit rapport is te lezen dat het Ministerie van BZK niet kijkt naar en geen uitspraken doet over verkiezingsbeloften of politieke of maatschappelijke uitingen. Het Ministerie van BZK zet dit middel met grote terughoudendheid in en alleen wanneer berichtgeving op sociale media platformen de integriteit van het verkiezingsproces mogelijk in gevaar brengt. Bijvoorbeeld bij berichtgeving over de verkeerde verkiezingsdatum, of feitelijk onjuiste informatie hoe en waar te stemmen.

Vraag 7

Hoe beoordeelt u de rol van ministeries als «trusted flagger» in perioden waarin verkiezingen plaatsvinden? Erkent u dat hier automatisch sprake is van conflicterende belangen, aangezien de Minister van Binnenlandse Zaken tijdens verkiezingen het risico loopt te worden weggestemd? Kunt u uw antwoord toelichten?

Ik kan mij hier niet in vinden. Zoals aangegeven in het antwoord op vraag 6 neemt het Ministerie van BZK enkel contact op met een platform wanneer er een risico bestaat voor de organisatie, uitvoering en integriteit van het verkiezingsproces.
Een voorbeeld van de inzet van de flagger status bij de Provinciale Staten en waterschapsverkiezingen in 2023: Het Ministerie van BZK heeft bij X melding gemaakt van berichten die kiezers die op FvD zouden willen stemmen opriepen de naam van de landelijke fractievoorzitter op het stembiljet bij te schrijven. Het bijschrijven van een naam op een stembiljet leidt tot een ongeldige stem. In de evaluatie van deze verkiezing is deze melding aan de Tweede Kamer gerapporteerd.4

Vraag 8

Kunt u toelichten in hoeverre Nederland, via overleg met de Europese Commissie of via directe contacten met socialemediaplatforms, betrokken is geweest bij afspraken of maatregelen over moderatie van uitingen in relatie tot verkiezingen of specifieke politieke onderwerpen zoals bijvoorbeeld de oorlog in Oekraïne, immigratie of het coronabeleid? Kunt u de Kamer informeren over de aard en omvang van deze betrokkenheid? Zo nee, waarom niet?

Zoals vermeld in vraag 6, kunt u het contact met de platformen terugvinden in de evaluatie van de desbetreffende verkiezing.

Vraag 9

In het betreffende Amerikaans onderzoeksrapport wordt op pagina 106 geschreven dat «between 2023 and 2025, the Commission engaged with platforms and pressured them to aggressively censor content ahead of national elections in [...] the Netherlands [...]»: kunt u aangeven hoe u deze constatering beoordeelt, of u zich hierin herkent?

Het kabinet herkent zich niet in de uitspraken die worden gedaan in het rapport. Anders dan het rapport suggereert, schrijft de DSA geen censuur voor. De vrijheid van meningsuiting staat centraal in de DSA. De Europese Commissie is in gesprek gegaan met platformen over hun verantwoordelijkheden en verplichtingen op grond van de DSA. Het kabinet steunt de Europese Commissie volledig in het handhaven van de Europese digitale wetgeving, waaronder de DSA.

Vraag 10

Kunt u de Kamer alle correspondentie doen toekomen tussen de Europese Commissie (of de EU in het algemeen) en het Ministerie van Binnenlandse Zaken (of Nederland in het algemeen) met betrekking tot «trusted flagger»-meldingen rond de verkiezingen van 2023 en 2025? Zo nee, waarom niet?

Zoals vermeld in vraag 6 is het contact met de platformen reeds openbaar gemaakt in de evaluatie van de desbetreffende verkiezing.

Vraag 11

Klopt het, zoals op pagina 107 van het Amerikaanse overheidsrapport te lezen is, dat het Ministerie van Binnenlandse Zaken aanwezig was bij de «Verkiezingsbijeenkomst TikTok», georganiseerd door de Europese Commissie in Den Haag op vrijdag 10 november 2023? Wat was de inbreng/rol van het ministerie tijdens deze bijeenkomst? Wie waren bij deze bijeenkomst aanwezig? Wat was het programma? Kunt u de Kamer de verslagen/notulen doen toekomen die zijn gemaakt tijdens deze bijeenkomst, evenals correspondentie voorafgaand aan en na afloop daarvan? Zo nee, waarom niet?

Dit klopt niet. De bijeenkomsten die het Ministerie van BZK heeft bijgewoond kunt u terugvinden in de Kamerbrief Contact platformen in aanloop naar TK25 verkiezing.5

Vraag 12

Klopt het dat de Autoriteit Consument en Markt (ACM) zes weken voor de verkiezingen in 2025 een bijeenkomst heeft georganiseerd over de verkiezingen, in het kader van de DSA en met vertegenwoordigers van de Europese Commissie, Alphabet, Meta, Microsoft, TikTok en X? Klopt het dat hier is gesproken over het censureren van «schadelijke content» in het kader van de verkiezingen? Hoe werd «schadelijke content» gedefinieerd? Kunt u een aantal voorbeelden van dergelijke «schadelijke content» geven?

Op 15 september 2025 heeft de ACM een rondetafelbijeenkomst georganiseerd over de DSA en de Tweede Kamerverkiezing van 29 oktober 2025.6 Tijdens de bijeenkomst spraken de deelnemers met elkaar aan de hand van vier thema’s: synthetische (door AI-genereerde) content, aanbevelingssystemen (algoritmen), toegang tot data voor onderzoekers, en viraliteit. De nadruk lag onder andere op zaken als transparantie, de praktische uitvoerbaarheid van maatregelen en de mogelijke invloed op het verkiezingsproces. Zo werd er onder andere stilgestaan bij het risico van online bedreigingen van politici en journalisten en de maatregelen die platforms hiertegen nemen. Ook kwam de mogelijke impact aan bod van AI-gegenereerde antwoorden op platforms en zoekmachines op verkiezingsgerelateerde vragen over bijvoorbeeld partijprogramma’s en kandidaten. De ACM heeft kort na afloop van de bijeenkomst ook een verslag gepubliceerd, met daarin informatie over de deelnemers en de gespreksthema’s.

Vraag 13

Welke afspraken zijn gemaakt tijdens de bijeenkomst genoemd in vraag 12? Kunt u de Kamer de gespreksverslagen/notulen van deze bijeenkomst doen toekomen, waaronder in elk geval de presentatie van de Europese Commissie, van het Ministerie van Binnenlandse Zaken en van Manon Leijten (bestuurslid van de ACM)? Zo nee, waarom niet?

Tijdens de rondetafel zijn er geen specifieke afspraken gemaakt tussen de ACM en aanwezigen. Doel van de rondetafel was kennisuitwisseling. De ACM heeft kort na afloop van de bijeenkomst ook een verslag gepubliceerd, met daarin informatie over de deelnemers en de gespreksthema’s.7 De Europese Commissie heeft tijdens de rondetafel uitleg gegeven over de werking van het raamwerk van relevante Europese regelgeving, waaronder de DSA en de Europese Verordening betreffende transparantie en gerichte politieke reclame (VPR). Hiervan zijn geen slides beschikbaar. Het Ministerie van BZK heeft een presentatie gegeven over de inrichting van het verkiezingsproces in Nederland. De daarbij gebruikte slides zijn opgenomen als bijlage. De ACM heeft de bijeenkomst geopend met een kort welkomstwoord en heeft de middag technisch voorgezeten. Er is vanuit de ACM geen presentatie gegeven.

Vraag 14

Kunt u bovenstaande vragen zo spoedig mogelijk en afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Bent u bekend met verschillende berichten dat AI-gegenereerde stemwijzers onjuiste informatie verstrekken en kiezers misleiden, zoals in Gouda, Leiden en De Ronde Venen?1, 2, 3

Ja.

Vraag 2

Deelt u de grote zorg dat hier stemadviezen worden gegeven op basis van tal van onjuistheden en zelfs met niet bestaande partijen?

Ik deel uw zorgen over de stemadviezen die door AI-gegenereerde stemhulpen (verder: AI-stemhulpen) worden verstrekt. Het is van belang dat de adviezen die kiezers van stemhulpen krijgen betrouwbaar, begrijpelijk en transparant zijn. Met de komst van AI-stemhulpen zie ik dat deze uitgangspunten onder druk komen te staan. AI-stemhulpen zijn namelijk stemhulpen die gebouwd zijn op basis van Large Language Models (LLM’s), bijvoorbeeld keus.nl4 dat claude.ai als basis heeft. Dit soort LLM’s produceert antwoorden door statistisch te voorspellen wat in de tekst hoort te staan op basis van taalpatronen uit trainingsdata, niet door deskundig gevalideerde verkiezingsinformatie of lokale programma’s. Daardoor geven ze antwoorden die op het eerste gezicht vaak goed lijken, maar die niet feitelijk juist, of neutraal zijn. Zelfs met zeer strikte instructies aan het algoritme, blijven de antwoorden onbetrouwbaar.
Eerder hebben de Autoriteit Persoonsgegevens en de Vereniging Nederlandse Gemeenten (VNG) daarom het gebruik van AI-stemhulpen sterk afgeraden.
De ontwikkeling van stemhulpen maakt onderdeel uit van het publieke debat rondom verkiezingen. Vanwege de neutrale positie die de overheid dient in te nemen in het debat rond verkiezingen, heeft de overheid tot nu toe geen rol ingenomen met betrekking tot stemhulpen, noch invloed uitgeoefend op stemhulpen. Dat geldt ook voor door AI gemaakte stemhulpen. Door het toenemende gebruik van AI-stemhulpen komen uitgangspunten betrouwbaarheid, begrijpelijkheid en transparantie onder druk te staan. Daarom onderzoek ik of de overheid in de borging van deze uitgangspunten een rol kan en moet vervullen en zo ja, binnen welke kaders dat kan. Ik ben voornemens u bij de evaluatie van de Gemeenteraadsverkiezingen die ik voor de zomer aan de Tweede Kamer zal sturen hier nader over te informeren.

Vraag 3

Welke gevolgen heeft onjuiste informatieverstrekking voor de aankomende gemeenteraadsverkiezingen en welke aansprakelijkheid geldt er bij het onjuist of onvolledig verstrekken van informatie?

Zie antwoord op vraag 2.

Vraag 4

Al eerder werd door de Autoriteit Persoonsgegevens gewaarschuwd voor de uitkomsten van AI-gegenereerde chatbots, die meer dan de helft van de tijd PVV en GroenLinks-PvdA op de eerst plek adviseerden, wat is er met deze bevindingen gedaan? Vindt u dit voldoende, zo ja waarom?

Mede naar aanleiding van dit rapport ben ik in gesprek gegaan met bedrijven die LLM’s als dienst aanbieden over hun verantwoordelijkheden voor het beschermen van het publiek debat en het verkiezingsproces. Zoals ik in het antwoord op vraag 2 noem, onderzoek ik of het wenselijk is of de overheid een rol gaat nemen bij de borging van uitgangspunten van betrouwbaarheid, begrijpelijkheid en transparantie bij de ontwikkeling van stemhulpen. In de evaluatie van de gemeenteraadsverkiezing zal ik u hier verder over informeren.

Vraag 5

Hoe vaak zijn de in de nieuwsartikelen genoemde «stemhulpen» in de afgelopen dagen geraadpleegd? Hoe verhoudt zich dat tot het aantal kiesgerechtigden?

Ik heb daar geen zicht op. Ik verwijs u voor deze cijfers naar de betreffende websites. Voor de volledigheid wijs ik u erop dat de website keus.nl door de initiatiefnemer zelf inmiddels offline is gehaald.

Vraag 6

Gaat u na welke initiatiefnemers er achter deze zogenaamde stemhulpen schuil gaan en met welk oogmerk zij actief zijn? Zo ja, kunt u dit met de Kamer delen? Zo nee, wie is daar wel voor verantwoordelijk?

Zie antwoord op vraag 2.

Vraag 7

Deelt u de grote zorg dat de democratie actief wordt ondermijnd door desinformatie en dat kwaadwillenden zelfs verder kunnen gaan dan onjuist en onzorgvuldig informeren, en zelfs manipuleren? Zo ja, kunt en gaat u handhaven? Zo nee, waarom niet?

Ik deel de zorgen over de ondermijning van de democratie door desinformatie. De aanpak hiervan is voor mij en het kabinet prioriteit. In het rondetafelgesprek over sociale media en inmenging met de Commissie Digitale Zaken op 4 maart jl. werd er ook op gewezen dat desinformatie ingezet kan worden om LLM’s te beïnvloeden. Naast de onbetrouwbare beantwoording van LLM’s door statistisch te voorspellen wat in de tekst hoort te staan op basis van taalpatronen uit trainingsdata, vormt de desinformatie dus ook een serieus risico voor de betrouwbaarheid van de informatie die AI stemhulpen geven. Bij de aankomende gemeenteraadsverkiezingen laten we met verschillende pilots onderzoeken hoe detectie van buitenlandse desinformatie kan plaatsvinden. Over de uitkomsten van deze pilots wordt uw Kamer na de gemeenteraadsverkiezingen nader geïnformeerd.
Waar het gaat om de inzet van AI wordt gewerkt aan een wettelijk kader voor het toezicht in Nederland op de Europese AI-verordening. Bedrijven die diensten leveren die gebruik maken van LLM’s (zoals chatbots) vallen onder de AI-verordening. Binnen deze verordening gelden AI-systemen die worden ingezet voor het beïnvloeden van «natuurlijke personen bij de uitoefening van hun stemrecht bij de verkiezingen of referenda» als hoog risico. AI-toepassingen die een hoog risico vormen, worden aan strengere regels gebonden. De uitvoeringswetgeving is op dit moment nog in ontwikkeling. Op dit moment wordt gewerkt aan de uitvoeringswet die binnenkort in openbare internetconsultatie zal gaan. Tegelijkertijd hebben ook de aanbieders van de LLM’s zelf een verantwoordelijkheid om bias en vertekening te voorkomen en systeemrisico’s te mitigeren; daarop wordt al toegezien door het Europese AI Bureau.
Omdat de huidige nationale wetgeving nog onvoldoende handvatten biedt om het gebruik van de overige AI-chatbots als stemhulp te reguleren, zet het Ministerie van BZK ook in op een dialoog met de aanbieders van AI-chatbots en op bewustwording bij kiezers. Vanwege het internationale karakter van de aanbieders van AI chatbots betrek ik deze casuïstiek ook bij de gesprekken die ik voer met de Europese Commissie.

Vraag 8

Kunt u deze stemhulpen aansprakelijk stellen, laten aanpassen of zonodig beëindigen? Zo ja, bent u bereid dat te doen? Zo nee, waarom niet?

Zie antwoord op vraag 2.

Vraag 9

Hoe voorkomt u dat deze aanbieders of anderen hiermee doorgaan?

Zie antwoord op vraag 2.

Vraag 10

Op welke wijze raadt u kiezers aan zich te informeren, en hoe waarschuwt de regering burgers voor misleiding en AI-advies waarmee ze knollen voor citroenen aangesmeerd krijgen?

In mijn communicatie inzake de aanstaande gemeenteraadsverkiezing besteed ik aandacht aan de beperkingen van AI-stemhulpen. Ik benadruk hierin dat een stemhulp slechts één van de hulpmiddelen is om informatie over de verkiezing en deelnemende kandidaten te vergaren. Ik adviseer kiezers om daarnaast ook nog andere middelen hiervoor te gebruiken, zoals het volgen van debatten, het lezen van partijprogramma’s en het met anderen in gesprek gaan. Daarnaast adviseer ik politieke partijen als zij fouten aantreffen in een stemhulp om zelf contact op te nemen met de aanbieder van de stemhulp.

Vraag 11

Bent u in overleg met lokale overheden om burgers actief te informeren over online stemwijzers die misinformatie verspreiden, over aanpassing van deze sites of zonodig sanctioneren?

In de nieuwsbrief van de Kiesraad zijn gemeenten gevraagd om hun inwoners te informeren over de risico’s van AI-gegeneerde stemhulpen.
Voor wat betreft het aanpassen van deze websites en zo nodig het sanctioneren verwijs ik u naar mijn antwoord op vraag 2.

Vraag 12

Wie is in Nederland verantwoordelijk voor opsporing en handhaving in deze? Kunt u inzicht geven welke omvang of de regelgeving voldoende instrumenten geeft om met snelheid te acteren en of er voldoende capaciteit is?

Op dit moment is er in Nederland geen instantie die bevoegd is om tegen AI stemhulpen op te treden wanneer die niet aan de uitgangspunten van betrouwbare, transparante en begrijpelijke informatievoorziening voldoen.
Voor de stand van zaken omtrent het juridisch instrumentarium in deze verwijs ik u naar mijn antwoorden op de vragen 2 en 7.

Vraag 13

Kunt u deze vragen zo spoedig mogelijk beantwoorden en in elk geval laten weten op welke wijze handhavend wordt opgetreden?

Ja.

Vraag 1

Bent u bekend met het bericht van de NOS over de cyberaanval bij Odido waarbij gegevens van circa 6,2 miljoen accounts zijn buitgemaakt door criminelen?1

Ja.

Vraag 2

Hoe beoordeelt u de omvang en ernst van dit datalek, mede gezien het feit dat ook gevoelige persoonsgegevens, zoals identiteitsdocumentnummers en rekeningnummers, mogelijk zijn gelekt?

De schaal van dit datalek, de hoeveelheid getroffen burgers en de soms gevoelige aard van de gelekte persoonsgegevens maken dit tot een bijzondere situatie. Het maakt duidelijk dat datalekken grote gevolgen kunnen hebben. Zonder iets te willen of kunnen zeggen over de oorzaken van het onderhavige datalek, maakt dit in meer algemene zin duidelijk dat een goede bescherming van persoonsgegevens zoals onder meer vereist in de Algemene Verordening Gegevensbescherming (AVG) noodzakelijk is en een integraal onderdeel moet zijn van primaire bedrijfsprocessen. De gevraagde beoordeling van dit datalek is uiteindelijk aan de Autoriteit Persoonsgegevens (AP) en Rijksinspectie Digitale Infrastructuur (RDI) als onafhankelijke toezichthouders. Daarnaast doet de politie onder leiding van het Landelijk Parket onderzoek naar de aanval en de daders.

Vraag 3

In hoeverre heeft deze cyberaanval gevolgen voor de digitale veiligheid en weerbaarheid van Nederland, gezien de maatschappelijke rol van telecomproviders?

De AP heeft laten weten geen informatie te verstrekken over individuele zaken. In zijn algemeenheid houdt de AP bij omvangrijke datalekken onder meer toezicht op de naleving van de meldplicht datalekken en onderzoekt daarbij ook de beveiliging ten tijde van het lek en genomen vervolgstappen. Maar ook andere aspecten die specifiek zijn voor de datalekzaak kunnen door de AP worden onderzocht. Daarbij wordt ook rekening gehouden met signalen uit openbare bronnen en signalen uit klachten die de AP heeft ontvangen.
De AP beschikt over voldoende handhavende bevoegdheden vanuit de AVG om in te grijpen wanneer een (voorgenomen) verwerking van persoonsgegevens niet rechtmatig, behoorlijk en/of transparant plaatsvindt. Bijvoorbeeld door het bevestigen van normen, het geven van waarschuwingen, stilleggen van verwerkingen of het opleggen van boetes.

Vraag 4

Hoe beoordeelt u het risico dat de bij Odido gestolen persoonsgegevens in de toekomst alsnog openbaar worden gemaakt, en welke gevolgen kan dit hebben voor de veiligheid en privacy van betrokken burgers?

De bij Odido gestolen persoonsgegevens zijn inmiddels gepubliceerd.2 In algemene zin geldt dat een dergelijke grootschalige publicatie in ieder geval het risico verhoogt op diverse vormen van oplichting en fraude zoals gerichte phishing en social engineering. Onder andere Odido, Veiliginternetten.nl, de politie en de AP communiceren naar aanleiding van het datalek actief waarvoor gestolen gegevens kunnen worden misbruikt en geven tips om gevolgen van het datalek zoveel mogelijk tegen te gaan.3

Vraag 5

Heeft Odido het datalek tijdig gemeld bij de Autoriteit Persoonsgegevens en andere relevante instanties, en bent u op de hoogte van eventuele lopende onderzoeken?

De AP heeft laten weten dat Odido het datalek tijdig heeft gemeld bij de AP. Odido geeft aan daarnaast proactief relevante overheidsinstanties, waaronder de RDI, te hebben geïnformeerd. De RDI is op basis van de verkregen informatie mogelijke vervolgstappen aan het onderzoeken. De AP meldt op haar website dat zij aanleiding ziet om tot formeel onderzoek over te gaan.4

Vraag 6

Is er volgens uw inschatting sprake van nalatigheid of onvoldoende naleving van de Europese privacy- en beveiligingsverplichtingen, zoals de Algemene verordening gegevensbescherming (AVG), door Odido?

Het is niet aan het kabinet om dit te beoordelen. Dit is in eerste instantie aan de AP. De taken en bevoegdheden om op te treden tegen overtredingen zijn vastgelegd in de AVG. De AP kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. De AP toetst daarnaast of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.

Vraag 7

Welke risico’s lopen getroffen klanten en acht u de door Odido genomen maatregelen voldoende om deze risico’s te beperken?

Zie het antwoord op de vraag 4. De vraag of Odido voldoende maatregelen heeft genomen om te voldoen aan de zorgplicht uit de Telecommunicatiewet en de AVG is aan de toezichthouders om te beoordelen.

Vraag 8

Welke eisen worden momenteel gesteld aan telecomproviders ten aanzien van cyberbeveiliging en gegevensbescherming en voldoen deze volgens u nog aan de huidige dreigingscontext?

Het toepasselijke normenkader stelt de strikte vereisten die noodzakelijk zijn voor een goede bescherming in een steeds veranderende dreigingscontext. Zoals aangegeven in het antwoord op vraag 3 valt Odido onder de zorgplicht van de Telecommunicatiewet. Onder de zorgplicht dienen aanbieders passende technische en organisatorische maatregelen te nemen om risico’s voor de beveiliging van hun netwerken of diensten te beheersen. Dit moet zorgen voor een veiligheidsniveau dat is afgestemd op risico's die zich voordoen. De RDI ziet toe op de naleving van de vereisten van deze zorgplicht.
Daarnaast zijn telecomproviders gebonden aan de AVG, waaronder de beginselen van behoorlijke gegevensverwerking. Het beginsel van dataminimalisatie houdt bijvoorbeeld in dat organisaties alleen persoonsgegevens mogen verzamelen en verwerken die strikt noodzakelijk zijn voor een vooraf bepaald, specifiek doel. Op verwerkingsverantwoordelijken rust daarnaast de verplichting om passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen. Deze beveiligingsmaatregelen dienen een op de risico’s voor de rechten en vrijheden van personen afgestemd beveiligingsniveau te waarborgen en rekening te houden met de stand van de techniek, alsook met de aard, omvang, context en doeleinden van de verwerking. Het waarborgen van passend bewustzijn van de beveiligingsrisico's bij personen die toegang hebben tot de te verwerken gegevens is daarbij van belang. Verwerkingsverantwoordelijken dienen hun beveiligingsmaatregelen doorlopend te evalueren en zo nodig aan te passen aan nieuwe risico’s, waaronder nieuwe cyberdreigingen. Op grond van de AVG fungeert de Functionaris gegevensbescherming (FG) als onafhankelijk adviseur en ziet toe op de naleving van het gegevensbeschermingsrecht waaronder de te nemen maatregelen.
Het Nationaal Cyber Security Centrum staat rond actuele kwetsbaarheden en cyberdreigingen in nauw contact met partners binnen de telecomsector en werkt onder meer samen via het telecomgerichte Information Sharing and Analysis Center (ISAC).
EZK werkt samen met de telecomoperators in het Nationaal Continuïteit Overleg Telecom (NCOT) om gezamenlijk aan de continuïteit van de telecomdienstverlening te werken in het kader van de huidige dreiging.

Vraag 9

Ziet u aanleiding om aanvullende eisen of toezichtmaatregelen te treffen richting telecomproviders om grootschalige datalekken te voorkomen?

Op dit moment ziet de Staatssecretaris van Economische Zaken geen aanleiding om aanvullende eisen te stellen richting telecomproviders om grootschalige datalekken te voorkomen. Zoals uiteengezet in het antwoord op vraag 8 zijn onder de toepasselijke wet- en regelgeving, waaronder de Telecomwet en de AVG, organisaties zelf verantwoordelijk voor het nemen van passende maatregelen om, mede gelet op de huidige dreigingscontext, (grootschalige) datalekken te voorkomen. Het is aan de toezichthouders om daarop toe te zien en in dit verband de nodige toezichtmaatregelen te treffen. Dit is niet aan mij als bewindspersoon.

Vraag 10

Welke rol ziet u voor de overheid bij het ondersteunen van bedrijven en burgers bij het beperken van schade na grootschalige datalekken?

De AP ziet als onafhankelijke toezichthouder toe op de naleving van de AVG en kan handhavend optreden wanneer organisaties tekortschieten. Daarnaast heeft de toezichthouder een belangrijke rol in voorlichting. Door het geven van uitleg, richtsnoeren en praktische handvatten ondersteunt de toezichthouder organisaties en burgers bij de toepassing van de AVG en het uitoefenen van hun rechten.
Ook Veiliginternetten.nl geeft adviezen in deze casus. Dit is een publiek-private website om neutrale informatie over digitale veiligheid te verstrekken aan burgers. Het Nationaal Cyber Security Centrum (NCSC) deelt via openbare kanalen diverse adviezen en richtlijnen over cybersecurity, zoals beveiligingsadviezen, dreigingsinformatie en maatregelen om digitale incidenten te voorkomen of te beperken. Het Ministerie van EZK verstrekt jaarlijks via Mijn Cyberweerbare Zaak subsidie aan kleinere mkb’ers ter versterking van hun digitale weerbaarheid.
Mensen die vermoeden dat ze slachtoffer zijn geworden van diefstal van hun gegevens kunnen op de site van de politie controleren of hun data in handen is gevallen van criminelen.

Vraag 11

Acht u de oproep van Odido aan klanten om «extra alert» te zijn voldoende, of ziet u een verantwoordelijkheid voor aanvullende beschermingsmaatregelen richting getroffen klanten?

Zoals uiteengezet in het antwoord op vraag 8, stelt het toepasselijke normenkader, in het bijzonder de AVG, de nodige strikte vereisten. De AP ziet toe op de naleving van dat kader.

Vraag 12

Bestaan er landelijke richtlijnen of protocollen voor ondersteuning van burgers die slachtoffer zijn van grootschalige datalekken waarbij identiteitsgegevens zijn buitgemaakt? Zo ja, worden deze in dit geval toegepast?

Het handelingskader voor slachtoffers van datalekken wordt vormgegeven door de AVG. De AVG verplicht verwerkingsverantwoordelijke organisaties om betrokkenen te informeren over een «hoog risico» datalek. De wijze waarop betrokkenen in lijn met de AVG dienen te worden geïnformeerd, wordt uitgewerkt in richtsnoeren van het Europees Comité voor gegevensbescherming (EDPB). Het is aan de AP om daarop toe te zien. Tevens heeft de AP op grond van de AVG de eigen wettelijke taak om voorlichting te geven aan burgers over hun rechten en handelingsmogelijkheden uit hoofde van de AVG bij datalekken. De website van de AP biedt een overzicht van mogelijkheden voor betrokkenen bij een datalek.
Daarnaast zal het kabinet met een reactie komen in lijn met de gedane toezegging door de Staatssecretaris van Digitale Economie en Soevereiniteit en de aangenomen motie van het lid Rajkowski die opriep voor een duidelijk handelingskader voor slachtoffers van datalekken en de gedane toezegging5.

Vraag 13

Op welke wijze houdt de Autoriteit Persoonsgegevens toezicht op de opvolging van dit incident, en beschikt de toezichthouder volgens u over voldoende bevoegdheden en capaciteit om effectief toezicht te houden bij grootschalige datalekken?

Vraag 14

Welke lessen trekt u uit dit incident voor het beleid richting de markt op het gebied van de weerbaarheid van organisaties die grote hoeveelheden persoonsgegevens verwerken?

Zie het antwoord op vraag 2.

Vraag 1

Bent u bekend met het onderzoek van de Justitiecommissie van het Amerikaanse Huis van Afgevaardigden, waarin Nederlandse en Europese organisaties onder vuur worden genomen vanwege hun rol bij de handhaving van de Digital Services Act (DSA)?1

Ja.

Vraag 2

Bent u eveneens bekend met de reactie van Bits of Freedom en Justice for Prosperity? Wat is hierop uw reactie?2

Ja. Het kabinet onderschrijft het belang van de handhaving van Europese digitale wetgeving. Toezichthouders en NGO’s spelen een belangrijke rol hierin en het kabinet zet zich ervoor in dat zij hun wettelijke en maatschappelijke taken zonder belemmering kunnen uitvoeren.

Vraag 3

Hoe reageert u op de aantijgingen die in het rapport worden gemaakt, waaronder richting de Autoriteit Consument & Markt (ACM) en NGO’s als Bits of Freedom en Justice for Prosperity?3

Het kabinet herkent zich niet in de uitspraken die worden gedaan in het rapport.

Vraag 4

Kunt u bevestigen dat de ACM simpelweg haar wettelijke taak uitvoert door de DSA te handhaven? Deelt u de zienswijze van de indieners dat dit op geen enkele manier onder druk mag worden gezet door andere overheden?

Dat kan het kabinet bevestigen en die zienswijze deelt het kabinet.

Vraag 5

Kunt u bevestigen dat Bits of Freedom en Justice for Prosperity hun maatschappelijke taak vervullen door betrokken te zijn bij de handhaving van de DSA? Deelt u de zienswijze van de indieners dat dit op geen enkele manier onder druk mag worden gezet door andere overheden?

Dat kan het kabinet bevestigen en die zienswijze deelt het kabinet. De effectiviteit van de DSA wordt niet alleen bepaald door handhaving door toezichthouders, maar ook door bijdragen van maatschappelijke organisaties, onderzoekers, gebruikers van platforms en onafhankelijke geschilbeslechtingsorganen, die allemaal rechten ontlenen aan de DSA.

Vraag 6

Welke status heeft dit rapport? Heeft u reden om te geloven dat hieruit sancties of maatregelen richting EU-lidstaten kunnen of zullen volgen?

Dit document is een staff report van de Republikeinse meerderheid van het Judiciary Committee in het Huis van Afgevaardigden van de VS. Met dit rapport op zichzelf kunnen geen sancties of maatregelen jegens EU-lidstaten worden ingesteld.

Vraag 7

Wat vindt u van de beschuldiging dat Nederlandse toezichthouders en NGO’s onder druk worden gezet omdat zij hun wettelijke en maatschappelijke taken uitvoeren? Heeft u hierover contact gehad met Amerikaanse vertegenwoordigers? Zo niet, kunt u dit alsnog doen?

Het kabinet vindt het niet passend dat Nederlandse toezichthouders en NGO’s onderwerp zijn van kritiek omdat zij hun wettelijke en maatschappelijke taken uitvoeren. Het betreft wetgeving die democratisch tot stand is gekomen. Het is onjuist om natuurlijke personen of organisaties daarop aan te spreken. Toezichthouders en NGO’s spelen een belangrijke rol in het Nederlandse bestel en het kabinet zet zich ervoor in dat zij hun wettelijke en maatschappelijke taken zonder belemmering kunnen uitvoeren.
Er is via verschillende kanalen regulier contact met Amerikaanse vertegenwoordigers. In die contacten heeft het kabinet ook haar zienswijze over deze casus uitgedragen. Zoals dat wanneer er een dispuut over beleid of regelgeving is, de discussie daarover via politici en beleidsmakers gevoerd moet worden.
In algemene zin blijft het kabinet zich inspannen voor de trans-Atlantische band. Tegelijkertijd benutten we diplomatieke kanalen om de VS aan te spreken wanneer hun acties onze waarden en belangen ondermijnen, altijd met oog voor de relatie en het behoud van kritieke veiligheidsbelangen.

Vraag 8

Bent u op de hoogte van berichtgeving waaruit blijkt dat de Amerikaanse overheid VS-diplomaten in Europa heeft geïnstrueerd om de DSA te traineren en frustreren?4 Hoe kijkt u naar deze werkwijze van de Verenigde Staten?

Ja. Zie ook het antwoord op vraag 9.

Vraag 9

Is de Amerikaanse ambassade in Nederland ook actief bezig met verzet tegen de handhaving van de DSA? Kunt u dit bevestigen, en toezeggen dat u contact met de ambassade opneemt om op te komen voor de vrijheid van onze toezichthouders en NGO’s?

Het staat de Amerikaanse regering vrij een positie te hebben op de DSA en deze uit te dragen.
Het kabinet is in gesprek met vertegenwoordigers van de Amerikaanse regering over de DSA. De precieze inhoud van deze gesprekken is vertrouwelijk, maar in algemene zin spant het kabinet zich ervoor in dat toezichthouders en NGO’s hun wettelijke en maatschappelijke taak zonder belemmering kunnen vervullen. Hiermee geeft het kabinet uitvoering aan het regeerakkoord waarin staat dat diplomatieke kanalen worden benut om de VS aan te spreken wanneer hun acties onze waarden en belangen ondermijnen, altijd met oog voor de relatie en het behoud van kritieke veiligheidsbelangen.

Vraag 10

Veroordeelt u de handelwijze van de Amerikaanse justitiecommissie, nu Nederlandse organisaties onder schot staan voor het uitvoeren van hun wettelijke en maatschappelijke taken?

Het kabinet deelt de inhoud van het rapport niet. Zie verder het antwoord op vraag 7.

Vraag 11

Bent u bereid maatregelen te nemen om de ACM, Bits of Freedom en Justice for Prosperity te beschermen tegen mogelijke Amerikaanse maatregelen naar aanleiding van het rapport van de justitiecommissie?

De inzet van het kabinet is erop gericht dat toezichthouders en NGO’s hun wettelijke en maatschappelijke taak zonder belemmering kunnen uitvoeren. Maatschappelijke organisaties hebben daarbij het recht op vereniging en vrijheid van meningsuiting. Mogelijke maatregelen naar aanleiding van het rapport tegen deze organisaties zal het kabinet volgen en het kabinet zal daarbij opkomen voor hun belangen.

Vraag 12

Zegt u toe om deze Nederlandse organisaties bij te staan als tegen hen een inreisverbod wordt ingevoerd? Op welke manier kunt u hen hulp aanbieden?

Zie de beantwoording van vraag 11. Het kabinet volgt de ontwikkelingen en zal indien nodig opkomen voor de belangen van deze organisaties. Van inreisverboden is op dit moment echter geen sprake.

Vraag 13

Hoe reageert u, in het licht van het rapport uit het Huis van Afgevaardigden, op het feit dat de Verenigde Staten eerder toegang tot het land hebben geweigerd voor Eurocommissaris Thierry Breton en vier vertegenwoordigers van NGO’s?

Zoals reeds aangegeven in de beantwoording van de Kamervragen van de leden Kathmann, van der Lee en Dassen over de aangekondigde tegenreactie van de Verenigde Staten gericht op Europese techbedrijven, heeft het kabinet net als de Europese Commissie en diverse andere EU-lidstaten zijn zorgen uitgesproken over deze visa-restricties en deze veroordeeld.

Vraag 14

Veroordeelt u, net als de Europese Commissie, de handelwijze van de Verenigde Staten nu zij pleitbezorgers van techregulering bestraffen?

Zie het antwoord op vraag 13.

Vraag 15

Deelt u de zorgen van de indiener dat de vijandige houding van de Verenigde Staten richting de EU en haar lidstaten kan leiden tot aarzeling bij het versterken en handhaven van Europese techregulering, zoals scherpere maatregelen tegen manipulatieve algoritmen en een digitaledienstenbelasting?

Het kabinet steunt de Europese Commissie en andere toezichthouders in het onverkort en niet-discriminatoir handhaven van de DSA, ongeacht waar de bedrijven vandaan komen. Op dit moment lopen diverse onderzoeken en procedures naar bedrijven, waardoor het kabinet op dit moment geen zorgen heeft dat de houding van de VS leidt tot terughoudendheid of aarzeling bij handhaving.

Vraag 16

Bent u het met de indiener eens dat Europa juist ondubbelzinnig en eensgezind moet blijven pleiten voor het strenger handhaven van wet- en regelgeving die de macht van Big Tech beteugelen, zoals gevraagd in de motie-Kathmann [Kamerstuk 30 821-264]?

Het kabinet steunt de Europese Commissie in het handhaven van de Europese digitale wetgeving en onderstreept het belang bij het als EU eensgezind op te treden in het geval van druk of tegenmaatregelen.

Vraag 17

Ziet u in de vijandige houding van de Verenigde Staten richting de EU aanleiding om versneld te verkennen hoe Nederland haar afhankelijkheid van Amerikaanse techdiensten kan afbouwen, zowel in de ICT-dienstverlening als bij de communicatieplatforms?

De VS zijn de wereldmacht met wie wij de meeste belangen delen. We blijven ons daarom inspannen voor goede trans-Atlantische relaties. Tegelijkertijd is het kabinet zich bewust van potentiële risico’s van afhankelijkheden. In het regeerakkoord wordt dan ook stevig ingezet op het versterken van onze digitale autonomie. Hiertoe zet het kabinet onder andere in op het versterken van de Europese digitale sector, met stimulerende, beschermende en partner maatregelen (promote, protect, partner).

Vraag 18

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «NS besteedt ict deels uit aan Amerikaanse leverancier»?1

Ja.

Vraag 2

Kunt u toelichten welke ICT-processen van de NS precies worden uitbesteed?2 Zijn dit (onderdelen van) kritieke processen met gevolgen voor de continuïteit van de NS indien ze langer dan één dag uitvallen?

De aanbesteding betreft een aantal verschillende systemen. Het gaat om:
Uitval van deze systemen heeft niet direct gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening, wat uiteindelijk tot hinder voor reizigers kan leiden. Het is overigens goed om te beseffen dat bovenstaande functies die onderdeel zijn van de uitbesteding, nu ook al zijn ondergebracht bij derde partijen.

Vraag 3

Klopt het dat er ook (onderdelen van) beveiligingssystemen worden uitbesteed aan een Amerikaans bedrijf? Welke gevolgen heeft dit voor de digitale autonomie van de Nederlandse (spoor)infrastructuur?

Zie voor een opsomming van de betreffende systemen het antwoord op vraag 2.
Het Security Operations Center wordt door NS zelf verzorgd, op dit moment in samenwerking met een Nederlands IT-bedrijf. In deze aanbesteding heeft NS de cyberrisico’s in kaart gebracht en in lijn daarmee passende eisen gesteld en een passend risicomanagementsysteem gekozen.

Vraag 4

Deelt u de opvatting van de NS dat de uitbestede processen niet missiekritisch zijn?3 Kunt u schetsen welke gevolgen het heeft voor de dienstverlening van de NS indien deze systemen wél uitvallen? Kunt u uitsluiten dat de uitvoering van de dienstverlening van NS (het laten rijden van treinen op het hoofdrailnet) in gevaar zou kunnen komen wanneer de betreffende systemen uitvallen? Zo ja, kunt u dit motiveren? Zo nee, deelt u dan de zorgen over deze uitbesteding?

Zie ook het antwoorden op vragen 2 en 3. Uitval van deze systemen heeft geen of beperkte directe gevolgen voor het rijden van treinen. Wel kan de uitval gevolgen hebben voor andere aspecten van de dienstverlening. De daadwerkelijke impact hangt af van de aard en de duur van de onderbreking en het specifieke onderdeel van de dienstverlening dat geraakt wordt.
Hierbij dient te worden benadrukt dat de grootste bedreiging voor de continuïteit van de (digitale) dienstverlening externe kwaadwillenden zijn. Hiertoe is het van belang dat de digitale diensten die worden afgenomen voldoen aan het vereiste beveiligingsniveau. De gekozen dienstverlener voldoet hieraan.

Vraag 5

Kan de Amerikaanse overheid, via wet- en regelgeving zoals de CLOUD Act, Foreign Intelligence Surveillance Act (FISA), en Executive Order 12333, toegang krijgen tot gevoelige gegevens over de Nederlandse spoorinfrastructuur? Kunt u dit met een ja of nee beantwoorden en dit met concrete verwijzing naar relevante juridische bronnen toelichten?

Diverse landen kennen inderdaad wet- en regelgeving met extraterritoriale werking die medewerking van dienstverleners bij gegevensverzoeken van veiligheidsdiensten verplicht, zoals de CLOUD Act, Executive Order 12333, en FISA sectie 702 in de VS. Voor EO12333 is geen medewerking van de leverancier vereist. Dergelijke wet- en regelgeving kan in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens. Op basis van dergelijke regelgeving kan een onder Amerikaanse zeggenschap vallende organisatie de opdracht krijgen gegevens te verstrekken aan de Amerikaanse overheid. Zie verder het antwoord op vragen 2 en 3.

Vraag 6

Biedt de groeiende afhankelijkheid van Amerikaanse ICT-bedrijven de mogelijkheid voor de Verenigde Staten om druk uit te oefenen op Nederland, bijvoorbeeld door de continuïteit van de dienstverlening van de NS in gevaar te brengen?

In deze NS-casus ziet het kabinet geen aanleiding om aan te nemen dat door de inkoop van deze ICT-diensten de continuïteit van de dienstverlening in gevaar wordt gebracht of dat het gebruik van deze specifieke digitale dienst gebruikt zal worden om druk uit te oefenen op Nederland. Nederland en Europa zijn voor cruciale digitale infrastructuur sterk afhankelijk geworden van een klein aantal niet-Europese spelers. Dat maakt ons kwetsbaar in een wereld waarin technologie steeds vaker als geopolitiek machtsmiddel wordt ingezet. Dit levert efficiëntie en toegang tot belangrijke functionaliteiten op, maar legt ook een kwetsbaarheid bloot ten aanzien van afhankelijkheid en digitale autonomie. Daarom is in algemene zin de inzet van het kabinet er op gericht om risicovolle strategische afhankelijkheden van derde landen af te bouwen en zoveel mogelijk te diversifiëren, ook op digitaal vlak.

Vraag 7

Deelt u de mening dat de NS digitale autonomie zou moeten betrachten en af zou moeten zien van deze aanbesteding bij een Amerikaans bedrijf? Welke concrete mogelijkheden ziet u hiertoe?

Zie het antwoord op vraag 8.

Vraag 8

Waarom voldeed KPN niet meer als aangewezen ICT-leverancier voor deze diensten? Was het strikt noodzakelijk om de ICT uit te besteden, en zo ja, waarom aan een niet-Europees bedrijf?

NS dient zicht te houden aan de Aanbestedingswet. Het eerdere contract met KPN liep af en kende ook geen verlengingsmogelijkheden meer. NS is dan verplicht de opdracht via een Europese Aanbestedingsprocedure in de markt te zetten. Daarbij stelt NS zeer uitgebreide eisen en criteria op het gebied van prijs, kwaliteit, beschikbaarheid (zo min mogelijk storingen) en cyberveiligheid. De Nederlandse dochter van een Amerikaanse onderneming kwam als beste uit de bus.

Vraag 9

Past de keuze van de NS om haar ICT uit te besteden aan een Amerikaans bedrijf binnen de ambitie van het kabinet om meer digitaal onafhankelijk te worden? Welke rol heeft de Staat als enig aandeelhouder hierin?

De gunning is een uitkomst van het verplichte Europese aanbestedingsproces. Het kabinet heeft als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.
Als aandeelhouder van NS staat de Minister van Financiën op dit onderwerp meer op afstand: operationele zaken zoals de wijze van aanbesteden zijn primair de verantwoordelijkheid van het bestuur van de deelnemingen.

Vraag 10

Hoe kijkt u aan tegen de keuze van de NS om, tegen de achtergrond van de huidige geopolitieke situatie en nadat de Rijksoverheid herhaaldelijk het belang van digitale autonomie benadrukte, alsnog ICT uit te besteden aan een niet-Europees bedrijf?

Ik verwijs graag naar mijn antwoord op vraag 6, 8 en 9.

Vraag 11

Acht u de lange doorlooptijd van het contract, namelijk zes tot twaalf jaar, geschikt gezien de onzekerheid van de geopolitieke relatie met de Verenigde Staten?

Een dergelijke doorlooptijd is niet ongewoon gezien de implementatietijd en -kosten van een dergelijke migratie.

Vraag 12

Klopt het dat er geen nationale richtlijnen bestaan om Amerikaanse partijen te weren? Staat dit wel voorzien in het nieuwe cloudbeleid dat nog steeds in ontwikkeling is?

Het klopt dat er geen nationale richtlijnen zijn om Amerikaanse partijen te weren en de inzet van het kabinet is daar ook niet op gericht. Het Rijksbreed cloudbeleid is niet van toepassing op staatsdeelnemingen, en is landenneutraal opgesteld.
Het kabinet heeft wel als doel om bij digitale inkoop en aanbestedingen te gaan standaardiseren en centraliseren, waarbij onder meer gestuurd wordt op waarden zoals security-by-design, zero-trust, soevereiniteit, open source en ketenveiligheid.

Vraag 13

Is in deze aanbesteding voldaan aan de Algemene Beveiligingseisen voor Rijksoverheidsopdrachten (ABRO), waarin staat dat er strenge eisen gesteld moeten worden aan digitale autonomie en soevereiniteit?

Het kabinet heeft besloten dat de departementen, hun diensten en agentschappen, en de politie vanaf 1 januari 2026 de ABRO gaan toepassen bij contracten met bedrijven als daarbij risico’s voor de nationale veiligheid aanwezig zijn. De NS is geen onderdeel van deze organisaties. Voor de implementatie hiervan hebben deze inkopende organisaties tot eind 2027 de tijd gekregen. Daarover is uw Kamer geïnformeerd (TK 2025/2026 26 643, nr. 1438). Als een inkopende organisatie, voordat zij besluit de ABRO toe te gaan passen, al een aanbestedingsproject in gang heeft gezet, is uitgangspunt dat deze aanbesteding niet alsnog onder de ABRO kan worden gebracht.
In bedoelde Kamerbrief is ook gemeld dat voorbereidingen worden getroffen om deze beveiligingseisen ook te laten toepassen door andere inkopende organisaties. Dat gaat om onder meer Zelfstandige Bestuursorganen, provincies, gemeenten, waterschappen en vitale sectoren. Momenteel wordt binnen het rijksbrede programma «Veilig inkopen» onderzocht welke risico’s deze organisaties lopen voor de nationale veiligheid. Het staat nog niet vast welke specifieke organisaties in dit onderzoek worden meegenomen. Voor deze inkopende organisaties worden de benodigde juridische instrumenten, financiën en organisatorische afspraken voorbereid. In het 3e kwartaal van 2026 wordt de Tweede Kamer over de stand van zaken van het programma «Veilig inkopen» geïnformeerd.
De ABRO maakt onderdeel uit van een keten. De inkopende organisatie deelt bij aanvang van een aanbesteding mee dat de ABRO wordt toegepast. Als bij een inkoop de Aanbestedingswet op Defensie- en Veiligheidsgebied (ADV) wordt gevolgd, dan biedt dat de mogelijkheid om alleen bedrijven uit de Europese Economische Ruimte én bedrijven uit nader te bepalen landen toe te laten als inschrijver op zo’n inkoop.
De ABRO ziet niet direct op digitale soevereiniteit en biedt geen directe mogelijkheden om ongewenste overnames te voorkomen of bepaalde aanbieders op voorhand uit te sluiten in een aanbesteding. Het Nationaal Bureau Industrieveiligheid (NBIV) controleert het bedrijf dat als winnaar uit zo’n aanbesteding komt of het aan de ABRO-eisen voldoet. Daarbij dient onder meer inzicht te worden gegeven in de organisatiestructuur van en de zeggenschap over een bedrijf. Als de risico’s voor de nationale veiligheid niet kunnen worden beperkt, geeft NBIV geen ABRO-verklaring af en kan in beginsel geen contract worden afgesloten.
Bij een contract waarop de ABRO is toegepast, is de contractspartij verplicht om NBIV tijdig te informeren bij potentiële overnames of wisselingen in significante invloed. Het biedt opdrachtgever en NBIV daarmee de mogelijkheid om de risico’s voor de nationale veiligheid te beperken. Indien die risico’s niet kunnen worden beperkt, kan de ABRO-verklaring worden ingetrokken en kan de inkopende organisatie het contract ontbinden.

Vraag 14

Is het mogelijk om via het Cloud Sovereignty Framework van de EU wél voorkeur te geven aan Europese partijen bij ICT-aanbestedingen? Waarom is daar in dit geval geen gebruik van gemaakt?

Het Cloud Sovereignty Framework van de EU is niet van toepassing op deze tender en bestond nog niet ten tijde van het uitzetten van de onderhavige aanbesteding. Het is op basis van de aanbestedingsregels niet toegestaan om gedurende de aanbestedingsprocedure aanvullende eisen (zoals het EU Cloud Sovereignty Framework) toe te voegen.
Het Cloud Sovereignty Framework van de EU biedt kwalitatieve scoringseisen voor aanbestedende partijen en heeft als doel om een level playing field te bieden aan clouddienstverleners, en tevens om de sector richting Europese standaarden en waarden te drijven. Het Cloud Sovereignty Framework is dus niet gericht op het uitsluiten van partijen.

Vraag 15

Kunt u deze vragen afzonderlijk van elkaar en zo spoedig mogelijk beantwoorden, nog voordat er onomkeerbare stappen worden gezet?

De vragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het manifest, wereldwijd ondertekend, die oproept om AI-uitkleedsoftware te verbieden?1

Ja.

Vraag 2

Wat is uw reactie op het manifest? Kunt u inhoudelijk reageren op de specifieke oproepen aan beleidsmakers van EU-lidstaten?

Het is goed dat het maatschappelijk middenveld met dit manifest breed aandacht vraagt voor de problematiek rondom nudifying-tools. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. Het bericht dat zoveel mensen slachtoffer zijn geworden is zeer zorgwekkend. Het is onacceptabel om met behulp van AI zonder toestemming mensen uit te kleden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden.
Ten aanzien van de eerste drie specifieke oproepen: op grond van het bestaande straf- en civiele recht kan de nudify-problematiek in Nederland en de EU al grotendeels worden aangepakt. Het gebruik ervan zonder toestemming zal in de praktijk vrijwel altijd strafbaar en/of onrechtmatig zijn. Zo biedt de Nederlandse wetgeving via de artikelen 252 en 254ba Wetboek van Strafrecht voldoende mogelijkheden om strafrechtelijk op te treden tegen personen die met AI applicaties zonder toestemming deepnudes van personen, waaronder vrouwen en minderjarigen, genereren, voorhanden hebben en verspreiden.
Bij het verwerken van persoonsgegevens in deepfakes, zoals gezichts- of stemkenmerken, is verder de Algemene Verordening Gegevensbescherming (hierna: AVG) van toepassing. De AVG verbiedt het maken en verspreiden van deepfakes die persoonsgegevens bevatten, buiten de huiselijke sfeer, zonder een geldige verwerkingsgrondslag. In de praktijk betekent dit dat een deepfake zonder toestemming, vooral wanneer het gevoelige (bijvoorbeeld seksuele) inhoud bevat, in strijd is met de AVG. Personen wiens gegevens onrechtmatig zijn verwerkt in (deepfake)content kunnen een klacht indienen bij de Autoriteit Persoonsgegevens (hierna: AP).
Het gebruik van deepfake-technologie kan onder bepaalde omstandigheden een onrechtmatige daad vormen. Dit is meestal het geval bij de publicatie van pornografische deepfakes die zonder toestemming zijn gemaakt, maar kan ook gelden voor stemimitaties. Bovendien blijkt uit de regeling van het portretrecht in de Auteurswet dat het publiceren van een portret, dat niet op verzoek is gemaakt (wat meestal het geval is bij deepfakes), niet is toegestaan als er een redelijk belang van de geportretteerde is dat zich verzet tegen openbaarmaking (artikel 21 Auteurswet).
De digitaledienstenverordening (Digital Services Act, hierna: DSA) regelt dat hostingsdiensten, waaronder online platforms, verplicht zijn om te voorzien in mechanismen via welke gebruikers meldingen kunnen doen van illegale inhoud die zich op de dienst/op het platform bevindt. De meldingen moeten vervolgens (tijdig) worden beoordeeld en verwerkt. In het geval van illegale deepnudes zal dit betekenen dat zij de betreffende inhoud, zodra zij daarvan kennis hebben, moeten verwijderen. Wanneer de hostingdiensten, waaronder online platforms, dat niet doen riskeren zij aansprakelijkheid.
Daar bovenop geldt voor de zogenaamde aangewezen «zeer grote online platforms» (zoals X, Facebook, Instagram, TikTok, YouTube, Snapchat) de verplichting om zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of de werking van de dienst en daaraan verbonden systemen (waaronder algoritmes en aanbevelingssystemen), te beoordelen en te beperken. Dit omvat risico’s in verband met de verspreiding van illegale inhoud, zoals gemanipuleerde seksueel expliciete afbeeldingen, met inbegrip van inhoud die kan neerkomen op materiaal van seksueel misbruik van kinderen. In dat kader is de Europese Commissie, die primair toezicht houdt op aangewezen zeer grote online platforms- en zoekmachines, onlangs een onderzoek gestart tegen X, in verband met de risico’s voortvloeiende uit de uitrol van Grok in dat platform.2
Het kabinet staat voor een effectieve aanpak van de nudify-problematiek en daar kan een verbod deel van uitmaken. Op dit moment wordt de mogelijkheid van een verbod op het aanbieden van nudifying-tools verkend. Hiervoor is verdere studie nodig. Er is nog weinig bekend over de effectiviteit van een mogelijk verbod, waar dit eventueel opgenomen zou moeten worden, de wijze waarop dit het beste vorm kan krijgen, de handhavingsmogelijkheden en de uitvoeringsconsequenties. Mijn ministerie is momenteel in gesprek met verschillende partijen om te bezien of de aanpak kan worden versterkt.
In de aanpak van dergelijke grensoverschrijdende uitdagingen kan een Europese benadering effectiever zijn dan een nationale. Daarom is het positief dat hierover gesprekken op Europees niveau worden gevoerd. In dat kader is relevant dat de Raad op 13 maart jl. zijn mandaat voor de triloog heeft vastgesteld ten aanzien van de AI-omnibus en een amendement waarbij AI-systemen die non-consensuele expliciete deepfakes genereren (zoals nudify-tools) onder de verboden AI-praktijken in de AI-verordening worden gebracht, heeft gesteund. Op 26 maart jl. heeft het Europees Parlement ingestemd met een dergelijk verbod. Dit betekent dat de onderhandelingen tussen het Europees Parlement en de Raad over de definitieve vorm van een dergelijk verbod kunnen beginnen.3
Voor wat betreft de laatste specifieke oproep geldt dat in het kader van het herziene curriculum voor het primair en voortgezet onderwijs kerndoelen voor Digitale Geletterdheid zijn ontwikkeld. De kerndoelen richten zich onder meer op het herkennen van online risico’s, het omgaan met (ongepaste) content en het bevorderen van digitale weerbaarheid, waaronder het kritisch omgaan met AI-toepassingen. Ook in het middelbaar beroepsonderwijs is aandacht voor digitale geletterdheid, zowel in beroepsgerichte programmaonderdelen als via generieke onderdelen.
Via het Netwerk Mediawijsheid wordt aanvullend ingezet op brede bewustwording en ondersteuning van burgers van alle leeftijden. Het netwerk ontwikkelt informatie, campagnes en lesmateriaal voor leerlingen, docenten, ouders en andere doelgroepen, met aandacht voor online pesten, seksueel grensoverschrijdend gedrag en sextortion.

Vraag 3

Steunt u het manifest? Zo ja, op welke manieren geeft u uitvoering aan de aanbevelingen?

Het is goed dat het maatschappelijk middenveld met dit manifest een duidelijke stem laat horen over de risico’s van zogenoemde nudifying tools. Door gezamenlijk stelling te nemen, maken de betrokken organisaties duidelijk dat dit een vraagstuk is voor iedereen: overheden, technologiebedrijven en de samenleving in het algemeen. Het manifest draagt eraan bij dat mensen zich bewuster worden van hun eigen rol in het tegengaan van dit probleem en spreekt iedereen aan op zijn of haar verantwoordelijkheid om bij te dragen aan een veilige (digitale) omgeving, in het bijzonder voor kinderen en jongeren. Ten aanzien van de uitvoering van de aanbevelingen verwijs ik naar de beantwoording van vraag 2.

Vraag 4

Hoe gaat u de motie-Van der Werf c.s. [Kamerstuk 36 800 VI-80] uitvoeren die vraagt om een onderzoek naar een verbod op dergelijke apps?

Op dit moment wordt de mogelijkheid van een dergelijk verbod onderzocht. Zoals aangegeven in het antwoord op vraag 2, is een verbod op AI-uitkleedapplicaties inmiddels onderdeel van de lopende AI Omnibus-onderhandelingen. Met de voortgangsbrief seksuele misdrijven, die twee keer per jaar wordt verzonden, wordt u verder geïnformeerd over de uitvoering van deze motie.

Vraag 5

Kunt u de wettelijke maatregelen tegen uitkleedsoftware versnellen, en zo spoedig mogelijk met wetgeving komen om AI-uitkleedsoftware te verbieden?

Er is hier sprake is van een maatschappelijk probleem dat zich in grote mate blijft voordoen en dat dit een snelle, voortvarende aanpak vereist. Het onderwerp heeft de aandacht van het kabinet, wat onder andere blijkt uit het coalitieakkoord.4 De mogelijkheden voor de aanpak van AI-uitkleedsoftware worden op dit moment verkend. Een verbod op AI-uitkleedapplicaties is verder onderdeel van de onderhandelingen over de AI-omnibus. Dit vraagstuk is complex en kent helaas geen snelle oplossing. Een zorgvuldige afweging, samen met alle betrokken partijen is noodzakelijk.

Vraag 6

Bent u bekend met de oproep van Spanje, gesteund door Ierland, Frankrijk en Slovenië, om AI-uitkleedsoftware te verbieden in artikel 5 van de Europese AI Act?2, 3

Ik ben bekend met de oproep van verschillende lidstaten om AI-uitkleedsoftware in artikel 5 van de Europese AI Act te verbieden. Als vermeld in de beantwoording van de vragen 2, 4 en 7 is een verbod op AI-uitkleedsoftware inmiddels onderdeel van onderhandelingen over de AI-omnibus.

Vraag 7

Deelt u de analyse van deze landen dat AI-uitkleedsoftware al is verboden in de Europese Unie? Zo niet, bent u bereid te pleiten voor een Europees verbod?

Bestaande Europese wetgeving verbiedt het maken en verspreiden van bepaalde seksueel expliciete beelden. Het gaat hier bijvoorbeeld om beelden van personen zonder hun toestemming of materiaal van seksueel kindermisbruik. Deze wetgeving maakt het vooral mogelijk om achteraf in te grijpen. De Europese ontwikkelingen ten aanzien van dit onderwerp worden meegenomen in de eerdergenoemde verkenning naar een eventueel verbod.

Vraag 8

Bent u bereid om Nederland bij deze groep EU-lidstaten te voegen? Welke expertise en ondersteuning kan Nederland in deze groep bieden, bijvoorbeeld met organisaties als Offlimits aan tafel?

Onderdeel van eerdergenoemde verkenning is het actief aangaan van gesprekken en samenwerking met andere Europese lidstaten. Als aangegeven in de beantwoording van vraag 2 hebben in het kader van de verkenning naar de mogelijkheid van een verbod op het aanbieden van nudifying-tools ook gesprekken met verschillende stakeholders en experts plaatsgevonden. Ik informeer u hier verder over in de voortgangsbrief seksuele misdrijven.

Vraag 9

Kunt u deze vragen afzonderlijk van elkaar en zo snel mogelijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het NOS-bericht «Franse autoriteiten doen inval bij X-vestiging in Parijs»?1

Ja.

Vraag 2

Hoe beoordeelt u de inval van de Franse autoriteiten in een kantoor van het sociale mediaplatform X?

Het is niet aan ons om de inval van de Franse autoriteiten te beoordelen. Het kabinet doet geen uitspraken over specifieke (strafrechtelijke) onderzoeken. Dit geldt ook voor (strafrechtelijke) onderzoeken die in het buitenland plaatsvinden.

Vraag 3

Hoe plaatst u deze inval in het bredere onderzoek van het Franse OM en Interpol naar de de AI-chatbot Grok, seksuele deepfakes, het in bezit hebben en verspreiden van seksueel kindermisbruikmateriaal en holocaustontkenning op X?

Zie antwoord vraag 2.

Vraag 4

Bent u van plan steun uit te spreken voor dit onderzoek en eventuele maatregelen op Europees niveau toe te passen? Zo nee, waarom niet?

Het kabinet gaat ervan uit dat het Franse Openbaar Ministerie en Interpol de juiste gronden hebben om een dergelijk onderzoek te starten en eventuele vervolgstappen te overwegen. Zie het antwoord op vraag 2.
Onder de Digital Service Act (DSA) wordt X aangemerkt als zeer groot online platform. Bij zeer grote online platforms heeft de Europese Commissie de primaire bevoegdheid voor het toezicht op en de handhaving van de DSA. De Europese Commissie is hier dus aan zet en zij is op 26 januari jl., naar aanleiding van de berichtgeving over AI-chatbot Grok, een onderzoek gestart.2 Als de Europese Commissie concludeert dat X de DSA heeft overtreden, kan zij verdere handhavingsmaatregelen nemen, zoals de vaststelling van een besluit tot niet-naleving en de oplegging van een boete, net zoals de Europese Commissie dat begin december 2025 al heeft gedaan jegens X.

Vraag 5

Maakt X zich naar uw inzicht ook schuldig aan strafbare feiten door politieke inmenging te faciliteren, algoritmen aan te passen, data illegaal te verzamelen, en de AI-chatbot Grok seksuele deepfakes en kindermisbruikmateriaal te laten genereren?

Het is niet aan ons als bewindspersonen om dat te beoordelen. Zie de antwoorden op de vragen 2–4.

Vraag 6

Als blijkt dat X (vermoedelijk) tegen de Nederlandse wet- en regelgeving handelt, welke mogelijkheden heeft u om tegen het bedrijf op te treden?

Bij de beantwoording van deze vraag gaan wij in op de meest relevante wetgeving die in Nederland van toepassing is, omdat op dit moment niet duidelijk is wat de exacte aanleiding is voor de Franse inval bij X en welke regelgeving X volgens het Franse OM zou hebben geschonden.
Strafrechtelijk kan in Nederland de officier van justitie op grond van artikel 125p van het Wetboek van Strafvordering (Sv) aan een aanbieder van een communicatiedienst bevelen om strafbare online content ontoegankelijk te maken. Een dergelijk bevel kan, kort gezegd, worden gegeven als sprake is van een strafbaar feit waarvoor voorlopige hechtenis is toegelaten, ter beëindiging van dat strafbare feit en/of ter voorkoming van nieuwe strafbare feiten. Van deze mogelijkheid wordt beperkt gebruik gemaakt, omdat de politie en het Openbaar Ministerie ook gebruik kunnen maken van verwijderverzoeken op basis van de zelfreguleringsmogelijkheden. Deze zijn in de praktijk vaak sneller. Een aanbieder die niet voldoet aan een dergelijk bevel onder 125p Sv kan strafrechtelijk aansprakelijk zijn (artikel 54a van het Wetboek van Strafrecht).
De Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) is bevoegd om aanbieders van communicatiediensten die in Nederland zijn gevestigd of die beeldmateriaal van seksueel kindermisbruik op Nederlands grondgebied hebben opgeslagen, te verplichten om dergelijk materiaal ontoegankelijk te maken of te verwijderen. Als aanbieders van communicatiediensten niet aan deze verplichting voldoen, kan de ATKM bestuursrechtelijk handhaven. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10% van de jaarlijkse omzet van de onderneming. Als en voor zover X kwalificeert als aanbieder van communicatiediensten en het beeldmateriaal van seksueel kindermisbruik op Nederlands grondgebied heeft opgeslagen, zou de ATKM daartegen mogelijk kunnen optreden tegen de verspreiding van het materiaal.
Daarnaast hebben gebruikers van X de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, een gerechtelijke procedure te starten.
Ook is de DSA in Nederland van toepassing. Zoals vermeld in het antwoord op vraag 4, is in het geval van X de Europese Commissie op grond van de DSA primair bevoegd om handhavend op te treden ten aanzien van de DSA en niet de ACM (de Nederlandse toezichthouder op de DSA). Wel heeft de ACM, als nationale toezichthouder, de mogelijkheid om een signaal af te geven richting de Europese Commissie en/of de digitaledienstencoördinator van de plaats van vestiging van X. In dit geval is dat de Ierse toezichthouder, omdat het Europese hoofdkantoor van X is gevestigd in Ierland.
De Europese Commissie kan als bevoegd toezichthouder een onderzoek instellen en onder andere sancties opleggen tot 6% van de wereldwijde omzet in het voorgaande boekjaar. Daarnaast kunnen zij een last onder dwangsom opleggen.
Op grond van artikel 82 DSA kan de Europese Commissie als ultimum remedium, onder strikte voorwaarden, de digitaledienstencoördinator van de plaats van vestiging van de betrokken aanbieder van het zeer grote onlineplatform, verzoeken om op te treden krachtens artikel 51, derde lid van de DSA en de bevoegde gerechtelijke autoriteit van zijn lidstaat vragen de toegang tot het platform tijdelijk te beperken. Zoals hierboven vermeld, is in het geval van X de Ierse toezichthouder de bevoegde digitaledienstencoördinator.

Vraag 7

Op welke manier draagt u bij aan onderzoeken en juridische stappen die worden gezet door de Europese Commissie en EU-lidstaten? Zo niet, ziet u mogelijkheden om expertise te verlenen aan deze acties?

Indien de vraag betrekking heeft op de handhavingsprocedure tegen X door de Europese Commissie onder de DSA, dan geldt dat zij in de verordening de bevoegdheden toegekend heeft gekregen die nodig zijn voor effectief toezicht en handhaving.
Op nationaal niveau hebben we de Autoriteit Consument en Markt en de Autoriteit Persoonsgegevens ook voorzien van de bevoegdheden die zij nodig hebben om onderzoeken te kunnen verrichten en juridische stappen te zetten.
Bij de uitvoering van hun taak zijn toezichthouders onafhankelijk. Het past dan niet als wij ons mengen in onderzoeken of juridische stappen. Dit geldt ook voor onderzoeken en juridische stappen die door toezichthouders in het buitenland worden gezet. Mochten de toezichthouders echter om hulp vragen dan sta ik daar uiteraard welwillend tegenover, mits het hun onafhankelijkheid niet schaadt. Zoals in het antwoord op vraag 4 is aangegeven, geldt in algemene zin dat de ACM goed contact onderhoudt met de Europese Commissie en andere lidstaten en, indien relevant, signalen kan delen ook wanneer een aanbieder niet in Nederland is gevestigd.

Vraag 8

Kunt u reflecteren op het besluit van het kantoor van de Franse openbaar aanklager om van X af te stappen? Ziet u dit als een terechte en effectieve reactie op de recente ontwikkelingen?

Het kabinet treedt niet in besluiten van buitenlandse opsporingsautoriteiten of het openbaar ministerie. Het is aan de Franse autoriteiten om in het kader van hun eigen onderzoek afwegingen te maken over hun werkwijze en eventuele maatregelen.

Vraag 9

Ontvangen Nederlandse autoriteiten eveneens klachten over de AI-chatbot Grok? Zo ja, hoe veel? Geven deze klachten aanleiding om ook in Nederland juridische stappen te zetten tegen X?

Recent hebben wij u geïnformeerd over het standpunt van het kabinet omtrent de verontrustende toename aan «deepnudes» via applicaties zoals GROK en de grote impact die dit heeft op slachtoffers en hun omgeving. Hierin staat voorop dat wij dit zeer onwenselijk vinden.3
Slachtoffers kunnen bij verschillende organisaties, zoals Slachtofferhulp Nederland (SHN), Centrum Seksueel Geweld (CSG) en Offlimits, terecht voor hulp. Als het slachtoffer overweegt een melding te maken of aangifte te doen, kan deze terecht bij de politie. Genoemde hulporganisaties kunnen slachtoffers hierover informeren of hierbij ondersteunen.
Bij bovengenoemde hulporganisaties is niet bekend of er ook Nederlanders zijn die slachtoffer zijn geworden van de AI-naaktbeelden, die specifiek met de AI-Chatbot Grok zijn gegenereerd. Dit komt omdat bij meldingen die door slachtoffers worden gedaan bij SHN en CSG, in de registratie geen onderscheid wordt gemaakt naar misbruik van echt dan wel AI-gegenereerd beeldmateriaal. Bij meldingen die door slachtoffers worden gedaan bij Offlimits, wordt in de registratie wel onderscheid gemaakt tussen echt en AI-gegenereerd beeldmateriaal, maar wordt niet geregistreerd met welke specifieke AI-applicatie, zoals bijvoorbeeld de AI-chatbot Grok, de afbeeldingen zijn gegenereerd.
De politie heeft in de afgelopen twee maanden wel een toename gezien in de hoeveelheid meldingen die vanuit platforms wordt gedaan over uploads naar AI-chatbot Grok. Mogelijk zijn er slachtoffers die zelf melding hebben gedaan bij de politie, maar dit is niet goed uit de registratie te halen, omdat de melding onder verschillende delictsoorten kan worden geregistreerd.
Bovenstaande geeft vooralsnog geen aanleiding om ook in Nederland juridische stappen te zetten tegen X.

Vraag 10

Bent u voornemens om naar aanleiding van het Franse onderzoek en recente berichtgeving2 over democratische ondermijning als gevolg van X om ook van het platform af te stappen? Waarom wel of niet?

Het bereiken en informeren van zoveel mogelijk mensen, juist ook groepen die via traditionele media minder goed kunnen worden bereikt, en hen in staat stellen kennis te nemen van overheidsinformatie, weegt zwaar. Daarom kiezen wij altijd voor een mix aan online en offline kanalen. Dagelijks maken miljoenen Nederlanders gebruik van sociale media, waaronder het platform X. Het platform is daarmee voor de rijksoverheid een belangrijk middel om veel mensen te bereiken en informeren.
We zijn continu op zoek naar de juiste manier hoe we inwoners kunnen bereiken. In die zoektocht hebben de ontwikkelingen op sociale media, waaronder X, onze aandacht.

Vraag 11

Kunt u, om de afhankelijkheid van X voor overheidscommunicatie te doorbreken, toezeggen dat overheidscommunicatie voortaan op alle veelgebruikte alternatieve media én op de eigen overheidswebsites plaatsvindt? Zo nee, waarom niet?

De rijksoverheid verkent doorlopend mogelijkheden en middelen waarmee zoveel mogelijk mensen kunnen worden bereikt. Sociale mediaplatformen en andere (nieuwe) kanalen maken hiervan onderdeel uit. Afhankelijk van de doelgroep en het onderwerp worden ook veelgebruikte kanalen als LinkedIn en Instagram ingezet. Daarnaast wordt via social.overheid.nl gewerkt aan het ontwikkelen van een eigen sociale mediaplatform waar Mastodon draait op een overheidsserver en waar geen gebruik wordt gemaakt van schadelijke algoritmes en de privacy van de gebruikers wordt beschermd. Momenteel is de Staatssecretaris van Economische Zaken al aanwezig op Mastodon. Ook hoeven mensen geen account aan te maken om overheidsinformatie te kunnen lezen. We verkennen daarnaast de aanwezigheid op BlueSky, waar sinds het aantreden van het nieuwe kabinet al meerdere bewindspersonen actief op zijn. Het is op dit moment echter met het oog op bereik nog geen volwaardig alternatief voor de omvangrijkste sociale mediaplatforms.
De rijksoverheid biedt (beleids)informatie in beginsel altijd op de eigen websites aan zodat mensen vrij toegang hebben tot de informatie van de rijksoverheid.

Vraag 12

Heeft u reeds gekeken naar de mogelijkheid om alternatieve communicatieplatforms voor X te gebruiken, zoals toegezegd tijdens de Algemene Politieke Beschouwingen van 2025?3

Zie het antwoord op vraag 11.

Vraag 13

Wat zijn de uiterlijke consequenties voor X als het platform willens en wetens blijft handelen tegen de Europese wet- en regelgeving in, en als dit blijkt uit de lopende onderzoeken? Bent u bereid in het uiterste geval te pleiten voor een Europees verbod op het platform?

Met betrekking tot de vraag hoe nationaal kan worden opgetreden indien X willens en wetens handelt tegen de Europese wet- en regelgeving, verwijzen wij naar het antwoord op vraag 6.
Indien de vraag betrekking heeft op de overtreding van de DSA, dan kan de Europese Commissie onder meer een boete opleggen ter hoogte van 6% van de wereldwijde jaaromzet van X. Daarnaast kan ze een dwangsom opleggen of aanbieders onder verscherpt toezicht plaatsen. In bijzondere uiterste gevallen, die in dit geval niet aan de orde zijn, kan er ook een tijdelijke blokkade van een dienst worden ingesteld.
Een Europees verbod op het platform is op dit moment niet aan de orde. Vooralsnog vertrouwt het kabinet erop dat de Europese Commissie via handhaving van de DSA de noodzakelijke wijzigingen kan afdwingen om voor naleving te zorgen. Omdat handhaving van de DSA door sommige landen wordt verbonden aan de geopolitiek is het zaak dat de lidstaten laten blijven dat zij de Europese Commissie steunen in het verrichten van diens taken.

Vraag 14

Kunt u deze vragen afzonderlijk van elkaar en uiterlijk in de week van 2 maart 2026 beantwoorden, nog voordat het gesprek van de commissie Digitale Zaken met een vertegenwoordiging van de Europese Commissie is voorzien?4

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het artikel «Snelgroeiende autonome AI-assistent is een «disaster waiting to happen»»?1

Ja, ik heb kennisgenomen van dit artikel.

Vraag 2

Deelt u de zorgen van experts dat steeds autonomer opererende AI-assistenten risico’s vormen voor veiligheid, privacy, menselijke controle en mentale gezondheid? En kunt u daarbij aangeven welke risico’s u het meest urgent acht?

Ja, die zorgen deel ik. In de Verzamelbrief van 18 december 20252 heeft de voormalig Staatssecretaris Digitalisering en Koninkrijksrelaties uw Kamer geïnformeerd over de resultaten van de forecast «Zicht op de Digitale Toekomst», welke TNO heeft ontwikkeld op zijn verzoek. TNO heeft daarin ook gekeken naar de impact van autonomer opererende AI-assistenten («Agentic AI») op publieke waarden zoals privacy, autonomie en democratie. Een risico is bijvoorbeeld dat gebruikers de controle verliezen op wat AI-assistenten doen. Daarnaast verzamelt en verwerkt het veel persoonlijke gegevens van gebruikers. Omdat deze AI-assistenten zelfstandig werken is het voor gebruikers moeilijk te overzien welke data waar terechtkomt en wat er met die data gebeurt. Een ander risico is dat het niet meer scherp wordt wie verantwoordelijk is voor de handelingen van de AI-assistent. Ook op het gebied van privacy en (cyber)veiligheid zijn er risico’s. Dat geldt met name voor de meer experimentele vormen van AI-assistenten waar in het artikel naar verwezen wordt, en waar ook de Autoriteit Persoonsgegevens recent voor heeft gewaarschuwd.3 Op het moment dat autonome AI-assistenten breed toegang krijgen tot talrijke apps en informatiebronnen, dan kan het misgaan doordat bijvoorbeeld accounts worden overgenomen, hacks worden gezet, of toegang worden verkregen tot privacy gevoelige gegevens (datalekken).

Vraag 3

Acht u het wenselijk dat AI-systemen zelfstandig handelingen, zoals het doen van aankopen en het aangaan van contracten, kunnen verrichten namens gebruikers?

De wenselijkheid van dit soort autonomere AI-toepassingen hangt samen met de wijze waarop en het domein waarin deze worden ingezet. Bij iedere toepassing is het daarbij in beginsel de vraag in hoeverre de inzet rechtmatig en proportioneel is en in lijn met bestaande wet- en regelgeving. Ook is van belang dat duidelijk is wie verantwoordelijk is voor de handelingen die een AI-systeem namens een gebruiker verricht en dat er voldoende waarborgen bestaan op het gebied van bijvoorbeeld transparantie, controleerbaarheid en de bescherming van (andere) publieke waarden. Uiteraard vind ik het daarbij van belang om de ontwikkelingen op het gebied van AI, zoals agentic AI en autonomere AI-systemen, nauwgezet te volgen en hierin ook in Europees verband op te trekken, bijvoorbeeld via de Europese AI Board en andere relevante EU-gremia.

Vraag 4

Zo ja, kunt u aangeven welke toepassingen het kabinet maatschappelijk gezien wenselijk en/of acceptabel vindt, en welke niet?

Zie antwoord vraag 3.

Vraag 5

In hoeverre is het huidige Nederlandse en Europese toezichtkader (waaronder de AI Act) toereikend om risico’s van autonome AI-systemen die zelfstandig taken uitvoeren te ondervangen?

De AI-verordening reguleert autonome AI-systemen zoals AI-assistenten op verschillende manieren. Ten eerste zullen alle AI-assistenten die in gevoelige hoog risico toepassingsgebieden of producten worden ingezet aan de strenge eisen uit de AI-verordening moeten voldoen. De AI-verordening noemt expliciet welke gebieden of producten dit zijn. Dit gaat bijvoorbeeld om een AI-assistent die leerlingen in het onderwijs beoordeelt of een AI-assistent die gebruikt wordt als een medisch hulpmiddel. Eén van de eisen aan deze hoog risico AI-systemen is dat risico’s beoordeeld en gemitigeerd moeten worden. Als dat niet kan, mag het AI-systeem niet voor die risicovolle toepassing ingezet worden. Hiermee worden de gezondheid, veiligheid en grondrechten van mensen beschermd.
Ten tweede worden er eisen gesteld aan autonome AI-systemen die worden ontworpen om directe interacties met mensen te hebben, bijvoorbeeld als ze zelfstandig e-mails uit kunnen sturen of reacties kunnen plaatsen op het internet. De aanbieder van een dergelijk AI-systeem moet ervoor zorgen dat het duidelijk is dat men contact met een AI-systeem heeft, en niet met een mens.
Ten slotte worden er onder de AI-verordening ook eisen gesteld aan de modellen voor algemene doeleinden die de basis vormen van deze autonome AI-systemen. Als deze modellen capaciteiten met een grote impact hebben, bijvoorbeeld door negatieve effecten op publieke gezondheid, veiligheid, fundamentele rechten of de maatschappij als geheel, dan moeten de aanbieders van deze modellen systeemrisico’s in kaart brengen en mitigeren. Capaciteiten zoals vergaande autonomie en het kunnen interacteren met andere hardware en software kunnen mogelijk voor systeemrisico’s zorgen.
Naast de AI-verordening, is ook de digitaledienstenverordening (DSA) mogelijk relevant. De digitaledienstenverordening verplicht zeer grote online platforms- en zoekmachines om de zogenaamde systeemrisico’s die voortvloeien uit het ontwerp of uit de werking van hun dienst en de daaraan verbonden systemen, te beoordelen en te beperken. Dergelijke risico’s omvatten onder meer de verspreiding van illegale inhoud en werkelijke of voorzienbare negatieve effecten op grondrechten, de burgerdialoog en verkiezingsprocessen, minderjarigen of het lichamelijke en geestelijke welzijn van personen. Zulke risico's kunnen bijvoorbeeld ontstaan door het niet-authentieke gebruik van de dienst, zoals het aanmaken van nepaccounts, het gebruik van bots en andere geautomatiseerde of gedeeltelijk geautomatiseerde gedragingen. Dit kan leiden tot een snelle en wijdverbreide verspreiding onder het publiek van informatie die illegale inhoud bevat of onverenigbaar is met de algemene voorwaarden van een onlineplatform of onlinezoekmachine, en die bijdraagt aan desinformatiecampagnes. Het is mogelijk dat de risico’s van de inzet van autonome AI-systemen binnen zeer grote onlineplatforms langs deze weg moeten worden aangepakt.

Vraag 6

Welke definitie van verantwoorde AI (innovaties) hanteert het kabinet? En in hoeverre passen AI-assistenten daarin?

AI-innovaties zijn verantwoord als ze voldoen aan geldende wet- en regelgeving (zoals de AI-verordening, de digitaledienstenverordening en andere wettelijke kaders die van toepassing kunnen zijn) en zijn ontwikkeld op een manier waardoor ze geen voorzienbare negatieve gevolgen hebben voor de gezondheid, veiligheid en grondrechten van mensen.
AI-assistenten kunnen ook op een manier ontwikkeld en gebruikt worden dat ze betrouwbaar en mensgericht zijn. Het is van belang dat zowel ontwikkelaars als gebruikers van AI-assistenten zich bewust zijn van de mogelijke risico’s van de technologie in verschillende contexten en hier robuuste maatregelen voor nemen. Aan de ene kant gaat dit om maatregelen om voorzienbare risico’s bij de ontwikkeling van het AI-systeem zo veel mogelijk by design te ontwikkelen, maar ook om maatregelen om een systeem stop te zetten of aan te passen zodra onvoorziene risico’s zich voordoen. Wetgeving zoals de AI-verordening biedt hier kaders voor, onder andere door te bepalen welke toepassingen van AI-assistenten gevolgen kunnen hebben voor de gezondheid, veiligheid en grondrechten van mensen. Toezichthouders, zoals de AP4 en RDI, monitoren risico’s van ontwikkelingen op het gebied van AI en delen best practices voor de aanbieders van deze technologie om hun systemen op een verantwoorde manier te ontwikkelen.

Vraag 7

Kunt u aangeven of het naar uw inzicht wenselijk is dat er vanuit de overheid gebruik gemaakt wordt van autonome AI-assistenten? En op welke vlakken gebeurt dit al? Onder welke voorwaarden wordt dit toegestaan en hoe wordt hierop toegezien in de praktijk?

De wenselijkheid van autonome AI-assistenten is afhankelijk van de context waarbinnen de AI-systemen worden ingezet. Het is vanzelfsprekend dat de inzet ervan gebeurt in lijn met bestaande regelgeving, zoals de AI-verordening, de AVG in het geval er persoonsgegevens worden verwerkt, en andere relevante (sectorale) wetgeving. Op al deze wettelijke kaders is of wordt toezicht ingericht. Voor overheden geldt daarbij sinds april 2025 het overheidsbrede standpunt generatieve AI, wat ook van toepassing is op autonomere vormen van AI, zoals AI-agenten.5 Vooraf dienen overheden daarbij altijd een impactassessment (zoals bijvoorbeeld een gegevensbeschermingseffectbeoordeling of een Impact Assessment Mensenrechten en Algoritmes (IAMA)) te hebben uitgevoerd en dient duidelijk te zijn welk maatschappelijk doel precies wordt gediend met de inzet. De in 2025 – in opdracht van BZK – uitgevoerde overheidsbrede monitor generatieve AI laat een duidelijke toename van het aantal generatieve AI-toepassingen zien, maar daarin zijn nog geen tekenen van (veelvuldig) gebruik van autonomere AI-assistenten.6 Als onderdeel van de AI-prioriteit binnen de Nederlandse Digitaliseringsstrategie (NDS) wordt er voor de Nederlandse overheid gewerkt aan een visie op taalmodellen en aan een herijking van het overheidsbrede standpunt generatieve AI en bijbehorende handreiking.7 Hierbij worden ook de ontwikkelingen op het gebied van autonome (of agentic) AI nadrukkelijk meegenomen. Deze zullen nog dit jaar met uw Kamer worden gedeeld.

Vraag 8

Hoe wordt op dit moment geborgd dat er in kritieke infrastructuur, in sectoren als defensie, de zorg en de overheid zelf, altijd sprake blijft van «meaningful human control» (ofwel «human in the loop») bij het gebruik van autonome AI-assistenten?

In algemene zin hangt de mate van menselijke tussenkomst sterk af van het risico en de mogelijke impact van de toepassing van AI. Onder de AI-verordening worden er eisen gesteld aan onder andere hoog risico AI-systemen die als veiligheidscomponent in de kritieke infrastructuur worden gebruikt, hoog risico AI als medisch product of veiligheidscomponent daarvan en hoog risico AI in gevoelige overheidsgebieden, zoals het toekennen van toeslagen of in de rechtshandhaving. Voor alle hoog risico AI-systemen moet er menselijk toezicht («human in the loop») uitgeoefend kunnen worden. Dit houdt onder andere in dat men de capaciteiten van het systeem moet begrijpen en de werking ervan moet kunnen monitoren. Ook moet het systeem stopgezet kunnen worden. De mate van deze menselijke controle is contextafhankelijk: des te groter het risico, des te steviger het menselijk toezicht moet zijn.
Als het specifiek gaat om dergelijke AI-systemen in het Defensiedomein is menselijke controle noodzakelijk om het oordeelsvermogen van de mens voor AI-systemen te behouden, zodat deze conform het (internationaal) recht kunnen worden gebruikt. In Nederland worden nieuwe middelen en strijdmethoden door de Adviescommissie Internationaal Recht en Conventioneel Wapengebruik (AIRCW) getoetst aan het internationaal recht. De Minister van Defensie besluit op basis van het advies al dan niet goedkeuring te verlenen voor gebruik door de krijgsmacht.
Als het specifiek om de zorg gaat rust vanuit de Wet kwaliteit, klachten en geschillen zorg (Wkkgz) de plicht op zorgaanbieders om medische hulpmiddelen, inclusief AI, te gebruiken die veilig en kwalitatief goed zijn. Individuele zorgverleners zijn vanuit de Wet op de geneeskundige behandelingsovereenkomst (WGBO) verplicht om bij hun werkzaamheden de zorg van een goed hulpverlener in acht te nemen. Dit betekent onder meer dat de zorgverlener altijd eindverantwoordelijk blijft voor medische beslissingen en niet blindelings op AI-systemen mag vertrouwen. Bij het gebruik van autonome AI-systemen zal het systeem dus ook ontworpen moeten worden met deze waarborgen als randvoorwaarden. De Minister van VWS is in de brief over innovatie in de beroepsuitoefening8 van 9 december jl. uitgebreid ingegaan op de acties die worden ondernomen bij het gebruik van AI in de beroepsuitoefening in de zorg.
Wanneer autonome AI-assistenten bijvoorbeeld door overheden worden ingezet in het kader van (algoritmische) besluitvorming, dient daarbij altijd sprake te zijn van betekenisvolle menselijke tussenkomst. Daarbij geldt voor de overheid in het geval van een besluit ook de Algemene Wet Bestuursrecht (Awb). Deze bevat de algemene regels waaraan de overheid moet voldoen bij het nemen van besluiten, onder meer met het oog op transparantie, kenbaarheid en uitlegbaarheid van besluiten. De regels zijn techniekonafhankelijk opgesteld en normeren ook algoritmische besluitvorming en daarmee ook de inzet van AI.
Daarnaast werkt de overheid aan de ontwikkeling van een integraal wegingskader voor de verantwoorde inzet van AI, waarin expliciet aandacht wordt besteed aan het waarborgen van autonomie van AI-systemen, het bevorderen van mensgerichte toepassingen, het inrichten van robuuste terugvalopties ten behoeve van continuïteit, en de zorgvuldige afweging of en in welke gevallen AI -bijvoorbeeld in de vorm van AI-assistenten – passend is. Daarbij geldt in het bijzonder dat binnen de publieke dienstverlening het behoud van betekenisvol menselijk contact met burgers en bedrijven leidend is, en dat steeds nauwgezet wordt beoordeeld welke (repetitieve) taken verantwoord door AI kunnen worden ondersteund of overgenomen. Dit integraal wegingskader wordt ontwikkeld in het kader van de NDS, en de conceptversie is voorzien voor dit jaar (na enkele pilots ermee).

Vraag 9

Welke andere waarborgen (vangrails) zijn naar uw verwachting nog nodig om hier goed mee om te gaan, voor zowel overheid als samenleving, en is bijsturing mogelijk?

Het is bij nieuwe technologische ontwikkelingen, waaronder autonomie AI-assistenten, belangrijk om goed te kijken naar de waarborgen die nodig zijn om hier goed mee om te gaan. Bijvoorbeeld door het principe van ethics-by-design toe te passen zodat publieke waarden zoals privacy, transparantie, autonomie en non-discriminatie al vanaf het begin worden meegenomen. Ik zet mij ervoor in om te zorgen dat publieke waarden gewaarborgd worden, ook bij nieuwe technologische ontwikkelingen zoals quantum en autonome AI-assistenten. Verder merk ik graag op dat binnen de NDS overheden gezamenlijk aan verantwoord en succesvol ontwikkelen van AI-toepassingen werken. Bijkomend doel is om AI breder inzetbaar te maken waardoor de impact en succes van AI groter wordt. Gelet op die bredere inzetbaarheid en de verwachte impact wordt binnen de AI-opschalingsfaciliteit voor overheden een afwegingskader voor het opschalen van AI ontwikkeld, zodat zorgvuldig kan worden gekeken naar de inzet van AI in relatie tot wet- en regelgeving en ethisch verantwoord gebruik. Dit afwegingskader wordt later in 2026 gepubliceerd. Tot slot zou ik ook voorzichtigheid willen bepleiten. Bij experimentele vormen van autonome AI-assistenten zoals OpenClaw is het belangrijk om nu vooral zeer terughoudend te zijn en deze niet te gebruiken op systemen met privacygevoelige of vertrouwelijke gegevens, zoals ook de Autoriteit Persoonsgegevens heeft opgeroepen.9

Vraag 1

Waren Logius, de overheid in brede zin, de betrokken Minister(s) en/of het kabinet – al dan niet in combinatie – vooraf op de hoogte van de overname van Solvinity (het bedrijf achter het DigiD-platform), vóórdat dit publiekelijk bekend werd?

In maart 2025 heeft Solvinity onder embargo de directeur van Logius medegedeeld dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat. Op verzoek van de directeur Logius is dit embargo deels opgeheven, zodat hij dit bericht met een beperkt aantal personen van het kerndepartement van het Ministerie van BZK kon delen in mei 2025.
In april 2025 heeft Solvinity onder embargo ook een directeur bij het Ministerie van JenV geïnformeerd dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat.
Het Ministerie van BZK en het Ministerie van JenV hebben de naam van de overnamekandidaat vernomen op de dag van de bekendmaking van de overname in de media (5 november jl.).

Vraag 2

Zo ja: op welk moment is (één van) deze overheidspartijen hierover voor het eerst geïnformeerd?

Zie antwoord vraag 1.

Vraag 3

Heeft de overheid, of één van haar diensten, de mogelijkheid gekregen om Solvinity zelf over te nemen of in eigen handen te brengen?

De overheid is als (grote) afnemer geïnformeerd over het feit dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat. Tevens is door Solvinity gepeild bij Logius en het Ministerie van JenV of de overheid geïnteresseerd is om Solvinity over te nemen. De overheid of een van haar diensten heeft niet overwogen om Solvinity zelf over te nemen of in eigen handen te brengen.
Het kabinet hecht aan het uitgangspunt dat publiek eigenaarschap of het actief beïnvloeden van de eigendomsstructuur van bedrijven niet behoort tot de kerntaken van de overheid en geen doel op zich is. Eigenaarschap van bedrijven is in principe een marktaangelegenheid. Wel beschikt Nederland over een breed instrumentarium ter borging van de economische veiligheid, waaronder de continuïteit van vitale (overheids)processen. Dit bestaat onder andere uit het stelsel van investeringstoetsing, exportcontrolebeleid, en beveiligingsmaatregelen in het vitaal stelsel, zoals toegelicht in de Kamerbrief van 1 juli 2025.1
Ten behoeve van toekomstige vergelijkbare gevallen wordt een procedure ontwikkeld om bij mogelijke wisseling van zeggenschap bij leveranciers van vitale en kritieke dienstverlening van de overheid, de informatie die contracthouders ontvangen van leveranciers, ook gestroomlijnder te delen met de ambtelijke en politieke top van de betrokken ministeries. Hiervoor wordt een handelingskader opgesteld.
De snel veranderende geopolitieke situatie en veranderde machtsverhoudingen in de wereld, vragen om een overheidsbrede aanpak in de waarborging van onze digitale autonomie en soevereiniteit. Hiervoor is in december 2025 een visie op digitale autonomie en soevereiniteit van de overheid gepubliceerd als onderdeel van de Nederlandse Digitaliseringstrategie (NDS). In de herziening van het cloudbeleid wordt explicieter aangegeven hoe risico’s ten aanzien van extraterritoriale inmenging moeten worden beoordeeld. Daarnaast zijn er verscheidene aanstaande Europese initiatieven, zoals het wetsvoorstel voor een Cloud and AI Development Act en de aanbeveling van de Europese Commissie voor een single EU-wide cloud policy for public administrations and public procurement.2

Vraag 4

Zo ja: wat is er met die informatie en/of mogelijkheid gedaan, en welke afwegingen zijn daarbij gemaakt?

Zie antwoord vraag 3.

Vraag 5

In hoeverre is de Kamer hierover tijdig, juist en volledig geïnformeerd?

In de beantwoording van de Kamervragen van het lid Kathmann is eerder gemeld dat onder embargo is medegedeeld dat de eigenaar van Solvinity op zoek was naar een overnamekandidaat.3

Vraag 6

Zou u vanwege het aanstaande debat over de overname deze vragen met urgentie willen beantwoorden?

Hierbij zijn uw vragen met urgentie en voor het aanstaande debat beantwoord.

Vraag 1

Heeft u kennisgenomen van het bericht «Elon Musks AI-chatbot Grok onder vuur door seksueel getinte beelden»?1

Ja.

Vraag 2

Bent u op de hoogte van het incident waarbij AI-chatbot Grok door gebruikers werd aangespoord om seksuele deepfakes van minderjarige meisjes te genereren, en dat deze beelden tot wel 12 uur online hebben gestaan voordat ze werden verwijderd? Zo ja, hoe beoordeelt u dit incident in het licht van de Digital Services Act (DSA) verplichtingen ten aanzien van bescherming van minderjarigen?

Ja, daarvan zijn we op de hoogte. Het bericht dat zoveel mensen slachtoffer zijn geworden vinden wij zeer zorgwekkend. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden. Daarnaast zijn deze beelden ook schadelijk voor de samenleving, omdat iedereen, specifiek jongeren, ze online tegen kunnen komen. Het vervaardigen van seksueel beeldmateriaal van minderjarigen, of van personen zonder toestemming, is strafbaar, ook als het materiaal met AI is gegenereerd.
Als aangewezen zeer groot online platform zal X moeten voldoen aan de verplichtingen uit de Digitale Dienstenverordening (DSA). In die hoedanigheid is X verplicht om de systeemrisico’s die kunnen voortvloeien uit de verspreiding van illegale content, zoals illegale deepnudes, te identificeren en te beperken. Ook moeten zij het gebruikers mogelijk maken om illegale inhoud op eenvoudige wijze te melden, welke meldingen zij op een tijdige, zorgvuldige, niet-willekeurige en objectieve wijze moeten beoordelen.
Het primaat van het DSA-toezicht op X als zeer groot online platform ligt bij de Europese Commissie (EC). Daarbij wordt zij ondersteund door de Ierse toezichthouder, als toezichthouder van de lidstaat waar X zijn hoofdvestiging heeft. De toezichthouders beoordelen niet of specifieke content illegaal is en leggen geen verwijderverzoeken of bevelen op aan platforms, maar controleren of bijvoorbeeld bovenstaande meldingsmechanismes van platforms voldoen aan de DSA en of het platform de melding netjes en op tijd onderzoekt en melder over de beslissing informeert. Op 26 januari werd bekend dat de EC een nieuw, officieel onderzoek is gestart naar (de functies van) Grok en X onder de DSA. In dit nieuwe onderzoek zal worden beoordeeld of X de risico’s in verband met de verspreiding van illegale inhoud, waaronder gemanipuleerde seksuele afbeeldingen en inhoud die kwalificeert als seksueel misbruik van kinderen, in verband met de uitrol van Grok in de EU naar behoren heeft beoordeeld en beperkt.

Vraag 3

Welke stappen onderneemt Nederland binnen de Raad en richting de Europese Commissie om ervoor te zorgen dat DSA-verplichtingen met betrekking tot bescherming van minderjarigen en voorkomen van AI-malafide content effectief worden nageleefd door grote platforms?

Op de DSA wordt toezicht gehouden door onafhankelijke toezichthouders en Nederland kan dienaangaande geen instructies geven. Wel kan Nederland signalen afgeven aan de EC of de Autoriteit Consument & Markt (ACM), de coördinerende toezichthouder op de DSA in Nederland, in het geval risico’s worden gezien die om aandacht vragen. Zo heeft Nederland de uitkomsten van de kinderrechtenimpactassessments met de EC gedeeld.

Vraag 4

Bent u op de hoogte van de lopende onderzoeken van meerdere landen (o.a. Frankrijk, Zweden, Australië) tegen X over de stroom aan deepfakes en seksueel expliciete AI-beelden? Zo ja, wat is de Nederlandse positie en rol hierin?

Ja, daarvan zijn wij op de hoogte. Het is mede aan de toezichthouder van de DSA, in dit geval de EC, om te beoordelen of X aan de wettelijke verplichtingen heeft voldaan. Daarnaast hebben wij vernomen dat Frankrijk een strafrechtelijk onderzoek is gestart.2 Nederland heeft in de lopende onderzoeken tegen X geen specifieke rol. Uiteraard volgen wij de ontwikkelingen met belangstelling.

Vraag 5

Onder DSA zijn grote platformen verplicht om duidelijke, gebruiksvriendelijke mechanismen voor het rapporteren van illegale content te hebben en deze snel te behandelen, hoe beoordeelt u de effectiviteit van de huidige mechanismen van X, mede gezien het feit dat sommige beelden pas na journalistieke publiciteit werden verwijderd?

Het niet adequaat en of snel handelen van een zeer groot online platform wordt gesanctioneerd in het derde lid van artikel 16 DSA. Dit artikel verduidelijkt dat een melding van illegale inhoud, conform de vereisten van dat artikel, leidt tot zogenaamde «daadwerkelijke kennis of bekendheid» van die illegale inhoud bij een hostingbedrijf of online platform. Zodra dat het geval is, moet een zeer groot online platform prompt handelen om die illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken. Doet een platform dat niet dan kunnen ze geen beroep doen op de vrijwaring van aansprakelijkheid uit artikel 6 van de verordening en zelfstandig aansprakelijk worden gesteld voor die illegale inhoud.
Het is aan de toezichthouder, in dit geval de EC, om te beoordelen of aan bovengenoemd kader is voldaan. De EC onderzoekt dit momenteel.

Vraag 6

Hoeveel meldingen van AI-gegenereerde illegale content, waaronder deepfakes en beelden met minderjarigen, zijn via het DSA-transparantiesysteem aan de Europese Commissie en nationale autoriteiten gerapporteerd, en wat is daarvan de uitkomst?

De ACM heeft geen inzicht in meldingen die door andere lidstaten worden gedaan bij de EC en/of de Ierse toezichthouder Coimisiún na Meán (CNAM; toezichthouder van de lidstaat waar X zijn hoofdvestiging heeft). Dit is in principe vertrouwelijk tussen de melder en de EC. Meldingen over systeemrisico’s zijn vaak beschrijvend over een bepaalde functionaliteit of risico, aangevuld met enkele voorbeelden van het betreffende onderwerp.

Vraag 7

Kunt u duidelijkheid geven over hoe momenteel toezicht en handhaving is ingericht op het gebied van deepfake incidenten in Nederland? En is dit alleen meldings-gedreven of ook door middel van actieve detectie?

Handhaving en toezicht op illegaal deepfake-beeldmateriaal gebeurt primair op basis van meldingen bij de bevoegde handhavingsautoriteiten over de online platforms waar deze worden verspreid.
De ACM is de bevoegde Nederlandse toezichthouder op de DSA. De ACM heeft op grond van de DSA geen bevoegdheid om verwijderbevelen op te leggen. Wel bevat de DSA verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers.
Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is ten aanzien van de onlinedienst in kwestie. In het geval van de kwestie X/Grok is bijvoorbeeld de Europese Commissie primair bevoegd. Zij kan als bevoegd toezichthouder een onderzoek instellen en boetes opleggen tot 6% van de wereldwijde omzet. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, ook een gerechtelijke procedure te starten.
De ACM roept slachtoffers van dergelijke beelden op om melding te doen bij het platform/de hosting provider, bij de politie of bij een trusted flagger zoals Offlimits. Deze meldingen zijn waardevol om aan te tonen dat materiaal zonder toestemming is verspreid. Ook kan naar aanleiding van de meldingen blijken dat het platform/de hosting provider onvoldoende optreedt tegen illegale inhoud, waarna de ACM daarop kan handelen.
Daarnaast is de Autoriteit Persoonsgegevens (AP) op grond van de DSA en de Algemene Verordening Gegevensbescherming (AVG) een bevoegd toezichthouder op het gebied van illegale deepfakes. Als deepfakes zonder toestemming worden verspreid, kan er sprake zijn van onrechtmatige verwerking van persoonsgegevens. De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van dit soort materiaal. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan zijn dat niet de AP maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is ten aanzien van de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen voor wat betreft het onrechtmatige materiaal. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.
De officier van justitie kan op grond van artikel 125p van het Wetboek van Strafvordering (Sv) aan een aanbieder van een communicatiedienst bevelen om strafbare online content ontoegankelijk te maken. Een dergelijk bevel kan, kort gezegd, worden gegeven als sprake is van een strafbaar feit waarvoor voorlopige hechtenis is toegelaten, ter beëindiging van dat strafbare feit en/of ter voorkoming van nieuwe strafbare feiten.
Voor illegale deepfakes, op basis van de artikelen 252, 254ba en art. 285d van het Wetboek van Strafrecht (Sr), is dit het geval. Van deze mogelijkheid wordt beperkt gebruik gemaakt, omdat de politie en het Openbaar Ministerie ook gebruik kunnen maken van verwijderverzoeken op basis van de zelfregulerings-mogelijkheden. Deze zijn in de praktijk vaak sneller. Een aanbieder die niet voldoet aan een dergelijk bevel onder 125p Sv kan strafrechtelijk aansprakelijk zijn (54a Sr).
Wanneer het materiaal van minderjarigen betreft is het seksueel beeldmateriaal van kinderen en is het strafbaar op grond van artikel 252 Sr. In Nederland is dan ATKM bevoegd om aanbieders van communicatiediensten die in Nederland zijn gevestigd of die seksueel beeldmateriaal van kinderen op Nederlands grondgebied hebben opgeslagen, te verplichten om dergelijk materiaal ontoegankelijk te maken of te verwijderen. Dit geldt ook voor seksueel beeldmateriaal van minderjarigen dat is vervaardigd door middel van AI, zoals bij deepnudes. Als aanbieders van hostingdiensten niet aan deze verplichting voldoen, kan de ATKM bestuursrechtelijk handhaven. De ATKM kan in dat geval een last onder dwangsom of een bestuurlijke boete opleggen, die kan oplopen tot 10% van de jaarlijkse omzet van de onderneming.

Vraag 8

Hoe verhoudt de handhaving van de AVG zich tot de handhaving van de DSA in dit soort gevallen, en ziet u mogelijkheden om deze instrumenten gezamenlijk effectiever in te zetten?

Er kan in dit soort gevallen zowel op basis van de AVG als de DSA worden gehandhaafd. De ACM werkt momenteel nauw samen met de AP en andere betrokken instanties aan mogelijkheden om elkaar hierin te versterken.
De ACM heeft op grond van de DSA geen bevoegdheid om verwijderbevelen op te leggen. Wel bevat de DSA verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers. Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. In het geval van de kwestie X/Grok is bijvoorbeeld de Europese Commissie primair bevoegd.
De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van materiaal dat in strijd is met de AVG. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan verder zo zijn dat niet de AP maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen wat betreft het onrechtmatige materiaal. Hierin verschilt de handhavingsmogelijkheden op de AVG ten aanzien van de mogelijkheden onder de DSA. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.

Vraag 9

Vindt u dat «nudify»-apps en dergelijke functies van AI-chatbots überhaupt bestaansrecht hebben? Zo nee, wat gaat u daaraan doen?

Binnen het Ministerie van Justitie en Veiligheid wordt gekeken naar de mogelijkheden om het gebruik van nudify applicaties verder tegen te gaan. Ondanks de mogelijkheid om gebruikers van de applicaties strafrechtelijk te vervolgen (via de artikelen 252 en 254ba Sr) en de mogelijkheid om elk illegaal beeld steeds te laten verwijderen, blijft het maatschappelijk probleem rondom deepnudes zich in grote mate voordoen. Om die reden wordt bezien of het wenselijk en haalbaar is het aanbieden van de applicaties zelf te verbieden, nationaal dan wel Europees. Inmiddels hebben met verschillende stakeholders en experts gesprekken plaatsgevonden. Voordat een inhoudelijke positie bepaald wordt, is verdere studie nodig.

Vraag 10

Bent u bereid om aan te dringen op effectieve handhaving tegen X in de kwestie van AI-gegenereerde beelden van minderjarigen en zo ja, welke nationale en Europese maatregelen kunnen er genomen worden of welke sancties kunnen er worden opgelegd?

Effectieve handhaving van Europees recht is onverminderd van belang. De Europese Commissie is op 26 januari jl. een nieuw onderzoek gestart naar X dat specifiek ziet op Grok. Als de Commissie concludeert dat X de DSA heeft overtreden, kan zij verdere handhavingsmaatregelen nemen, zoals de vaststelling van een besluit tot niet-naleving en de oplegging van een boete.

Vraag 11

Kunt u deze vragen elk afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «Wereldwijde druk op X groeit om bikini-deepfakes en AI-beelden minderjarigen»?1

Ja.

Vraag 2

Deelt u de mening dat het volstrekt onacceptabel en aanstotelijk is dat X op grote schaal seksuele deepfakes van vrouwen en minderjarigen genereert met AI-chatbot Grok?

Ja, wij vinden het onacceptabel dat met behulp van de AI-chatbot Grok op grote schaal deepnudes (seksueel getinte nepafbeeldingen of -video’s) zijn gegenereerd. Het bericht dat zoveel mensen, slachtoffer zijn geworden vinden wij zeer zorgwekkend. De slachtoffers zijn met name vrouwen en minderjarigen, maar deepnudes kunnen in potentie van iedereen gemaakt worden. De impact en de gevolgen van deepnudes voor slachtoffers en hun omgeving zijn enorm, mede omdat het maken van deepnudes steeds geavanceerder wordt en daarmee deepnudes steeds realistischer worden. Daarnaast zijn deze beelden ook schadelijk voor de samenleving, omdat iedereen, specifiek jongeren, ze online tegen kunnen komen. Het vervaardigen van seksueel beeldmateriaal van minderjarigen of van personen zonder toestemming, is strafbaar, ook als het materiaal met AI is gegenereerd.

Vraag 3

Bent u bereid om aan te sluiten bij landen zoals Frankrijk en Australië die een onderzoek zijn begonnen tegen X en eisen dat X in actie komt tegen de stroom aan deepfakes van vrouwen? Welke concrete stappen gaat u hiervoor zetten?

In de aanpak van dit soort platforms vinden wij de Europese benadering van belang, waarbij wij als Europese lidstaten één lijn trekken. GROK AI wordt – omdat het onderdeel van X is – via de Europese Digitale Dienstenverordening (DSA) gereguleerd. X is een zeer groot online platform (meer dan 45 miljoen maandelijkse gebruikers) waarop de Europese Commissie (EC) toezicht houdt. De EC is inmiddels een onderzoek gestart in het kader van de DSA.2 Onder de DSA zijn platforms verplicht om illegale content zo snel mogelijk te verwijderen.
In het Verenigd Koninkrijk (VK) is toezichthouder Ofcom een onderzoek gestart. Het toezicht in het VK is anders geregeld, omdat het VK geen lid is van de EU en de DSA daarom niet van toepassing is.

Vraag 4

Vindt u het wenselijk dat X veel verder gaat dan concurrenten als het gaat om het toestaan van bikini-deepfakes, terwijl voor andere AI-chatbots strengere beperkingen gelden voor wat met kunstmatige intelligentie mag worden gemaakt?

Nee, wij vinden het handelen van X op dit punt hoe dan ook niet wenselijk.
Voor al dit soort praktijken bestaat hetzelfde juridische kader dat deze praktijken tegen moet gaan. Hierbij is het relevant onderscheid te maken tussen illegale content en niet-illegale content. Alle beelden die illegaal zijn – zoals afbeeldingen van seksueel misbruik van kinderen3 – zijn ook illegaal als deze door AI gegeneerd zijn. Op grond van de DSA moet deze illegale content zo snel mogelijk verwijderd worden, zodra het platform kennis heeft van illegale content (als het bijvoorbeeld is gemeld). Voor wat betreft mogelijk schadelijke, niet-illegale content, geldt dat de DSA voorschrijft dat platforms zoals X systeemrisico’s in kaart moeten brengen en moeten mitigeren (artikel 34 DSA). Zoals hierboven aangegeven, is de EC, die hierop toezicht houdt, inmiddels een onderzoek gestart in het kader van de DSA.
Relevant is verder artikel 14 van de DSA dat regelt dat online platforms in hun gebruiksvoorwaarden informatie moeten opnemen over eventuele beperkingen die zij aan het gebruik van hun dienst opleggen met betrekking tot door de afnemers van de dienst verstrekte informatie. Die informatie omvat gegevens over eventuele beleidsmaatregelen, procedures, maatregelen en instrumenten die worden ingezet voor inhoudsmoderatie, met inbegrip van algoritmische besluitvorming en menselijke controle, alsook de procedurevoorschriften van hun interne klachtenafhandelingssysteem.

Vraag 5

Gaat u zich inzetten om gemanipuleerde seksuele afbeeldingen van vrouwen en minderjarigen zo snel mogelijk van het platform te laten verwijderen? Zo ja, op welke manier gaat u dat doen?

Jazeker en wij zien in het geval van Grok AI al een aantal ontwikkelingen in de goede richting. Zo heeft X naar aanleiding van de toenemende druk laten weten de regels voor AI-chatbot Grok aan te scherpen, waardoor het niet meer mogelijk moet zijn om mensen ermee «uit te kleden» of afbeeldingen te creëren van echte mensen in weinig verhullende kleding. Indien er onverhoopt toch nog gemanipuleerde illegale beelden van vrouwen en minderjarigen op het platform staan, kan een ieder op grond van artikel 16 van de DSA een verwijderverzoek indienen. Het platform dient een dergelijk verwijderverzoek op een tijdige, zorgvuldige, niet-willekeurige en objectieve wijze te verwerken.
Als het verwijderen van de illegale content niet lukt door middel van een melding aan het platform, kan een gespecialiseerde hulporganisatie worden ingeschakeld. Op basis van de DSA is Offlimits door de Autoriteit Consument en Markt (ACM), de coördinerende toezichthouder op de DSA in Nederland, aangewezen als betrouwbare flagger. Dit houdt in dat zij verwijderverzoeken van illegale content kan indienen bij online platforms zoals X. X dient vervolgens onverwijld en prioritair dit verwijderverzoek te behandelen, en indien sprake is van illegale content dient het platform deze te verwijderen.
Indien een platform nalaat om adequaat op een melding te reageren, biedt de DSA mogelijkheden tot handhaving waarbij in het geval van X de Europese Commissie in kan grijpen. De EC kan als bevoegd toezichthouder een onderzoek instellen en boetes opleggen tot 6% van de wereldwijde omzet. Zoals hierboven vermeld, is de EC een onderzoek gestart naar X, waarbij specifiek wordt gekeken naar AI-chatbot Grok, vanwege mogelijke overtredingen van de DSA. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, een gerechtelijke procedure te starten.

Vraag 6

Is het mogelijk om op basis van de Digital Services Act (DSA) een verwijderverzoek in te dienen als het gaat om dergelijke deepfake afbeeldingen?

Ja, een ieder kan op grond van artikel 16 van de DSA een verwijderverzoek indienen wanneer er gemanipuleerde illegale beelden van vrouwen en minderjarigen op een platform staan.
Daarnaast rust op grond van de DSA op zeer grote onlineplatforms en zeer grote onlinezoekmachines de verantwoordelijkheid om illegale inhoud op hun diensten tegen te gaan en systeemrisico’s te mitigeren. Tevens dienen zij hun gebruikers in staat te stellen om illegale inhoud of inhoud die in strijd is met de gebruiksvoorwaarden van een zeer groot onlineplatform op eenvoudige wijze te melden. Het platform X is door de EC aangewezen als zeer groot online platform, waardoor al het bovenstaande van toepassing is.4
Deze zorgvuldigheidsplicht geldt ook ten aanzien van deepnudes, zodra deze illegaal zijn.5 Zo is op grond van artikel 252 Wetboek van Strafrecht (Sr) (ziet specifiek op seksueel beeldmateriaal van minderjarigen) en artikel 254ba Sr het zonder instemming maken, voorhanden hebben of verspreiden van seksueel beeldmateriaal strafbaar, ongeacht of dit door een persoon of AI is vervaardigd. Ook andere strafrechtelijke bepalingen, zoals doxing (art. 285d Sr) en smaad/laster (respectievelijk art. 261 en 262 Sr), zijn in voorkomend geval mogelijk van toepassing, bijvoorbeeld als de AI-chatbot gegenereerde beelden/ bewerkingen van personen bevatten met het oogmerk die persoon vrees aan te (laten) jagen (doxing) of opzettelijk iemands eer of goede naam aanrandt (smaad/laster), en er aan de andere voorwaarden van die specifieke wetsartikelen wordt voldaan.
Zoals ook aangegeven bij het antwoord op vraag 5, is X op grond van artikel 16 van de DSA verplicht een toegankelijk en gebruiksvriendelijk digitaal meldsysteem in te richten waarmee iedereen illegale online inhoud, zoals materiaal van illegale deepnudes, kan melden. Het derde lid van artikel 16 DSA verduidelijkt dat een melding van illegale inhoud, conform de vereisten van dat artikel, leidt tot zogenaamde «daadwerkelijke kennis of bekendheid» van die illegale inhoud bij een hostingbedrijf of online platform. Zodra dat het geval is, moet zij prompt handelen om die illegale inhoud te verwijderen of de toegang daartoe onmogelijk te maken. Doet een platform dat niet dan kan zij geen beroep doen op de vrijwaring van aansprakelijkheid uit artikel 6 van de DSA en zelfstandig aansprakelijk worden gesteld voor die illegale inhoud. Voor het indienen van een verwijderverzoek kan de hulp van Offlimits, een betrouwbare flagger, worden ingeschakeld.

Vraag 7

Zijn er voor zover bekend ook Nederlands slachtoffers van deze AI-beelden en zo ja, is voor deze slachtoffers voldoende bekend waar zij terecht kunnen voor hulp?

Slachtoffers kunnen bij verschillende organisaties, zoals Slachtofferhulp Nederland (SHN), Centrum Seksueel Geweld (CSG) en Offlimits, terecht voor hulp. Deze organisaties werken voortdurend aan het onder de aandacht brengen van hun meldpunten en/of hulplijnen, bijvoorbeeld door middel van campagnes. Als het slachtoffer overweegt een melding te maken of aangifte te doen, kan deze terecht bij de politie. Genoemde hulporganisaties kunnen slachtoffers hierover informeren of hierbij ondersteunen.
Bij bovengenoemde hulporganisaties is niet bekend of er ook Nederlanders zijn, die slachtoffer zijn geworden van de AI-naaktbeelden, die specifiek met de AI-Chatbot Grok zijn gegenereerd. Dit komt omdat bij meldingen die door slachtoffers worden gedaan bij SHN en CSG, in de registratie geen onderscheid wordt gemaakt naar misbruik van echt dan wel AI-gegenereerd beeldmateriaal. Bij meldingen die door slachtoffers worden gedaan bij Offlimits, wordt in de registratie wel onderscheid gemaakt tussen echt en AI-gegenereerd beeldmateriaal, maar wordt niet geregistreerd met welke specifieke AI-applicatie, zoals bijvoorbeeld de AI-chatbot Grok, de afbeeldingen zijn gegenereerd.
De politie heeft in de afgelopen twee maanden wel een toename gezien in de hoeveelheid meldingen die vanuit platforms wordt gedaan over uploads naar AI-chatbot Grok. Mogelijk zijn er slachtoffers die zelf melding hebben gedaan bij de politie, maar dit is niet goed uit de registratie te halen, omdat de melding onder verschillende delictsoorten kan worden geregistreerd.

Vraag 8

In hoeverre biedt Nederlandse wetgeving bescherming tegen het genereren en verspreiden van AI-deepfakes van vrouwen en minderjarigen en is dit volgens u voldoende?

De Nederlandse wetgeving biedt via de artikelen 252 en 254ba Sr voldoende mogelijkheden om strafrechtelijk op te treden tegen personen die met AI applicaties (zonder toestemming) deepnudes van personen, waaronder vrouwen en minderjarigen, genereren, voorhanden hebben en verspreiden.
De strafbaarstelling van artikel 254ba Sr omvat onder meer het, zonder toestemming van de afgebeelde, vervaardigen van (nep) seksueel beeldmateriaal. Ook het openbaar maken en het voorhanden hebben van dergelijke (nep) naaktbeelden valt onder het bereik van dit artikel. Wanneer het materiaal van minderjarigen betreft is het seksueel beeldmateriaal van kinderen en is het strafbaar op grond van artikel 252 Sr.
Naast de strafrechtelijke handhaving door het Openbaar Ministerie (OM) op bovenstaande strafrechtelijke bepalingen zijn er bestuursrechtelijke handhavers die werken aan de bestrijding van online illegale content. Een van de belangrijkste is de ACM, die als digitaledienstencoördinator voor Nederland handhaaft op de verplichtingen uit de DSA.
De Autoriteit online Terroristisch en Kinderpornografisch Materiaal (ATKM) geeft uitvoering aan maatregelen die Nederland op grond van EU- en nationale regelgeving moet nemen om online terroristisch en seksueel beeldmateriaal van kinderen te signaleren en snelle verwijdering ervan door aanbieders van hostingdiensten te garanderen.
De Autoriteit Persoonsgegevens (AP) is een onafhankelijke toezichthouder die per geval – uit eigen beweging of op verzoek – beoordeelt of wordt voldaan aan de Algemene Verordening Gegevensbescherming (AVG). Het is aan de AP om te beoordelen of een AI deepfake een schending is van de AVG. Wanneer de AP een overtreding constateert, kan de AP een boete of dwangsom opleggen, en bevelen tot het stopzeten van gegevensverwerkingen.6
Daarnaast kunnen slachtoffers van AI deepfakes mogelijk bescherming vinden in het civielrecht. Artikel 6:162 van het Burgerlijk Wetboek biedt het kader voor wat onrechtmatig is in civielrechtelijke zin – al dan niet in combinatie met specifieke civielrechtelijke bepalingen. Hierbij gaat het in de kern om een inbreuk op een recht en een doen of nalaten in strijd met een wettelijke plicht of met hetgeen volgens ongeschreven recht in het maatschappelijk verkeer betaamt, een en ander behoudens de aanwezigheid van een rechtvaardigingsgrond.

Vraag 9

Op welke manier wordt in Nederland gecontroleerd of platforms voldoen aan verplichtingen rondom schadelijke AI-inhoud?

In Nederland controleren de bevoegde toezichthouders of platforms voldoen aan wettelijke verplichtingen. De DSA bevat verplichtingen op grond waarvan de ACM kan handhaven wanneer online platforms of hostingproviders onvoldoende optreden tegen illegale inhoud en hun processen met betrekking tot meldingen niet op orde hebben. Dit kan het geval zijn als blijkt dat de onlinedienst niet of onvoldoende gemotiveerd of traag reageert op meldingen over illegale inhoud van bijvoorbeeld gebruikers of trusted flaggers.
Het kan zijn dat niet de ACM maar een toezichthouder in een andere lidstaat bevoegd is ten aanzien van de online dienst in kwestie. In het geval van X/Grok is bijvoorbeeld de EC primair bevoegd. Zij kan als bevoegd toezichthouder een onderzoek instellen en boetes opleggen tot 6% van de wereldwijde omzet. Daarnaast hebben gebruikers de mogelijkheid om, naast het doorlopen van de interne klachtenafhandelingsprocedure bij een aanbieder, ook een gerechtelijke procedure te starten.
De ACM roept slachtoffers van dergelijke beelden op om melding te doen bij het platform/de hosting provider, bij de politie of bij een trusted flagger zoals Offlimits. Deze meldingen zijn waardevol om aan te tonen dat materiaal zonder toestemming is verspreid. Ook kan naar aanleiding van de meldingen blijken dat het platform/de hosting provider onvoldoende optreedt tegen illegale inhoud, waarna de ACM daarop kan handelen.
Daarnaast is de AP op grond van de DSA en de AVG een bevoegd toezichthouder op het gebied van illegale deepnudes. Als deepnudes zonder toestemming worden verspreid, kan er sprake zijn van onrechtmatige verwerking van persoonsgegevens. De AP kan een onderzoek instellen naar personen of organisaties die verantwoordelijk zijn voor het (mogelijk) maken en verspreiden van dit soort materiaal. Dit kunnen in bepaalde gevallen online platforms zijn, maar ook hostingproviders die de content hosten. Voor de AP is het wel van belang dat de partij die verantwoordelijk is voor de content (afhankelijk van de omstandigheden van het geval; het individu en/of het platform) te achterhalen is, wat, anders dan bij X, niet altijd het geval is. Het kan zijn dat niet de AP, maar een gegevensbeschermingsautoriteit in een andere lidstaat bevoegd is wat betreft de onlinedienst in kwestie. Als uit het onderzoek blijkt dat er overtredingen zijn, kan de AP of andere autoriteit aanbieders van onlinediensten bijvoorbeeld een verwerkingsverbod opleggen wat betreft het onrechtmatige materiaal. Het proces van onderzoek en bestuursrechtelijk handhaven zal in de regel niet leiden tot het snel offline zijn van de beelden.

Vraag 10

Vindt u dat de mogelijkheid om elk persoon of object door een AI-bot af te laten beelden in bikini geschrapt moet worden om te voorkomen dat vrouwen en minderjarigen slachtoffer worden van seksuele deepfakes? Zo ja, welke stappen gaat u ondernemen?

Binnen het Ministerie van Justitie en Veiligheid wordt gekeken naar de mogelijkheden om het gebruik van nudify applicaties verder tegen te gaan. Ondanks de mogelijkheid om gebruikers van de applicaties strafrechtelijk te vervolgen (via de artikelen 252 en 254ba Sr) en de mogelijkheid om elk illegaal beeld steeds te laten verwijderen, blijft het maatschappelijke probleem rondom deepnudes zich in grote mate voordoen. Om die reden wordt bezien of het wenselijk en haalbaar is het aanbieden van de applicaties zelf te verbieden, nationaal dan wel Europees. Inmiddels hebben met verschillende stakeholders en experts gesprekken plaatsgevonden. Voordat een inhoudelijke positie bepaald wordt, is verdere studie nodig.

Vraag 11

Denkt u dat een algeheel verbod op het generen van seksuele content door AI-bots kan helpen om te voorkomen dat vrouwen en minderjarigen hiervan slachtoffer worden? Zo nee, waarom niet?

Zoals bij vraag 8 beantwoord, kan tegen het (zonder toestemming) genereren, voorhanden hebben en verspreiden van deepnudes nu al strafrechtelijk worden opgetreden via de artikelen 252 en 254ba Sr. Ondanks deze strafrechtelijke mogelijkheden en de mogelijkheid om elk illegaal beeld te laten verwijderen, blijft het maatschappelijke probleem rondom deepnudes zich in grote mate voordoen.

Vraag 12

In hoeverre kan de in consultatie gebrachte Wet naburig recht deepfakes van personen bij vergelijkbare gevallen behulpzaam zijn? En wanneer kan de Tweede Kamer dit wetsvoorstel verwachten?

Het wetsvoorstel naburig recht deepfakes van personen, een initiatiefvoorstel dat in voorbereiding was bij het voormalig Kamerlid Dral (VVD), is (nog) niet ingediend bij de Tweede Kamer. Er heeft van 30 oktober tot en met 31 december 2025 een internetconsultatie plaatsgevonden over een voorontwerp van de wet van haar hand. Dit voorontwerp is voor advies voorgelegd bij de Commissie Auteursrecht. Het is aan de opvolger van het lid Dral om te besluiten of en hoe het traject wordt voortgezet. Gelet op de voorbereidende fase waarin het wetsvoorstel zich op dit moment bevindt, kan niet worden beoordeeld in hoeverre het Wetsvoorstel een meerwaarde zal hebben voor de aanpak. Zoals bij de vragen 8 en 11 beantwoord, kan tegen het (zonder toestemming) vervaardigen, voorhanden hebben en verspreiden van deepnudes al strafrechtelijk worden opgetreden via de artikelen 252 en 254ba van het Wetboek van Strafrecht.

Vraag 13

Bent u bereid in gesprek te gaan met Europese lidstaten over het misbruik van AI-chatbots als het gaat om seksuele content op X en andere platforms?

Ja, daartoe zijn wij bereid. Zoals is geantwoord bij vraag 10, vindt bij het Ministerie van Justitie en Veiligheid een verkenning plaats waarbij wordt gekeken naar de mogelijkheden om het gebruik van nudify-applicaties verder tegen te gaan. Binnen dit onderzoek vinden ook gesprekken plaats met andere Europese lidstaten, om te bezien hoe de aanpak daar is vormgegeven en of gezamenlijk kan worden opgetreden.

Vraag 1

Wat is uw reactie op het bericht «Google en Microsoft houden energiegebruik van hyperscale-datacenters geheim voor de overheid»?1

De datacentra in kwestie hebben informatie aangeleverd zoals aan hen is gevraagd door de Nederlandse overheid. Op grond van de Europese Energie Efficiëntie Richtlijn (EED)2 en het nationale Besluit van 26 april 20243 zijn datacentra verplicht om informatie aan te leveren, met uitzondering van bedrijfsvertrouwelijke gegevens. Via de website van de Rijksdienst voor Ondernemend Nederland (RVO) en de in te vullen formulieren, heeft de Nederlandse overheid gecommuniceerd dat bedrijfsvertrouwelijke gegevens niet hoefden te worden aangeleverd.
In de loop van 2024 is de Europese regelgeving aangescherpt en van kracht geworden, middels een gedelegeerde verordening4. In de gedelegeerde verordening staat dat bedrijfsvertrouwelijke informatie niet openbaar wordt gemaakt, maar wel dat alle informatie aangeleverd dient te worden. Deze wijziging wordt meegenomen met de implementatie van de richtlijn. Aanvankelijk werd gewacht met de aanpassing van de communicatie en het loket tot de implementatie van de richtlijn gereed zou zijn, maar na verloop van tijd is alsnog gekozen om hier niet op te wachten en de communicatie en het loket aan te passen, gezien ook de rechtstreekse werking van de gedelegeerde verordening.
Deze aanscherping is in de communicatie naar datacentra recentelijk aangepast voor de aanlevering van gegevens in 2026, in lijn met de gedelegeerde verordening. Datacentra wordt gevraagd alle gegevens aan te leveren, en aan te geven of er sprake is van bedrijfsvertrouwelijke gegevens.

Vraag 2

Deelt u de opmerking dat techbedrijven zich moeten houden aan de wet, en daarom hun energieverbruik moeten delen, in lijn met de Energy Efficiency Directive (EED)?

Ja.

Vraag 3

Zijn netbeheerders in bezit van data over het energieverbruik van datacenters? Zo nee, waarom niet? Zo ja, kunt u samen met netbeheerders deze data met de Kamer delen?

Netbeheerders hebben data over, en inzicht in, het energiegebruik van hun klanten, waaronder (individuele) datacentra. Overheden werken daarom veel samen met netbeheerders om goed beleid voor energie-infrastructuur te kunnen maken. Deze gegevens kunnen niet openbaar worden gemaakt, omdat deze worden gezien als bedrijfsgevoelige gegevens en alleen ten behoeve van toezicht en handhaving voor de energiebesparingsplicht worden verstrekt aan de toezichthouders.

Vraag 4

Herkent u de in het artikel genoemde cijfers dat de stroomverbruik van datacenters binnen vijf jaar naar 15 procent van het totale stroom in Nederland zal groeien? Zo nee, welke ontwikkelingen ziet u wel voor zich? Zo ja, kunt u dat toelichten?

De ontwikkeling van datacentra is een langjarig proces en wordt momenteel ingeperkt door netcongestie, stikstofproblematiek en scherper vestigingsbeleid vanuit overheden. Daardoor is er in de huidige situatie weinig ruimte voor substantiële uitbreiding. Recent aangekondigde projecten zijn veelal jaren geleden in gang gezet. Ook sluit dit beeld niet goed aan bij de ontwikkeling van het elektriciteitsverbruik van de datacentra in de afgelopen jaren (zie ook de cijfers van het CBS5). Datacentra geven daarnaast aan dat een dergelijke prognose van de groei van het elektriciteitsverbruik niet realistisch is en niet aansluit bij de ontwikkeling uit de praktijk.

Vraag 5

Deelt u de mening dat een grote inzet op datacenters geen verstandige keuze is, aangezien veel delen van Nederland kampen met netcongestie en de ontwikkelingen en winsten die voortvloeien uit datacenters niet terecht komen bij Nederlandse huishoudens?

Het kabinet erkent de zorgen rondom netcongestie en datacentra. Deze zorgen nemen wij serieus. Tegelijkertijd vormen datacentra de ruggengraat van onze digitale infrastructuur en faciliteren zij essentiële diensten waar Nederlandse huishoudens dagelijks van profiteren. Denk aan online bankieren, digitale zorg, thuiswerken en onderwijs op afstand. Om de beschikbaarheid van een onderscheidende digitale infrastructuur te borgen, is een zorgvuldige bestuurlijke afweging nodig. Daarvoor moet, samen met betrokkenen en gekoppeld aan lopende beleidsvorming op economisch, ruimtelijk, en duurzaamheidsvlak, en met oog voor de maatschappelijke meerwaarde, bezien worden wat nodig en mogelijk is en welke voorwaarden daarvoor gelden.
Toegang tot transportcapaciteit van elektriciteit wordt non-discriminatoir uitgegeven. Er wordt daarbij dus niet gekeken naar wat er met de uitgegeven transportcapaciteit voor elektriciteit gedaan wordt. Netcongestie vormt echter een grote uitdaging. Op veel plekken in Nederland is geen ruimte meer voor nieuwe aanvragen van grootverbruikers van elektriciteit, zoals datacentra. Deze komen dan ook op de wachtrij. De Autoriteit Consument en Markt (ACM) heeft met het prioriteringskader op basis van criteria sectoren aangewezen die maatschappelijk van groot belang zijn, zoals scholen of ziekenhuizen. Grootverbruikers uit deze sectoren krijgen voorrang op de wachtrij bij het verkrijgen van transportcapaciteit wanneer deze beschikbaar is. Datacentra zijn niet opgenomen in dit kader en krijgen dan ook geen voorrang.

Vraag 6

Welke toegevoegde waarde hebben datacenters voor de Nederlandse economie en samenleving, als de winsten doorvloeien naar Amerikaanse techbedrijven en Nederland geen zeggenschap heeft over de technologie?

De digitale infrastructuur, die bestaat onder andere uit telecombedrijven, internetknooppunten, datacentra en cloudaanbieders, levert een substantiële directe én indirecte bijdrage aan de Nederlandse economie6. Het is onlosmakelijk verbonden met ons dagelijks leven, denk aan video vergaderen, online bankieren en mobiel betalen, onze overheidszaken regelen en met veel gemak onze inkopen doen. In het onderwijs en de zorg is digitalisering niet meer weg te denken. Bedrijven kunnen opbloeien dankzij die hoogwaardige digitale infrastructuur. De meerwaarde van datacentra is dat ze een onlosmakelijk onderdeel zijn van de digitale infrastructuur, die een randvoorwaarde is voor toekomstige groei. In de veranderende mondiale context wordt het steeds belangrijker dat Nederland en de EU geopolitiek gezien op eigen benen kunnen staan. Het belang van (open strategische) autonomie neemt steeds verder toe.

Vraag 7

Deelt u de mening dat technologie geen doel maar een middel is, en dat technologische ontwikkelingen zoals «Artificial Intelligence' (AI) ook bredere maatschappelijke doelen, zoals het verlagen van werkdruk en het verminderen van werk, moet dienen? Zo nee, waarom niet? Zo ja, deelt u dan ook de mening dat publieke zeggenschap over AI essentieel is om het als middel te gebruiken?

Het kabinet is van mening dat een technologie en het gebruik van technologie, zoals AI, een middel is of kan zijn in het bijdragen aan oplossingen voor maatschappelijke opgaven. Daarbij zal technologie en het gebruik hiervan zelf doelen, waarden en machtsverhoudingen vormen en doen verschuiven, waardoor middel en doel onvermijdelijk in elkaar ingrijpen. Voor AI is dit niet anders.
Veel AI-oplossingen, die ook relevant kunnen zijn voor productiviteit en maatschappelijk uitdagingen, worden door bedrijven ontwikkeld en aangeboden. Dit is van belang voor het verdienvermogen als onderdeel van het industriebeleid en de uitwerking van de Nationale Technologiestrategie. De implementatie van de Europese AI-verordening draagt er onder meer aan bij dat AI-oplossingen door bedrijven op een verantwoorde manier worden ontwikkeld en toegepast.
Om innovaties te versnellen en kennis publiek-privaat te ontwikkelen en toe te passen zet de overheid specifieke instrumenten in. Een voorbeeld is het AiNed programma van het Nationaal Groeifonds met een groot aantal labomgevingen voor de ontwikkeling van innovatieve AI-toepassingen. Een ander voorbeeld is de realisatie van een AI-fabriek in Groningen. Deze initiatieven moeten maatschappelijke en economische kansen van AI verzilveren, en de publieke belangen bij AI borgen.

Vraag 8

Heeft u zicht op ontwikkelingen op de arbeidsmarkt door de introductie van AI? Zijn er functies die nu of in de komende jaren geraakt worden door AI? Welke stappen worden gezet om mensen die door AI hun baan (zullen) kwijtraken om en bij te scholen voor behoud van werk?

Er wordt momenteel op verschillende plekken data verzameld over AI, het gebruik ervan en de impact op de arbeidsmarkt. De AI monitor van het CBS ontwikkelt statistieken over bedrijven die AI produceren, bedrijven die AI gebruiken, AI-opleidingen inclusief de overgang naar de arbeidsmarkt, en de vraag naar arbeidskrachten met AI-vaardigheden7. In de arbeidsmarktenquêtes van TNO8 worden ook enkele vragen over inzet van AI op werk toegevoegd. Dialogic publiceert daarnaast in opdracht van EZK een overzicht van kengetallen over de onderwijs- en arbeidsmarktstromen van AI en data science. Verder zijn binnen de Nederlandse Skills Survey vragen gesteld over het gebruik van AI op het werk, en de digitale vaardigheden van werkenden. Tot slot zijn er internationale organisaties, zoals de OECD, die onder andere onderzoek hebben gedaan naar de «blootstelling» van bepaalde beroepen aan AI9.
AI kan grote gevolgen hebben voor de arbeidsmarkt, maar deze gevolgen zijn op dit moment lastig te voorspellen. Om potentiële negatieve gevolgen voor de arbeidsmarkt te kunnen mitigeren, is het in de eerste plaats belangrijk mensen te ondersteunen om mee te kunnen in veranderingen van hun werk als gevolg van AI. Werkgevers hebben hierin een wettelijke én initiërende verantwoordelijkheid. Werkgevers, brancheorganisaties en sociale partners zetten al stevig in op leven lang ontwikkelen. Het kabinet heeft oog voor deze veranderingen. De snelle veranderingen van de economie en arbeidsmarkt (o.a. door AI) maakt dat de onzekerheid over werk en inkomen voor mensen toeneemt, terwijl werkgevers ook te maken hebben met grote personeelstekorten en zien dat cruciale vacatures open blijven staan. Talent komt te vaak niet op juiste plek terecht waar het meeste waarde toevoegt.
Leven Lang Ontwikkelen (LLO) is daarbij een prioriteit van het kabinet met een ambitieuze opdracht waaraan € 100 mln. aan structurele middelen is gekoppeld vanaf 2028. Het kabinet hecht belang aan LLO om het hoofd te kunnen bieden aan grote economische en maatschappelijke opgaven. Het huidige LLO-beleid van SZW, OCW en EZK is samengevat in de recente Kamerbrief Voortgang Leven Lang Ontwikkelen.10