Vraag 1

Kunt u bevestigen dat het datalek bij laboratorium Clinical Diagnostics veel groter blijkt dan eerder gemeld, en dat naast gegevens van 485 duizend vrouwen ook data van onderzoeken naar huid, urine, penis, anus en wondvocht zijn buitgemaakt?1

Het laboratorium Clinical Diagnostics heeft in zijn eerste berichtgeving over de hack aan Bevolkingsonderzoek Nederland (BVO NL) gemeld dat daarbij de gegevens van ruim 485.000 deelnemers van het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd. Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Uit contact met het laboratorium en Stichting Z-Cert (het expertisecentrum voor cybersecurity in de zorg) is naar voren gekomen dat de omvang van het datalek, naast de deelnemers van het bevolkingsonderzoek baarmoederhalskanker, inderdaad groter blijkt te zijn. Zo heeft de Staatssecretaris Rechtsbescherming uw Kamer geïnformeerd dat ook gegevens van 266 (ex-)gedetineerden betrokken zijn bij de hack.2 Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 2

Hoe beoordeelt u het feit dat gegevens, inclusief burgerservicenummer, medische uitslagen en adviezen, deels op het dark web zijn verschenen en dat criminelen claimen 300 gigabyte aan data te hebben gestolen?

Ik betreur het ten zeerste dat persoonsgegevens van deelnemers aan het bevolkingsonderzoek baarmoederhalskanker zijn bemachtigd als gevolg van een hack bij het laboratorium Clinical Diagnostics. Bovenal voor de deelnemers die direct geraakt zijn door de hack, aangezien het grote impact kan hebben als je gegevens in verkeerde handen komen. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens zijn bemachtigd bij een hack en mogelijk op het dark web zijn verschenen, is dat een ontzettende schok. Ook voor alle andere (potentiële) deelnemers aan de bevolkingsonderzoeken vind ik de situatie betreurenswaardig. Deelnemers aan de bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Ik begrijp heel goed dat zij zich zorgen kunnen maken en vragen hebben.
Ik vind het belangrijk dat deelnemers zo goed mogelijk worden geïnformeerd over de hack. Betrokken zijn of worden door BVO per brief geïnformeerd. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum3 van BVO NL.

Vraag 3

Wat vindt u van het feit dat het datalek al op 6 juli 2025 bekend was bij het laboratorium, maar pas op 6 augustus 2025 is gemeld aan Bevolkingsonderzoek Nederland?

In situaties als deze rust op verwerkingsverantwoordelijken de verplichting datalekken aan de Autoriteit Persoonsgegevens (AP) en betrokkenen te melden binnen de termijnen die de Algemene Verordening Gegevensbescherming (AVG) noemt. Of en waarom dat hier niet gebeurd zou zijn, is ter beoordeling van de AP die inmiddels een onderzoek is gestart.

Vraag 4

Kunt u bevestigen dat ook gegevens van patiënten van huisartsen en ziekenhuizen zoals het Leids Universitair Medisch Centrum, Amphia ziekenhuis en Alrijne ziekenhuis zijn gelekt? Wat betekent dit voor de verantwoordelijkheid van deze instellingen?

Uit contact met het laboratorium en Stichting Z-Cert is naar voren gekomen dat de omvang van het datalek inderdaad groter blijkt te zijn dan het bevolkingsonderzoek baarmoederhalskanker. Zoals ik afgelopen vrijdag en vandaag in aparte brieven uw Kamer heb laten weten, blijkt dat nog meer deelnemers aan het bevolkingsonderzoek zijn getroffen door de hack, ook deze deelnemers worden hierover door BVO NL geïnformeerd.
Desgevraagd Iheeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.

Vraag 5

Welke concrete maatregelen zijn inmiddels genomen om de schade voor betrokken burgers te beperken en herhaling te voorkomen?

Om meer inzicht te krijgen in de omvang van het probleem en om de gevolgen van de hack zoveel mogelijk te beperken, zijn de volgende maatregelen genomen:
De komende periode beziet BVO NL op welke wijze de consequenties van de hack zoveel mogelijk kunnen worden beperkt. Ik sta hierover in nauw contact met het RIVM en BVO NL.
Van het laboratorium heb ik vernomen dat de betrokken zorgverleners en patiënten worden geïnformeerd en gewezen op de mogelijke risico’s. Om herhaling te voorkomen heeft het laboratorium aanvullende maatregelen getroffen, waaronder het verder beperken van de toegang tot de getroffen IT-omgeving en verscherpte monitoring door het Security Operations Center (SOC)-team op de IT-omgeving.

Vraag 6

Hoe kan het dat Bevolkingsonderzoek Nederland en andere zorginstellingen geen gebruik maken van bijvoorbeeld Privacy by Design technieken, waardoor herleidbare persoonsgegevens niet uitgewisseld hoeven te worden tussen een extern laboratorium en de zorginstelling?

De diverse aspecten waarnaar gevraagd wordt, moeten blijken uit de verschillende lopende onderzoeken naar de hack en het datalek dat daarop volgde.

Vraag 7

Welke verbeteringen gaat u doorvoeren in het toezicht op digitale veiligheid bij laboratoria en andere zorginstellingen? Welke verbeteringen ziet u voor de lange termijn?

Digitale veiligheid vormt een essentieel aandachtspunt voor de gehele maatschappij. Op het gebied van de informatiebeveiliging in de zorg is er al sectorspecifieke wet- en regelgeving (onder andere de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz)) en de Wet kwaliteit, klachten en geschillen zorg (Wkkgz)). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.
Daarnaast geldt dat de Minister van Justitie en Veiligheid het wetsvoorstel Cyberbeveilingswet (Cbw) op 2 juni 2025 aanhangig heeft gemaakt in uw Kamer. Dit wetsvoorstel zal, indien beide Kamers der Staten-Generaal daarmee instemmen, ook gaan gelden voor zorgaanbieders in Nederland die voldoen aan de eisen voor wat betreft de omvang van de organisatie. Deze zorgaanbieders en zorgketenorganisaties krijgen met de Cbw een zorgplicht met betrekking tot informatieveiligheid. Deze zorgplicht geldt ook voor uitbestede diensten. Daarnaast komt er een incidentmeldplicht richting de toezichthouder IGJ en richting Z-Cert, die ondersteuning geeft aan en een actieve waarschuwingsdienst opzet voor deze zorg- en zorgketenorganisaties (met name op het gebied van scanning en dreigingsanalyse). Deze meldplicht aan de IGJ bestaat in de huidige situatie nog niet. Ook de handhavingsmogelijkheden onder de Cbw gaan verder dan onder de Wabvpz.

Vraag 8

Hoe beoordeelt u de keuze om gezondheidsdata te laten beheren door private laboratoria? Kunt u toezeggen om te onderzoeken of centrale overheidsregie op digitale gezondheidsdata uitvoerbaar en wenselijk is?

Privacyregelgeving geldt voor iedereen, dus zowel voor publieke als private partijen. Vanuit dat oogpunt is er geen bezwaar om gezondheidsdata te laten beheren door private laboratoria.
Met betrekking tot het tweede aspect van uw vraag, het regievoeren op het organiseren van het gezondheidsinformatiestelsel, waar de organisatie van digitale gezondheidsdata een belangrijk onderdeel van is, gebeurt door het uitvoeren van de in april door de Tweede Kamer goedgekeurde Nationale Visie en Strategie (NVS) op het Gezondheidsinformatiestelsel4. In deze visie staat hoe de opslag en het beheer van digitale gezondheidsdata worden vormgegeven. Privacy en informatiebeveiligingseisen zijn een integraal onderdeel van de NVS, voor primaire zorginformatie en voor informatie zoals die gebruikt wordt voor het bevolkingsonderzoek.

Vraag 9

Bent u bekend met systemen waarbij data bij de bron wordt onthouden en pas bij verwijzing kunnen worden ingezien, met volledige logging van inzage? Hoe beoordeelt u de veiligheid van dit decentrale model ten opzichte van een centraal systeem zoals in Estland?

Ik ben bekend met de systemen waar u op doelt, het zogenoemde communicatiepatroon «gericht beschikbaar stellen», waarbij volledige logging van inzage plaats moet vinden. Ook in de situatie van laboratoriumonderzoek zou gebruik gemaakt kunnen worden van dit communicatiepatroon. Dit communicatiepatroon kan echter niet het hacken van data uit het laboratorium zelf voorkomen.
Met betrekking tot het tweede aspect van uw vraag, de inrichting van zorgstelsels in verschillende landen is niet altijd goed met elkaar te vergelijken. Veiligheidsvraagstukken en de afweging tussen centraal en decentraal worden meegenomen bij de inrichting van het gezondheidsinformatiestelsel op basis van de NVS.

Vraag 10

Is er inmiddels aangifte gedaan van deze hack? Zo ja, door wie en op welk moment? Is dit voor of na de melding op 6 augustus jl. aan Bevolkingsonderzoek Nederland? En mocht dit voor de melding op 6 augustus zijn geweest, hoe beoordeelt u de communicatie van organisaties bij datalekken, welke verbeteringen ziet u?

Over de vraag of er door direct betrokkenen aangifte is gedaan, kan ik mij niet uitlaten.

Vraag 11

Welke rol speelt de Inspectie Gezondheidszorg en Jeugd in het toezicht op digitale veiligheid bij laboratoria? Wordt deze rol versterkt?

Op het gebied van de informatiebeveiliging in de zorg is er sectorspecifieke wet- en regelgeving (onder andere de Wabvpz en Wkkgz). De IGJ is belast met het toezicht op de naleving van die wet- en regelgeving. De IGJ doet onderzoek bij het laboratorium en is voornemens om mede naar aanleiding van dit incident extra aandacht te besteden aan informatiebeveiliging bij medische laboratoria. Risico’s zoals deze blijken uit dit incident, worden eveneens meegenomen in het toezicht bij andere zorgaanbieders en andere zorgsectoren.

Vraag 12

Wat kan de overheid nog doen als gegevens eenmaal op het dark web zijn verschenen, en hoe wordt de schade voor de betrokken burgers beperkt?

Zodra persoonsgegevens eenmaal op het dark web zijn beland, is het in de praktijk bijzonder lastig, zo niet onmogelijk, om deze volledig te laten verwijderen. Het dark web betreft een afgeschermd deel van het internet waar informatie vaak anoniem wordt gedeeld en waar activiteiten lastig tot niet te traceren zijn.
Hoewel de mogelijkheden om schade volledig te voorkomen beperkt zijn, kunnen er door zorginstellingen wel maatregelen worden genomen om de (toekomstige) impact voor betrokkenen zoveel mogelijk te beperken. Een belangrijke stap is het tijdig informeren van betrokkenen zodra wordt vastgesteld dat hun gegevens op het dark web zijn aangetroffen. Hacks waarbij zoveel data worden bemachtigd, vergroten namelijk het risico op gerichte en overtuigende phishingaanvallen, juist omdat kwaadwillende beschikken over persoonlijke informatie waarvan het slachtoffer zich mogelijk niet bewust is dat deze is buitgemaakt.
Door snel te informeren, kunnen betrokkenen proactief maatregelen nemen, zoals het wijzigen van wachtwoorden of het melden van mogelijke identiteitsfraude bij de daarvoor bestemde instanties (bijvoorbeeld bij de Rijksdienst voor Identiteitsgegevens5).

Vraag 13

Kunt u uitsluiten dat andere laboratoria of zorginstellingen eveneens slachtoffer zijn van deze of vergelijkbare hacks?

Zoals ik uw Kamer op vrijdag 29 augustus heb geïnformeerd, is duidelijk geworden dat er nog aanzienlijk meer deelnemers zijn getroffen door de hack. Namelijk ca. 230.000 mensen extra. Het is helaas niet uit te sluiten dat het hierbij blijft.
Desgevraagd heeft het laboratorium aan mij aangegeven dat het onderzoek naar de aantallen bijna is voltooid en dat de betrokken zorgaanbieders nader zullen worden geïnformeerd.
Z-Cert monitort continu de informatiebeveiliging van de bij hen aangesloten zorgaanbieders en informeert deze aanbieders over mogelijke risico’s in hun informatiebeveiliging.

Vraag 14

Bent u bereid om een landelijke audit op databeveiliging bij zorginstellingen te laten uitvoeren, en daarbij ook de rol van de Autoriteit Persoonsgegevens, de Inspectie Gezondheidszorg en Jeugd en het Nationaal Cyber Security Centrum te betrekken?

Nee, het is niet aan mij om landelijke audits uit te voeren. Zorginstellingen in Nederland zijn zelf verantwoordelijk en wettelijk verplicht voor het nemen van technische en organisatorische maatregelen ter bescherming van persoonsgegevens en medische informatie binnen hun organisatie. Zij dienen die maatregelen periodiek te evalueren en zo nodig aan te passen. De AP en de IGJ houden toezicht op de naleving van de betreffende regelgeving.
Bij de andere laboratoria betrokken bij de bevolkingsonderzoeken worden door Z-Cert extra checks gedaan op informatieveiligheid.

Vraag 15

Deelt u de mening dat het vertrouwen in bevolkingsonderzoeken ernstig wordt geschaad door dit datalek?

Ik begrijp heel goed dat (potentiële) deelnemers aan het bevolkingsonderzoek zich zorgen maken en vragen hebben na het bericht over deze hack. Meedoen aan een bevolkingsonderzoek kan al spanning met zich meebrengen. Als je dan ook nog hoort dat je persoonsgegevens mogelijk zijn bemachtigd, is dat een ontzettende schok. Deelnemers aan bevolkingsonderzoeken moeten er immers op kunnen vertrouwen dat hun persoonlijke gegevens veilig zijn. Dat er nu persoonlijke gegevens zijn gestolen door hackers, vind ik ontzettend betreurenswaardig. Ik kan me voorstellen dat dit mensen aan het denken zet over deelname aan het bevolkingsonderzoek. Ik wil benadrukken dat het vroeg opsporen van kanker ervoor zorgt dat de behandeling minder belastend is en een betere uitkomst heeft, waardoor sterfgevallen door de betreffende vorm van kanker voorkomen worden. Deelname is dus in ieders belang.

Vraag 16

Welke maatregelen neemt u om het vertrouwen in bevolkingsonderzoeken te herstellen en deelname te stimuleren?

BVO NL onderneemt verschillende acties om de gevolgen van de hack zoveel mogelijk te beperken:
Ik verwacht dat deze acties bijdragen aan het behouden van vertrouwen in de bevolkingsonderzoeken.
Daarnaast lopen er momenteel verschillende pilots van het RIVM samen met BVO NL om de deelname aan de bevolkingsonderzoeken te stimuleren, waaronder een wijkgerichte aanpak, waarbij door een gezondheidsvoorlichter van het RIVM voorlichting wordt gegeven in wijkcentra in wijken waar de opkomst bij de bevolkingsonderzoeken laag is. Daarnaast wordt voorlichting gegeven op lokale evenementen en festivals en bij voedselbanken. Hierin wordt onder meer samengewerkt met gemeenten en GGD’en. Eventuele signalen die bij deze voorlichting naar voren komen wat betreft de informatievoorziening rond de hack, worden in overleg met BVO NL benut om de informatievoorziening vanuit BVO NL toegankelijker en begrijpelijker te maken.

Vraag 17

Hoe wordt de communicatie richting burgers afgestemd op de ernst van het datalek, en hoe worden deelnemers aan het bevolkingsonderzoek proactief geïnformeerd?

Op 11 augustus heeft BVO NL een nieuwsbericht naar buiten gebracht over de hack bij het laboratorium, om mensen te informeren en te waarschuwen. In de week van 18 augustus heeft BVO NL de eerste groep deelnemers waarvan vaststaat dat zij betrokken zijn bij de hack, per brief geïnformeerd.
In deze brief worden deelnemers onder andere geïnformeerd over het belang van alert zijn op fraude. Nu duidelijk is geworden dat meer deelnemers aan het bevolkingsonderzoek zijn getroffen, zullen ook deze deelnemers hierover door BVO NL worden geïnformeerd. Hierover heeft BVO NL op 29 augustus een nieuwsbericht gepubliceerd.
Op de website van BVO NL wordt de informatie voortdurend geüpdatet en worden veelgestelde vragen en antwoorden aangevuld. Bij vragen, ongerustheid en/of andere opmerkingen kunnen deelnemers terecht bij het klantcontactcentrum van Bevolkingsonderzoek Nederland. 6

Vraag 18

Bent u bereid om met Gemeentelijke Gezondheidsdiensten, huisartsen en Bevolkingsonderzoek Nederland een herstelplan op te stellen voor het vertrouwen in preventieve zorg na dit incident?

Ik wacht op de uitkomsten van de lopende onderzoeken. Hieruit zullen lessen worden getrokken voor verbeteringen in de toekomst. Hierbij kijk ik ook zeker naar het vertrouwen in de preventieve zorg.

Vraag 19

Kunt u als Minister en Staatssecretaris, gezien de ernst van de situatie, toezeggen om voor 1 september 2025 uitgebreid antwoord te geven op bovenstaande vragen, inclusief een visie op de toekomst van digitale gezondheidsdata en cyberveiligheid in de preventieve zorg?

Met de Nationale Visie en Strategie voor het gezondheidsinformatiestelsel, zoals 14 april 2025 door Tweede Kamer akkoord bevonden, is een totaalvisie op het gezondheidsinformatiestelsel voor zorg, preventie en gezondheid gegeven. Mijn ministerie is nu druk bezig om deze visie te realiseren. Om die met vertrouwen van burger en zorgverlener te kunnen realiseren, zijn cyberveiligheid, privacy en informatiebeveiliging van wezenlijk belang en dus ook een integraal onderdeel van de strategie. Dit geldt voor zowel de primaire zorg en preventiezorg als voor gezondheidsdoeleinden.
De vragen zijn per 1 september beantwoord. Ik blijf uw Kamer op de hoogte stellen.

Vraag 1

Bent u bekend met het bericht: «Digitale werkomgeving OM inderdaad gehackt, onderzoek moet uitwijzen welke informatie is gestolen»?1

Ja.

Vraag 2

Wat werd aangetroffen in de eerste scans van het Nationaal Cyber Security Centrum (NCSC) waaruit bleek dat onbevoegden de systemen van het Openbaar Ministerie (OM) zijn binnengedrongen?

Op 17 juli jl. berichtte ik u dat het OM uit voorzorg de interne systemen had losgekoppeld van het internet. Het NCSC heeft met gerichte scans gezocht naar kwetsbare of mogelijk gecompromitteerde systemen. Een analyse van de OM-omgevingen heeft reden gegeven om aan te nemen dat er gebruik is gemaakt van deze mogelijke kwetsbaarheid. Het NCSC heeft daarop het OM geïnformeerd en geadviseerd om nader onderzoek te verrichten. Inmiddels is een eerste technisch en forensisch onderzoek uitgevoerd.2 Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 3

Bent u op de hoogte van het soort gegevens dat mogelijk is ingezien of buitgemaakt door onbevoegden? Heeft u gericht maatregelen genomen op basis van deze informatie?

Zoals aangegeven in de beantwoording van vraag 2 is zijn er tot op heden geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Er wordt nog nader onderzoek gedaan. Over het lopende strafrechtelijk onderzoek kan ik u gedurende dat onderzoek geen mededelingen doen.

Vraag 4

Zijn er aanwijzingen dat persoonsgegevens van medewerkers, zoals e-mailadressen, inloggegevens, telefoonnummers of privéadressen, zijn buitgemaakt of ingezien door onbevoegden?

Zie antwoord vraag 3.

Vraag 5

Wordt er onderzocht welke gevolgen deze hackaanval kunnen hebben voor de digitale en fysieke veiligheid van OM-medewerkers, met name zij die betrokken zijn bij zware strafzaken ten aanzien van ondermijnende criminaliteit? Zo nee, bent u bereid dit wel te doen?

Tot op heden zijn er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Verder onderzoek vindt nog plaats.

Vraag 6

Zijn er aanwijzingen dat persoonsgegevens van getuigen of slachtoffers zijn buitgemaakt of ingezien door onbevoegden? Wat doet u om hun veiligheid te waarborgen?

Zie antwoord vraag 5.

Vraag 7

Is er een (voorlopige) risicoanalyse gemaakt en worden er op basis daarvan al maatregelen genomen om kwetsbaarheden af te dekken, naast het offline halen van het OM?

Er zijn maatregelen genomen om kwetsbaarheden af te dekken. Inmiddels gaat het OM stapsgewijs weer online. Dit proces moet zorgvuldig worden ingericht, met versterkte monitoring en detectie, omdat misbruik nooit helemaal kan worden uitgesloten.3

Vraag 8

Welke overheidsorganisaties maken nog meer gebruik van Citrix-software die dezelfde kwetsbaarheid bevat? Welke maatregelen nemen zij om mogelijke hackaanvallen te onderzoeken en zo nodig hun systemen veilig te stellen, gezien u in de brief van 23 juli j.l. schrijft dat het NCSC heeft geadviseerd dat alle organisaties die deze software gebruiken mogelijk misbruik moeten onderzoeken (Kamerstuk 26 643, nr. 1377)?

Het NCSC heeft alle organisaties die Citrix NetScaler ADC en Citrix NetScaler Getaway gebruiken opgeroepen om onderzoek te doen naar mogelijk gebruik en misbruik van de kwetsbaarheden, ook als de kwetsbaarheden reeds zijn verholpen middels de update. CIO Rijk heeft deze casuïstiek en het handelingsperspectief van het NCSC bij alle departementen middels meerdere CISO-briefings onder de aandacht gebracht, met het dringende advies dit op te volgen.
Het NCSC vervult een coördinerende rol in de informatie-uitwisseling door continu informatie samen te brengen en te delen, zodat organisaties zelf in staat zijn aanvullend onderzoek te verrichten. Binnen de juridische kaders verstrekt het NCSC informatie als duiding, handelingsperspectieven en beveiligingsadviezen via verschillende netwerken en (openbare) kanalen aan zowel publieke als private organisaties.
Ik kan alleen ingaan op de organisaties die onder mijn departement vallen en verwijs daarvoor onder meer naar de Kamerbrieven van 17 juli jl.4 en van 12 augustus jl.5

Vraag 9

Hoe wordt actuele en relevante informatie uit het onderzoek van het OM gedeeld met andere organisaties die mogelijk ook zijn getroffen door een hackaanval? Bent u bereid deze informatie ook proactief met commerciële partijen te delen?

Zie antwoord vraag 8.

Vraag 10

Hoe worden ketenpartners waar de systemen van het OM mee zijn geïntegreerd betrokken bij deze operatie? Ontvangen zij ook steun voor het onderzoeken van eigen systemen of om belemmeringen in hun werk te voorkomen?

De gehele afsluiting van het OM van het internet had impact op het OM zelf en alle samenwerkingspartners. Door alle betrokkenen is dagelijks hard gewerkt om de ontstane knelpunten en effecten zoveel mogelijk op te lossen, met als doel de impact zoveel mogelijk beperken en de mogelijke risico’s mitigeren. Over de impact op de strafrechtketen heb ik u op 12 augustus jl. geïnformeerd.6

Vraag 11

Is het mogelijk om het herstel van de OM-systemen sneller te laten verlopen dan de verwachte wekenlange operatie? Zo ja, bent u bereid capaciteit vrij te maken om dit te versnellen?

Op basis van de onderzoeksresultaten van het technisch en forensisch onderzoek – en het naarmate het offline zijn van het OM langer duurt, steeds zwaarwegender belang van het goed functioneren van de strafrechtketen en de impact daarvan op de maatschappij – heeft het College van procureurs-generaal het besluit genomen dat het verantwoord en wenselijk is om het OM weer in fasen online te laten gaan. Over deze stapsgewijze livegang van het OM heb ik uw Kamer op 4 augustus geïnformeerd.7

Vraag 12

Wat zijn de praktische gevolgen van het offline halen van de systemen voor OM-medewerkers en lopende strafzaken? Is de organisatie voldoende uitgerust om taken analoog of met back-up systemen volwaardig op te pakken?

Medewerkers van het OM konden alleen inloggen op kantoorlocaties, waren niet per mail bereikbaar en er was sprake van een beperkte functionaliteit van de systemen.8 In de periode dat het OM geheel offline was kon er geen enkele digitale informatie van en naar het OM worden gestuurd. Dit raakten alle ketenpartners in en rondom de strafrechtketen. Het OM en ketenpartners stelden werkprocessen vast om proces(stukken) per post, fysiek of door andere organisaties dan het OM aan te leveren. Daarnaast had het OM speciale aandacht voor het informeren van slachtoffers en hun gemachtigden. Dit toont de inventiviteit, enorme inzet en bereidheid om samen te werken in de strafrechtketen. Over de verdere impact op de organisaties in en rondom de strafrechtketen heb ik u op X augustus geïnformeerd.9

Vraag 13

Worden verdachten, advocaten, rechters en andere betrokkenen in de keten actief geïnformeerd over de gevolgen die zij mogelijk ondervinden?

Het OM heeft Q&A’s geplaatst op de eigen website met daarin de veelgestelde vragen op een rij voor de advocatuur, inclusief een apart overzicht voor slachtofferadvocatuur en daarnaast voor slachtoffers. Ook is informatie over de telefonische bereikbaarheid van het OM opgenomen.10 Deze overzichten worden steeds bijgewerkt. Ook op de website van de Rechtspraak is een overzicht met veelgestelde vragen te vinden over de invloed die de IT-problemen bij het OM kunnen hebben op lopende strafzaken.11 Het CJIB en Slachtofferhulp Nederland (SHN) geven op hun websites aan dat de situatie bij het OM gevolgen heeft voor de eigen werkzaamheden en dat – ook met de gegeven alternatieve oplossingen – als gevolg daarvan slachtoffers in bepaalde gevallen mogelijk minder goed geïnformeerd en/of proactief ondersteund kunnen worden.12

Vraag 14

Wanneer is er sprake van genoeg zekerheid om (delen van) het interne systeem weer online te brengen? Hoe voorkomt u dat er uit haast onvoldoende voorzorg wordt genomen, zolang niet precies bekend is wat de ernst van de hack is?

Zoals reeds aan uw Kamer gemeld, zijn er tot op heden er geen aanwijzingen dat data (strafvorderlijk of anderszins) is gemanipuleerd of weggehaald. Op 4 augustus jl. heb ik u geïnformeerd over het stapsgewijs weer online gaan van de systemen van het OM.13 Dit proces wordt zorgvuldig ingericht met versterkte monitoring en detectie. Ik heb het OM verzocht om bij deze gefaseerde livegang in afstemming met de keten te bezien welke essentiële processen met prioriteit weer gedigitaliseerd doorgang moeten vinden.

Vraag 15

Hoe draagt u bij aan het zo snel mogelijk inzicht krijgen van de gevolgen en het veilig online brengen van de het interne OM-netwerk? Stelt u hiervoor extra capaciteit beschikbaar?

Zie antwoord vraag 14.

Vraag 16

Is de Autoriteit Persoonsgegevens betrokken bij deze operatie? Kunt u hen nauw betrekken zodat er snel gehandeld kan worden als blijkt dat persoonsgegevens ingezien of buitgemaakt zijn?

De Autoriteit Persoonsgegevens is reeds door het OM en JIO ingelicht over de situatie. Waar nodig wordt vanzelfsprekend nauw contact onderhouden met de Autoriteit Persoonsgegevens.

Vraag 17

Heeft u contact gehad met Citrix over de kwetsbaarheid in hun software? Kan de leverancier bijdragen aan een oplossing voor het OM?

Ja, met Citrix is regelmatig contact over de kwetsbaarheden en oplossingen hiervoor.

Vraag 18

Kunt u, zo nodig vertrouwelijk, de Kamer informeren over de interne toelichting die is gegeven aan het OM en bekend is bij het NRC?

Ik acht het niet opportuun om in te gaan op mediaberichtgeving over interne communicatie binnen het OM. Het is aan het OM om daar al dan niet op te reageren. Voor het overige verwijs ik naar de Kamerbrieven die uw Kamer over dit onderwerp zijn toegestuurd.

Vraag 19

Kunt u deze vragen afzonderlijk van elkaar en spoedig beantwoorden, en indien mogelijk betrekken bij de eerstvolgende update over de situatie?

Waar relevant zijn antwoorden samengevoegd om herhaling te voorkomen.

Vraag 1

Heeft u een voorlopig beeld van in welke mate de kwetsbaarheden in de on-premise versie van Microsoft Sharepoint Server een effect hebben gehad op de Nederlandse overheid en samenleving?1 Kunt u in algemene zin een indicatie geven van de hoeveelheid (potentiële) slachtoffers in Nederland?

Het voorlopige beeld op dit moment is dat de kwetsbaarheden in Sharepoint slechts beperkt effect hebben gehad op de Nederlandse overheid en samenleving.
De samenwerkingsruimten bij rijksorganisaties, die zijn gebaseerd op Sharepoint, zijn destijds tijdelijk uit voorzorg door SSC-ICT geblokkeerd. Sinds vrijdag 24 juli zijn de samenwerkingsruimten weer beschikbaar voor medewerkers en externen.
Voor de medeoverheden geldt dat ze in het algemeen niet in de on-premise versie van Microsoft SharePoint Server werken omdat zij voornamelijk de cloud-variant gebruiken, waarop de kwetsbaarheid niet van toepassing is. Impact voor de medeoverheden lijkt om die reden beperkt.
Daarnaast verstrekt het Nationaal Cyber Security Centrum (NCSC) bij dergelijke kwetsbaarheden duidingsinformatie, handelingsperspectieven en beveiligingsadviezen.

Vraag 2

Kunt u dit ook aangeven ten aanzien van de recente kwetsbaarheden in Citrix Netscaler?2

Op de impact op de strafrechtketen naar aanleiding van de offline gang van het Openbaar Ministerie (OM) heb ik uw Kamer reeds geïnformeerd.3
Daarnaast heeft het NCSC heeft ook ten aanzien van de kwetsbaarheid in Citrix Netscaler verschillende adviezen uitgebracht. Deze adviezen zijn gedeeld met de desbetreffende doelgroepen en betroffen aanbevelingen voor het uitvoeren van patches en het draaien van scripts.
Bij enkele rijksorganisaties zijn sporen van compromittatie aangetroffen. Mitigerende maatregelen zijn getroffen en nader onderzoek wordt verricht. Tot dusver zijn er geen aanwijzingen dat andere overheidsorganisaties zijn gecompromitteerd.

Vraag 3

Kunt u reflecteren op Microsofts attributie van de initiële cyberaanvallen waarbij gebruik is gemaakt van Sharepoint-kwetsbaarheden aan de Chinese cyber threat actors Linen Typhoon, Violet Typhoon en Storm-2603, in relatie tot de gekende Chinese digitale spionagedreiging zoals beschreven in het Dreigingsbeeld Statelijke Actoren (DBSA) 2025 (Kamerstuk 30 821, nr. 305)?3

De digitale spionagedreiging zoals beschreven in DBSA 2025 heeft de constante aandacht van het kabinet. Cybersecurity bedrijven zoals Microsoft onderzoeken met regelmaat de toedracht en oorsprong van cyberaanvallen. Die informatie bestudeert het kabinet met aandacht. Evenwel moet een attributie door het kabinet altijd rusten op eigenstandige informatie.

Vraag 4

In welke mate weten het Nationaal Cyber Security Center (NCSC) en de relevante doelgroepen elkaar te vinden als het gaat om het opvolgen van beveiligingsadviezen, het delen van indicators of compromise (IoC’s) en het melden van compromittaties, in casussen als Sharepoint en Netscaler? Op welk vlak zijn de grootste verbeteringen nog mogelijk?

Het NCSC verzamelt en analyseert, in het kader van de uitoefening van de taken in de Wet beveiliging netwerk- en informatiesystemen (Wbni), continu informatie over dreigingen en incidenten en deelt deze informatie in datzelfde kader zo veel als mogelijk met publieke en private organisaties waarvoor die informatie relevant is, of met hun schakelorganisaties. Zo worden deze organisaties in staat gesteld zelf aanvullend onderzoek te verrichten. Via nieuws- en doelgroepberichten biedt het NCSC technische hulpmiddelen, zoals scripts en Indicators of Compromise (IoC’s), die helpen bij het detecteren, herkennen en onderzoeken van incidenten. Ook verstrekt het NCSC onder meer duidingsinformatie, handelingsperspectieven en beveiligingsadviezen via een uitgebreid netwerk en (openbare) kanalen aan publieke en private partijen. Daarnaast onderhoudt het NCSC contact met verschillende incident response-partijen voor informatie-uitwisseling en het verstrekken van passende adviezen. Informatie-uitwisseling over cyberdreigingen- en incidenten vindt plaats via bestaande samenwerkingen en informatiekanalen. Daarnaast zijn initiatieven zoals het Cyberweerbaarheidsnetwerk en Cyclotron in ontwikkeling om deze uitwisseling verder te versterken.

Vraag 5

Zal de inwerkingtreding van de Cyberbeveiligingswet naar uw verwachting deze informatieuitwisseling versterken? Kunt u dit toelichten?

Na inwerkingtreding van de Cyberbeveiligingswet (Cbw) zal de uitwisseling van informatie vanuit het NCSC in ruimere zin mogelijk worden, in elk geval omdat een Computer Security Incident Response Team (CSIRT) op grond daarvan uitdrukkelijk tot taak krijgt om informatie over dreigingen, kwetsbaarheden en incidenten niet alleen aan essentiële en belangrijke entiteiten, maar ook aan alle andere relevante partijen te verstrekken. Daarbij is de tussenkomst van schakelorganisaties niet meer vereist.

Vraag 6

Wanneer verwacht u de Kamer te kunnen informeren over de omstandigheden, de schade en de consequenties van de compromittatie van systemen van het Openbaar Ministerie (OM) middels kwetsbaarheden in Netscaler, welke volgens de media waarschijnlijk door een Russische cyber threat actor uitgevoerd is?4

Uw Kamer is hier reeds op verschillende momenten over geïnformeerd.6, 7, 8 Wat de exacte consequenties van de compromittatie zijn, is onderwerp van lopend onderzoek.

Vraag 7

Bent u voornemens om die betreffende cyberaanval op het OM, indien dit met voldoende betrouwbaarheid mogelijk is, publiekelijk te attribueren aan een cyber threat actor en/of een land, net zoals het kabinet reeds gedaan heeft met de attributie van de politiehack uit 2024 aan de Russische cyber threat actor LAUNDRY BEAR?

Zoals aangegeven in antwoord op vraag 3 heeft de digitale spionagedreiging de continue aandacht van dit kabinet. In lijn met de motie Erkens (36 410 X, nr. 46) is het de inzet van het kabinet om waar mogelijk cyberaanvallen en bijbehorende technische werkwijzen openbaar te maken. De wenselijkheid van het publiek attribueren aan een statelijke actor hangt af van een groot aantal factoren. De beoogde doelen en effecten van de publieke attributie, de technische afwegingen, diplomatieke gevolgen, eventuele gevolgen voor lopend onderzoek en het effect op de nationale veiligheid worden alle meegewogen bij besluitvorming over attributie. Ook worden gelijkgestemde partners, in het bijzonder EU-lidstaten en NAVO-bondgenoten, vooraf op de hoogte gesteld van een attributie.
Bovendien is het van belang het beoogde doel scherp te formuleren. Publieke attributie kan wat het kabinet betreft de volgende doelen dienen: het door middel van openbaarmaking van informatie verstoren van cyberoperaties, het beïnvloeden van het gedrag van kwaadwillende actoren, het informeren van internationale partners en bondgenoten en het informeren van overige derde landen die met een soortgelijke dreiging te maken hebben.
Bij deze besluitvorming zijn de Ministeries van Defensie, Justitie en Veiligheid (NCTV en NCSC), Buitenlandse Zaken, de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD), de Politie en het Openbaar Ministerie (OM) betrokken. Het uiteindelijke besluit over een attributie wordt door het kabinet, via de Raad Veiligheid en Inlichtingen, genomen.

Vraag 8

Heeft de Nederlandse overheid een algemeen publiekelijk attributiebeleid voor cyberaanvalscampagnes?

Zie antwoord vraag 7.

Vraag 9

Welk afwegingskader(s) hanteert de overheid voor het al dan niet publiekelijk attribueren van cyberaanvallen? Welk(e) bewindspersoon/-personen of welk(e) departement(en) is/zijn doorslaggevend in het besluit of dit publiekelijk gebeurt?

Zie antwoord vraag 7.

Vraag 10

Zal het feit dat, zoals in het DBSA 2025 wordt gesteld, «er steeds meer landen [lijken] te zijn die in Nederland willen spioneren, met name digitaal via offensieve cyberprogramma’s» van invloed zijn op het attributiebeleid of de uitvoeringspraktijk? Acht u het waarschijnlijk dat het kabinet in de komende jaren meer cyberaanvalscampagnes aan meer landen zal attribueren?

Zie antwoord vraag 7.

Vraag 11

Hoe en in welke mate wegen diplomatieke afbreukrisico’s mee in het al dan niet publiekelijk attribueren van een cyber threat actor aan een land?

Zie antwoord vraag 7.

Vraag 12

Heeft u een beeld van hoe de Cybersecurity Advisory over LAUNDRY BEAR inclusief mapping naar het MITRE ATT&CK framework over het algemeen ontvangen is bij de relevante partijen (Kamerstuk 29 628, nr. 1256)? Wordt een rapport als deze in de sector als behulpzaam beschouwd?

De Cybersecurity Advisory bevat handelingsperspectief voor publieke en private organisaties in Nederland, en wereldwijd, om hun weerbaarheid te verhogen en onderzoek mogelijk te maken naar deze cyberactor.
De relevante partijen hebben de Cybersecurity Advisory goed ontvangen. Zij zien dit rapport als behulpzaam en worden door de CSA in staat gesteld zelf onderzoek te doen.

Vraag 13

Voorziet u dat het kabinet in de toekomst vaker adviesrapporten van deze aard en omvang met classificatie TLP:CLEAR zal verstrekken? Wat zijn hierin de afwegingen?

Vraag 1

Bent u bekend met het bericht «WeTransfer haalt gebruik bestanden voor AI-training stilletjes uit voorwaarden»?1

Ja, hier ben ik mee bekend.

Vraag 2

Bent u bekend met de nieuwe gebruiksvoorwaarden van WeTransfer, een dienst waar veel mensen gebruik van maken om grote hoeveelheden data te delen met elkaar?

Ja, hier ben ik mee bekend. Overigens heeft WeTransfer zelf de eerdere berichtgeving hierover weersproken2.

Vraag 3

Is bij u bekend wat de gevolgen zijn van de nieuwe gebruiksvoorwaarden voor de consumenten-, privacy- en auteursrechten van gebruikers, die mogelijk worden geschonden als WeTransfer rechten krijgt over de data van gebruikers? Indien dit niet bekend bij u is, kunt u om een zienswijze vragen van de Autoriteit Consument & Markt (ACM) en/of de Autoriteit Persoonsgegevens (AP)?

Voor mogelijke schending van consumenten- en privacyrecht is het niet aan de regering, maar aan de gebruikers om zich tot de toezichthoudende autoriteit te wenden. Voor zover het de naleving betreft van de Algemene Verordening Gegevensbescherming (AVG) is dat de Autoriteit Persoonsgegevens (AP), nu WeTransfer B.V. haar hoofdzetel heeft in Amsterdam. Met betrekking tot de naleving van het consumentenrecht kan een melding worden gedaan bij de Autoriteit Consument en Markt (ACM). Er is geen toezichthouder voor de naleving van het auteursrecht. Als de voorwaarden die aan de inroepbaarheid van de uitzondering op het auteursrecht (neergelegd in artikel 15o van de Auteurswet) zijn geschonden (zie hierover nader het antwoord het vraag3 en de maker geen toestemming voor het gebruik van zijn werk heeft verleend, dan is sprake van een auteursrechtinbreuk. De maker kan een procedure bij de civiele rechter starten en daarin bijvoorbeeld een verbod en schadevergoeding vorderen.

Vraag 4

Is het trainen van AI-modellen op grote hoeveelheden data van gebruikers door techbedrijven, zoals mogelijk het geval is bij WeTransfer en eerder al het geval was bij Meta,2 toegestaan binnen de Nederlandse en Europese wet- en regelgeving? Welke beperkingen kent deze praktijk?

Het trainen van AI-modellen met data van gebruikers is onder bepaalde voorwaarden toegestaan. Het Europese Comité voor gegevensbescherming (EDPB), waarin de Europese toezichthouders samenwerken, heeft op 18 december 2024 een advies aangenomen over het gebruik van persoonsgegevens bij het ontwikkelen en in gebruik nemen van AI-modellen.5 Uit dat advies van de EDPB volgt dat een verwerkingsverantwoordelijke een gerechtvaardigd belang (artikel 6, eerste lid onder f AVG) kan hebben bij het gebruik van persoonsgegevens voor de ontwikkeling van een AI-model. Daarbij noemt de EDPB diverse voorwaarden voor het gebruik van deze grondslag bij het verwerken van persoonsgegevens ten behoeve van het ontwikkelen of inzetten van een AI-model. Een van die voorwaarden is dat uit een belangenafweging moet blijken dat het gebruik van persoonsgegevens noodzakelijk is en dat hetzelfde doel niet kan worden bereikt met, bijvoorbeeld, geanonimiseerde gegevens. In deze afweging spelen de redelijke verwachtingen van de betrokkenen een belangrijke rol. Bij het vaststellen daarvan dient onder meer rekening te worden gehouden met de context van de verwerking en de informatie die de verwerkingsverantwoordelijke aan de betrokkene aanbiedt. De verwerkingsverantwoordelijke kan daarbij op de concrete omstandigheden van het geval toegespitste maatregelen nemen om de impact van de verwerking op de belangen van de betrokkengebruikers te mitigeren. Daarbij speelt de toegang tot rechten van betrokkenen onder de AVG een rol, zoals het recht op inzage en het recht op bezwaar. De toezichthouder beoordeelt uiteindelijk of (en zo ja: welke) stappen moeten worden ondernomen tegen een vorm van verwerking.
In het geval AI-modellen worden getraind met auteursrechtelijk beschermde werken, geldt het volgende regime. De AI-verordening bepaalt dat het trainen van generatieve AI een vorm van tekst- en datamining is. Artikel 15o van de Auteurswet bepaalt dat het maken van een reproductie van een werk van letterkunde, wetenschap of kunst ten behoeve van tekst- en datamining onder bepaalde voorwaarden niet als inbreuk op het auteursrecht op het werk wordt beschouwd.6 Een reproductie van een werk mag zonder toestemming van de maker van het werk worden gemaakt, mits: (1) degene die de tekst- en datamining verricht rechtmatig toegang heeft tot het werk en (2) het auteursrecht door de maker of zijn rechtverkrijgenden niet uitdrukkelijk op passende wijze is voorbehouden. De reproductie mag slechts bewaard blijven zolang dat nodig is voor tekst- en datamining en moet daarna worden verwijderd.
Tot slot heeft de Europese Commissie op 10 juli 2025 de General-Purpose AI Code of Practice (GPAI-CoP) heeft gepubliceerd7. Deze (vrijwillige) gedragscode bundelt de belangrijkste uitgangspunten voor aanbieders in drie thematische hoofdstukken. Ook transparantie en auteursrecht maken daarvan onderdeel uit.

Vraag 5

Bent u van mening dat het beschikbaar stellen van gegevens voor doorverkoop en AI-trainingsdoeleinden ten alle tijden een goed geïnformeerde en individuele keuze voor gebruikers moet zijn?

In zijn algemeenheid merk ik op dat, zoals gezegd onder antwoord 4, de AVG ruimte biedt om – ook zonder toestemming van de betrokkene – op basis van de verwerkingsgrondslag «gerechtvaardigd belang» persoonsgegevens te verwerken. Of deze grondslag in een concrete situatie kan worden ingeroepen, wordt bepaald door de omstandigheden van het geval. De beoordeling daarvan komt (zoals toegelicht bij antwoord8 niet toe aan de regering en is aan de toezichthoudende autoriteit. Zij kan daartoe handhaven, advies verstrekken, samenwerken met andere toezichthoudende autoriteiten en klachten behandelen over een inbreuk op de bescherming van persoonsgegevens. Zij toetst of sprake is van strijdigheid met de Europese gegevensbeschermingsregels.
Artikel 15o van de Auteurswet schrijft, in het voetspoor van de EU-richtlijn auteursrecht in de digitale eengemaakte markt, voor dat het auteursrecht door de maker uitdrukkelijk op passende wijze kan worden voorbehouden zoals door middel van machinaal leesbare middelen bij een online ter beschikking gesteld werk (opt-out). Uit overweging 18 van de voornoemde richtlijn blijkt dat de rechthebbenden specifiek de rechten om reproducties te maken en opvragingen te verrichten ten behoeve van tekst- en datamining op passende wijze kunnen voorbehouden. Bij content die online voor het publiek beschikbaar is gesteld, moet het voorbehouden van die rechten enkel als passend worden beschouwd indien hierbij machinaal leesbare middelen worden gebruikt, waaronder metagegevens en de voorwaarden van een website of een dienst. In andere gevallen dan online gebruik kan het passend zijn om rechten voor te behouden met behulp van andere middelen, zoals contractuele overeenkomsten of een eenzijdige verklaring.

Vraag 6

Welke mogelijkheden heeft u om, nationaal of Europees, het afstaan van gegevens voor doorverkoop en AI-trainingsdoeleinden altijd een «opt-in» te maken? Zijn daartoe aanpassingen nodig van het consumentenrecht?

Een dergelijke «opt-in» zou veronderstellen dat de onderhavige verwerkingsvorm alleen rechtmatig is wanneer deze op toestemming van de gebruikers berust. Zoals ik in antwoorden 4 en 5 aangaf, kan onder omstandigheden ook de verwerkingsgrondslag «gerechtvaardigd belang» worden ingeroepen. Daarvoor weegt mee of de verwerkingsverantwoordelijke voldoende maatregelen heeft genomen om de impact van een gegevensverwerking op de belangen van betrokkenen te beperken. Het bieden van een onvoorwaardelijke «opt-out» kan volgens het eerdergenoemde advies van de EDPB worden beschouwd als een maatregel die de controle van individuen over de verwerking van hun persoonsgegevens versterkt.9 In artikel 4 van de Europese richtlijn auteursrecht in de digitale eengemaakte markt10 is ook gekozen voor een opt-out in plaats van een opt-in systeem. De AI-verordening haakt daarbij aan en bouwt daarop voort. De voornoemde richtlijn wordt volgend jaar onder het gezag van de Europese Commissie geëvalueerd.

Vraag 7

Bent u bereid om in gesprek te gaan met WeTransfer, een Nederlands bedrijf, om helderheid te krijgen over de gevolgen van de nieuwe voorwaarden en een garantie te krijgen dat data gewoon van de gebruikers blijft?

Dat zou een taak van de onafhankelijke toezichthouder zijn, indien deze dat opportuun vindt. In het stelsel van de AVG is het aan verwerkingsverantwoordelijken om verplichtingen na te leven, aan de betrokkenen om rechten uit te oefenen en is het toezicht bij onafhankelijke instanties belegd. Deze onafhankelijkheid vind ik belangrijk en ik wil dit dan ook niet doorkruisen.

Vraag 8

Kunt de vragen afzonderlijk van elkaar en vóór 8 augustus, wanneer de nieuwe gebruiksvoorwaarden ingaan, beantwoorden?

De vragen zijn afzonderlijk en zo snel mogelijk beantwoord.

Vraag 1

Zijn uw uitspraken in de uitzending van Goedenavond Nederland op maandag 14 juli jl.,1 over de afhankelijkheid van Amerikaanse techgiganten, representatief voor het kabinetsstandpunt?

Hoewel gechargeerd, is het zo dat de Europese cloudmarkt niet goed functioneert. Zie verder het antwoord op vraag 2.

Vraag 2

Wat bedoelde u precies met de uitspraak: «We hebben geen Europese cloudbedrijven»? In welke zin zit Nederland in een «hele ongemakkelijke positie tegenover de grote techbedrijven»?

Vier grote niet-Europese bedrijven domineren op dit moment wereldwijd de markt voor openbare cloudinfrastructuur2: Amazon, Microsoft, Google Cloud Platform en het Chinese Alibaba (vooral actief op de Chinese markt). De Nederlandse markt lijkt in grote lijnen op de Europese markt, met dominante posities voor met name de Amerikaanse aanbieders Amazon en Microsoft. Daarnaast zijn er nog een aantal andere Europese partijen actief, die relatief jong en klein zijn op de markt voor clouddiensten. De ACM verwacht dat de consolidatie in de markt voor clouddiensten verder doorzet als gevolg van onder meer schaalvoordelen en netwerkeffecten.3 Het is voor kleinere spelers moeilijk om effectief met grote geïntegreerde aanbieders te concurreren. Nederlandse bedrijven en consumenten zijn als afnemers van clouddiensten grotendeels afhankelijk van grote technologiebedrijven uit de VS. De toenemende consolidatie in combinatie met overstapdrempels (er is sprake van vendor lock-in) en gebrekkige dataportabiliteit en cloudinteroperabiliteit vergroten deze afhankelijkheid.

Vraag 3

Noopt de hele ongemakkelijke positie van Nederland tegenover de grote techbedrijven niet tot het nemen van maatregelen om op zo kort mogelijke termijn de afhankelijkheid af te bouwen?

Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de in het vierde kwartaal verwachte Visie digitale autonomie en soevereiniteit overheid.
Het afbouwen van afhankelijkheden nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten voor de (rijks)overheid, conform de motie Kathmann.4
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.

Vraag 4

Kunt u bondig het kabinetsstandpunt over digitale autonomie toelichten? Op welke manier is het Ministerie van Justitie en Veiligheid verantwoordelijk voor het vergroten van de digitale autonomie?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Voor een overzicht van de verdere Nederlandse inzet op Europees niveau omtrent cloudsoevereiniteit verwijzen wij u graag door naar het recent gepubliceerde non-paper «Versterken van cloudsoevereiniteit van overheden».5
JenV is, net als andere departementen, medeverantwoordelijk voor de digitale autonomie en specifiek voor de digitale autonomie binnen het eigen verantwoordelijkheidsdomein.

Vraag 5

Wat is het kabinetsstandpunt over een Europese digitale taks voor Amerikaanse techbedrijven? Hoort dit wat u betreft tot de mogelijkheden voor een Europese reactie op de aangekondigde Amerikaanse importheffingen? Acht u dit in het belang van Nederland?

Op 21 augustus jl. hebben de EU en de VS een gemeenschappelijke verklaring met handelsafspraken gepubliceerd.6 In navolging daarvan heeft de EU de inwerkingtreding van de op 24 juli jl. vastgestelde rebalancerende maatregelen jegens de VS tot februari 2026 opgeschort.7 Voorlopig is van een Europese tegenmaatregel naar aanleiding van de verhoogde Amerikaanse importheffingen dus geen sprake. Tegelijkertijd valt het niet uit te sluiten dat de Europese rebalancerende maatregelen jegens de VS in de toekomst alsnog in werking treden of dat toekomstige ontwikkelingen aanleiding geven tot voorstellen voor nieuwe vormen van rebalancerende maatregelen. Het kabinet zal voorstellen daartoe te zijner tijd op hun eigen merites beoordelen.

Vraag 6

Kunt u toezeggen dat ook het Ministerie van Justitie en Veiligheid zich zal inspannen voor het vergroten van de digitale autonomie van Nederland, onder andere door zelf meer Europese alternatieve digitale diensten af te nemen, in lijn met alle aangenomen Kamermoties?2

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de overheidsbrede visie voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Zie verder het antwoord op vraag 3.

Vraag 7

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Er heeft departementale afstemming plaatsgevonden en zowel het Ministerie van Justitie en Veiligheid als het Ministerie van Binnenlandse zaken is akkoord met de beantwoording van deze vragen.

Vraag 1

Heeft u kennisgenomen van de mogelijkheid om voor aanstaande vrijdag 17 uur interesse aan te geven bij de Europese Unie voor een AI-gigafabriek?1

Ja.

Vraag 2

Bent u voornemens om uw interesse voor een AI-gigafabriek tijdig kenbaar te maken aan de EU?

Het demissionair kabinet ziet het belang om in de Europese Unie (EU) publiek en privaat te investeren in AI-infrastructuur, waarbij de AI-Gigafabrieken een belangrijk initiatief is. Het Ministerie van Economische Zaken heeft daarom samen met het Ministerie van Onderwijs, Cultuur en Wetenschap en de RVO een Nederlandse interessepeiling en bijeenkomst georganiseerd. Hieruit blijkt Nederlandse interesse. De Nederlandse bedrijven met een hoofdkantoor in de EU en andere organisaties kunnen zelfstandig reageren op de Europese Call for Expression of Interest die 20 juni sluit. Het gaat hier om een eerste uitvraag naar mogelijke interesse in Europa. Via een brief aan de Europese Commissie zal het Ministerie van Economische Zaken vervolgens op korte termijn het belang van AI-Gigafabrieken en de Nederlandse interesse ondersteunen. In deze brief zal worden verwezen naar de meest concrete initiatieven die bekend zijn bij het ministerie. Het demissionaire kabinet reageert daarmee niet zelf op de formele Call for Expression of Interest, maar ondersteunt wel de Nederlandse interesse. De Europese Commissie zal de reacties gebruiken voor verdere gesprekken in de komende maanden om te komen tot kansrijke initiatieven. De officiële call voor AI-Gigafabrieken wordt eind dit jaar verwacht. Ik blijf in gesprek met de Europese Commissie en de EuroHPC Joint Undertaking over de verdere uitwerking van dit initiatief en de Nederlandse belangen daarin.

Vraag 3

Ervan uitgaande dat het gaat om een cofinancieringstraject met de EU, zijn daar middelen voor beschikbaar, (ook) vanuit Nij Begun (mits een dergelijke fabriek in Groningen zou kunnen komen)?

Voor een AI-Gigafabriek zijn momenteel geen financiële middelen gereserveerd in de begroting. Voor de AI-faciliteit in Groningen (geen AI-Gigafabriek) wordt op dit moment nog gewerkt aan het verkrijgen van een Rijksbijdrage, aanvullend op de regionale bijdrage vanuit Nij Begun, zodat uiterlijk 30 juni een voorstel kan worden ingediend voor Europese cofinanciering.

Vraag 4

Wat is de stand van zaken van de (cofinancierings-)aanvraag voor een «gewone» AI-fabriek voor Groningen, met (een bijdrage uit) de middelen voor Nij Begun? Klopt het dat deze aanvraag uiterlijk eind juni gedaan moet zijn, vergezeld van een reservering van de benodigde nationale middelen? Bent u voornemens deze aanvraag te doen, of heeft u deze aanvraag gedaan?

Het klopt dat uiterlijk 30 juni een voorstel ingediend moet worden om aanspraak te maken op Europese cofinanciering. Een voorwaarde voor indiening is dat de benodigde nationale middelen zijn gereserveerd. Er wordt onderzocht of er door herprioritering ruimte beschikbaar gemaakt kan worden binnen de begrotingen van betrokken departementen om een voorstel in te dienen.

Vraag 5

Kunt u deze vragen uiterlijk donderdag 19 juni 2025 beantwoorden (gezien de deadline van aanstaande vrijdag 17.00 uur)?

Ja.

Vraag 1

Bent u bekend met het bericht «Demissionair de cloud in denderen: doe het niet»?1

Ja.

Vraag 2

Wat geeft de rijksoverheid in totaal uit aan Microsoft-producten?2

In het notaoverleg «Wolken aan de horizon» d.d. 2 juni jl. is reeds toegezegd aan de Tweede Kamer een overzicht te bieden van de gecontracteerde hoeveelheid aanbestedingen die uiteindelijk door de ministeries via SLM Rijk goedgekeurd zijn. Dit onderzoek loopt.

Vraag 3

Wanneer moeten alle departementen en overheidsorganisaties uiterlijk besluiten of zij wel of niet hun mailverkeer en gegevens in eigen beheer gaan nemen als de ondersteuning van Microsoft Exchange afloopt op 14 oktober 2025?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
Hoewel de technische ondersteuning van bepaalde versies van Exchange stopt op 14 oktober 2025, heeft de leverancier al een nieuwere on-premise versie gelanceerd die wel ondersteund wordt.3
Feitelijk is de situatie dat alleen voor Microsoft Exchange 2016 en Microsoft Exchange 2019 vanaf 14 oktober 2025 geen support of beveiligingsupdates meer geleverd worden.
Ook zonder de door de leverancier aanbevolen upgrade door te voeren, zal de maildienst niet per 14 oktober ophouden met functioneren en gaat de maildienst ook niet automatisch uit eigen beheer. Voor blijvend betrouwbaar functioneren van de maildienst is een upgrade door Microsoft beschikbaar gesteld. Deze is bekend bij de dienstverleners van de Rijksoverheid.

Vraag 4

Heeft de demissionaire status van het kabinet gevolgen voor besluitvorming van departementen over het wel of niet in beheer nemen van mailverkeer en gegevens?

Lopend beleid mag ten tijde van een demissionair kabinet worden uitgevoerd. Er zijn op dit moment bovendien geen zaken op digitaal terrein controversieel verklaard.

Vraag 5

Welke departementen en organisaties zijn nu van plan om mailverkeer en gegevens in eigen beheer te nemen, welke hebben besloten dit niet te doen en welke moeten het besluit nog nemen?

Ten behoeve van de beantwoording van deze vraag is een uitvraag bij de grootste ICT-dienstverleners van de Rijksoverheid gedaan. Voor alle departementen geldt dat beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaatsvindt, behoudens de Ministeries van Economische Zaken (EZ), Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN) en Klimaat en Groene Groei (KGG), waar -ook na 14 oktober- sprake is van een hybride situatie.
Ook bij een groot aantal uitvoeringsorganisaties als DUO, Rijkswaterstaat en Dienst Justitiële Inrichtingen vindt beheer van mailverkeer en gegevens nu en na 14 oktober volledig binnen een eigen on-premise omgeving plaats. Dit geldt ook voor de Belastingdienst, Toeslagen en de Douane. Wel heeft de Belastingdienst in het Jaarplan 2025, dat uw Kamer op 11 december 2024 heeft ontvangen, aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.

Vraag 6

Kunt u, in het licht van de recente sancties richting het Internationaal Strafhof, aangeven of mailverkeer en gegevens binnen de justitiële keten in Nederland vanaf 14 oktober 2025 in eigen beheer blijven?3

Het kabinet is zich ervan bewust dat afhankelijkheid van een klein aantal techaanbieders voor digitale diensten zorgt voor risico's op het vlak van o.a. concurrentiepositie, digitale open strategische autonomie en continuïteit van dienstverlening. Om deze risico’s te mitigeren wordt in het kader van onder meer de vernieuwing van het cloudbeleid voor de (rijks)overheid gekeken naar mogelijkheden om cloudtechnologie op verantwoorde wijze in te zetten.
Ook binnen de Justitiële keten bestaat aandacht voor deze risico’s en maken organisaties in overleg met hun ICT-leverancier passende keuzes om deze te mitigeren. Zo wordt bij de Hoge Raad de email verzonden, ontvangen en opgeslagen op servers die in eigen beheer zijn en verbiedt het cloudbeleid van de rechtspraak het gebruik van de cloud voor primaire processystemen. Voor de bedrijfsvoering maakt de Rechtspraak gebruik van Microsoft Exchange Online.
De Amerikaanse sancties tegen het Internationaal Strafhof zijn een specifieke maatregel voor een specifieke situatie en hebben geen inhoudelijke koppeling met onze nationale ICT-infrastructuur.

Vraag 7

Wat zijn de politie, het Openbaar Ministerie, de Raad voor de Rechtspraak en de Hoge Raad van plan te doen vanaf 14 oktober 2025? Worden deze organisaties eveneens kwetsbaar voor Amerikaanse sancties?

Zie antwoord vraag 6.

Vraag 8

Kunt u bevestigen dat het Shared Service Center ICT (SSC-ICT) de migratie van 57.000 werkplekken van ambtenaren naar de Microsoft-cloud definitief niet doorzet en mailverkeer en gegevens zelf blijft beheren?

U bent per Kamerbrief reeds geïnformeerd over de geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland, waaronder de migratie van de werkplekken van SSC-ICT.5

Vraag 9

Bent u bereid om, in lijn met de vele aangenomen Kamermoties die de digitale soevereiniteit van de overheid aanjagen, ervoor te zorgen dat alle departementen en overheidsorganisaties het goede voorbeeld van SSC-ICT volgen en gegevens in eigen beheer houden?

Departementen zijn zelf verantwoordelijk om te bepalen welke afwegingen zij maken rondom cloudgebruik. Dit dient plaats te vinden op basis van een gedegen risicoanalyse en het nemen van passende maatregelen. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.

Vraag 10

Kunt u toezeggen dat u en uw collega’s geen onomkeerbare stappen zullen zetten die de digitale afhankelijkheid van de Verenigde Staten (VS) doen toenemen, tenzij de Kamer anders besluit?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd moeten we als EU zelf meer verantwoordelijkheid nemen en ook eensgezind optrekken waar het onze kernbelangen betreft. Ik ben het wel met u eens dat een te grote afhankelijkheid van één of een enkele marktpartij(en) ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet ik mij deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten. Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldige afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit Overheid.

Vraag 11

Bent u bereid om departementen en organisaties te helpen om mailverkeer en gegevens in eigen beheer te houden vanaf 14 oktober 2025, zodat de strategische afhankelijkheid van de VS niet groeit?

Zie de beantwoording van vraag 10. Voor het overgrote deel van de departementen en organisaties geldt dat zij dit al in eigen beheer hebben. De afweging om dit wel of niet zo te houden, is een departementale verantwoordelijkheid. De departementen nemen hierover besluiten binnen hun eigen mandateringsregelingen. CIO Rijk faciliteert het uitvoeren van goede risicoanalyses met beleid en handreikingen.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en minstens één week voor het zomerreces beantwoorden?

De Kamervragen zijn zo spoedig mogelijk beantwoord.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1 Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat het UWV en de SVB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Ja. SZW (inclusief de Nederlandse Arbeidsinspectie), UWV en de SVB volgen de geopolitieke ontwikkelingen en de reacties vanuit de Tweede Kamer en de demissionair Minister van Binnenlandse Zaken en Koninkrijksrelaties nauwgezet. De herziening van het rijksbreed cloudbeleid zal leiden tot een herziening van het eigen cloudbeleid. Aan de hand van het herziene beleid worden de keuzes voor digitale middelen geëvalueerd. Voor de UWV en SVB geldt dat zij niet vallen onder het rijkscloudbeleid, maar wel de belangrijke elementen uit het rijkscloudbeleid overnemen in hun eigen cloudbeleid.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Voor SZW geldt dat er geen processen, registers, (mail)communicatiediensten en/of organisatieonderdelen zijn ondergebracht in de public cloud van Amerikaanse dienstverleners. SZW maakt wel gebruik van een aantal softwareleveranciers die applicaties als SaaS (Software as a Service) oplossing leveren en daarbij gebruik maken van Amerikaanse clouddienstverleners. Dit betreft diverse nuttige tools, websites en een tiental toepassingen ter ondersteuning van processen voor de primaire taak van de organisatie. Verder maakt SZW gebruik van de rijkswerkplek, inclusief communicatiediensten, die door SSC-ICT (BZK) wordt geleverd.
UWV maakt gebruik van dienstverlening van Microsoft volgens de afspraken van SLM (Strategisch Leveranciersmanagement) Microsoft Rijk voor kantoorautomatisering. Daarnaast wordt er voor enkele niet-primaire processen gebruik gemaakt van ondersteunende software van een Amerikaanse leverancier.
De SVB gebruikt in beperkte mate clouddiensten voor primaire processen waar het risicoprofiel dat toestaat. Voor de secundaire processen wordt gebruik gemaakt van clouddiensten voor publicatieprocessen, communicatiediensten, samenwerkingsprocessen, datawarehouse-/ business intelligenceprocessen, en IT-systeemontwikkelprocessen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
SZW heeft geen geplande of voorgenomen migratie naar clouddiensten van Amerikaanse dienstverleners, zoals ook gecommuniceerd in de kamerbrief van november vorig jaar.
UWV maakt gebruik van verschillende Microsoft clouddiensten, waarbij een traject richting het gebruik van een vernieuwd CRM (Customer Relationship Management)-systeem voor toepassing binnen de dienstverlening van UWV zich in implementatie bevindt. Ook heeft UWV onlangs een aanbesteding voor een nieuwe ERP (Enterprise Resource Planning)-systeem gepubliceerd. Cloudgebruik vormt hierin een belangrijk uitgangspunt.
De SVB voorziet op dit moment geen grootschalige nieuwe migraties naar clouddiensten van Amerikaanse dienstverleners. Wel wordt op dit moment ingezet op Azure cloud voor de uitwijkvoorziening voor de kleine regeling van Verzetsstrijders en oorlogsslachtoffers (V&O). Er wordt daarnaast voortgebouwd op het bestaande gebruik van Microsoft 365 en Azure, binnen de kaders van het centrale Rijkscontract. Hiertoe is de SVB genoodzaakt omdat er geen alternatieven in infrastructuur zijn.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Voor SZW geldt dat de gevolgen van eventuele uitval van de dienstverlening hoogstwaarschijnlijk te ondervangen is door een andere werkwijze waarbij de impact voor de burgers en samenleving klein is. Ook is binnen SZW een programma digitale weerbaarheid gestart om dergelijke risico’s verder te mitigeren.
UWV is voor de continuïteit van zijn dienstverlening afhankelijk van IT-dienstverleners. Om mogelijke problemen te ondervangen zijn in het kader van Business Continuity Management samen met SZW, ketenpartners en leveranciers crisisplannen opgesteld om essentiële bedrijfsprocessen te blijven uitvoeren, ondanks externe afhankelijkheden. In het licht van de toegenomen aandacht voor digitale weerbaarheid heeft UWV zijn inzet op Business Continuity Management geïntensiveerd.
Voor de SVB geldt dat de informatiesystemen voor de uitvoering van de verschillende wetten en regelingen zelf niet in de publieke cloud draaien, met uitzondering van de kleinschalige regeling V&O. Een abrupte ontzegging van toegang tot Amerikaanse clouddiensten raakt wel essentiële ondersteunende processen zoals e-mail, samenwerking (via Teams), documentuitwisseling, ontwikkelomgevingen, web portalen en securitymonitoring en leidt daarmee tot verstoring in de dienstverlening. Bovendien wordt een deel van de communicatiestructuur getroffen. De huidige regelingen worden met het kernsysteem buiten de cloud uitgevoerd.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
SZW volgt het rijkscloudbeleid, waarin altijd een risicoafweging wordt gemaakt. Op dit moment is geen sprake van opslag van bijzondere persoonsgegevens in de public cloud van Amerikaanse dienstverleners buiten de Europese Economische Ruimte (EER).
Ook UWV volgt, hoewel niet verplicht voor zbo’s, het Rijksbrede cloudbeleid en bijbehorende voorwaarden met bijbehorende risicoafweging voor gebruik van clouddiensten. Opslag en verwerking van persoonsgegevens vindt plaats conform geldende privacy-vereisten uit de Algemene verordening gegevensbescherming (AVG). UWV hanteert binnen het primaire proces als beleidsuitgangspunt dat persoonsgegevens in zaakdossiers verwerkt worden. Op dit moment worden voor zover UWV bekend zaakdossiers enkel binnen de EER verwerkt.
De SVB is zich bewust van de risico’s die voortvloeien uit Amerikaanse wetgeving. Daarom worden binnen publieke clouddiensten van Amerikaanse aanbieders géén bijzondere persoonsgegevens verwerkt. Bij het gebruik van Azure kiest de SVB expliciet voor datacenters binnen de EU, conform het principe van datalokalisatie. De continuïteit van de dienstverlening is maatschappelijk relevant, wat aanleiding is voor zorgvuldige inzet van digitale infrastructuur en leveranciersbinding.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
SZW, UWV en de SVB kijken heel zorgvuldig naar de risico’s, en hebben geen migraties stopgezet of heroverwogen naar aanleiding van de motie.

Vraag 8

Hoe geven uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

SZW, UWV en de SVB volgen de geopolitieke ontwikkelingen en de reacties vanuit de Tweede Kamer en de demissionair Minister van BZK nauwgezet. Dit zal leiden tot een herziening van het rijkscloudbeleid en daarmee ook aanscherping van het eigen cloudbeleid van SZW, UWV en de SVB en strikte toetsing op elke voorgenomen uitbreiding.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het UWV, de SVB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.
Bij het antwoord op vraag 5 zijn de overwegingen uiteengezet. SZW volgt het herziene rijksbrede cloudbeleid.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon»5 van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»?1

Ja.

Vraag 2

Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 3

Kunt u bevestigen dat Dienst Uitvoering Onderwijs (DUO), die Business News Radio (BNR) met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Het Ministerie van OCW volgt de ontwikkelingen en de reacties vanuit de Tweede Kamer, de Staatssecretaris Digitalisering (BZK) en CIO Rijk nauwgezet. Dit zal leiden tot een herziening van het Rijkscloudbeleid en het OCW Cloudbeleid wat na de zomer wordt verwacht. Het OCW Cloudbeleid is een afgeleide van het Rijkscloudbeleid en vertaalt dit beleid naar de OCW specifieke situatie. Aan de hand daarvan zal OCW de keuzes die OCW (inclusief DUO) heeft gemaakt en nog gaat maken evalueren/heroverwegen.

Vraag 4

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen, die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Binnen het Ministerie van OCW zijn geen primaire processen of registers ondergebracht in de cloud van Amerikaanse dienstverleners. Wel is de werkplek van OCW afhankelijk van Amerikaanse producten. Overheidsdata die met behulp van Amerikaanse producten, zoals die van Microsoft, worden geproduceerd, zijn voornamelijk in de eigen OCW-infrastructuur opgeslagen. OCW heeft de keus voor de Amerikaanse producten destijds zorgvuldig afgewogen tegen het huidige Rijkscloudbeleid en OCW Cloudbeleid en die keus voldoet dan ook aan dit beleid.
Hiernaast wordt op korte termijn binnen het Ministerie van OCW een klantcontactsysteem (Microsoft Dynamics 365) gebruikt door DUO welke ondergebracht is in de cloud van een Amerikaanse dienstverlener.
Met inachtneming van de reactie op de moties van 18 maart 20253, wordt nu extra aandacht besteed aan bijvoorbeeld concrete exit-strategieën.

Vraag 5

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DUO en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20244is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In bovengenoemde kamerbrief heeft OCW aangegeven bezig te zijn met het verder implementeren van (cloud) functionaliteiten van de werkplek. Op dit moment is de implementatie nog in onderzoek en zijn geen besluiten genomen.

Vraag 6

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de aanscherping van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich deze kabinetsperiode in voor het realiseren van een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Bij ontzegging van gebruik van niet-Europese producten zal de ICT van vrijwel alle primaire processen en de werkplek-omgeving niet meer beschikbaar zijn. Daarmee kan OCW de digitale dienstverlening niet meer garanderen. OCW zal dan zo snel mogelijk alternatieven moeten implementeren. Dit zal veel tijd kosten. Dit geldt voor vrijwel alle overheidsorganisaties.

Vraag 7

Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving?

Zie vraag 6.

Vraag 8

Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

Zie vraag 6.

Vraag 9

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DUO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 10

Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Zie vraag 9.

Vraag 11

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie van het lid Kathmann c.s. die hiertoe oproept?3

Bij iedere migratie naar de public cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.

Vraag 12

Hoe geven uw departement, DUO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie van het lid Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Zie vraag 5.
Deze doelstelling wordt gehanteerd bij inrichting van de digitale dienstverlening.
OCW volgt de ontwikkelingen en de reacties vanuit de Tweede Kamer, de Staatssecretaris Digitalisering en CIO Rijk nauwgezet. De geopolitieke ontwikkelingen en de moties in de Tweede Kamer leiden binnen OCW al tot een andere risico-inschatting van aanbieders en levering van ICT-producten en -diensten.

Vraag 13

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DUO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

OCW maakt voor al haar technologiekeuzes een weloverwogen afweging op basis van kaders vanuit beleid, risico’s en bedrijfsbehoeften. Het te herziene rijksbrede cloudbeleid is voor OCW hierin van grote waarde om toekomstige keuzes vorm te geven. OCW zal strategische autonomie van Nederland en Europa bevorderen.

Vraag 14

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni 2025?5

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat Rijkswaterstaat, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen,2 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Sinds december 2023 geldt er bij Rijkswaterstaat een cloud freeze. Dit betekent dat het uitgangspunt is dat er geen data, e-mail en applicaties naar de publieke cloud gaan. In oktober 2024 heeft Rijkswaterstaat de nieuwe ICT Strategie 2025–2030 vastgesteld. Bij RWS geldt het beleid dat missie-kritische systemen en bedrijfskritische systemen niet in de publieke cloud worden geplaatst.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Het Ministerie van Infrastructuur en Waterstaat maakt voor kantoortoepassingen onder andere gebruik van Microsoft 365 diensten (videoconferencing en voor een klein deel van de organisatie ook e-mail). Data blijven daarbij zoveel als enigszins mogelijk opgeslagen in eigen datacenters (bestanden, document management, samenwerkfunctionaliteit). Dit zijn diensten die worden aangeboden door Shared Service Centers (SSC’s) van de Rijksoverheid. Voor een aantal onderzoekstoepassingen en een aantal websites wordt gebruik gemaakt van clouddiensten op Microsoft Azure en Amazon Webservices (AWS). Voor deze diensten die nu in de cloud bij Amerikaanse dienstverleners zijn ondergebracht worden de afhankelijkheden verder onderzocht om maatregelen te kunnen treffen conform cloudbeleid en implementatiekader.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.4 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Er zijn bij het Ministerie van Infrastructuur en Waterstaat geen nieuwe migraties gepland sinds de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Verschillende ZBO’s hebben een sourcing strategie waar Amerikaanse cloudleveranciers een rol in spelen. Zij zijn niet gehouden aan het Rijksbreed cloudbeleid maar geven wel aan gebruik van het IenW cloudbeleid, waarin de regelingen van het Rijksbreed cloudbeleid en Implementatiekader zijn opgenomen.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het Ministerie van Infrastructuur en Waterstaat neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Naar aanleiding van de geopolitieke ontwikkelingen zet het Ministerie van Infrastructuur en Waterstaat, samen met het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, in op het aanscherpen van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Ook zet het Ministerie van Infrastructuur en Waterstaat, naast het verder onderzoeken van afhankelijkheden en het verder doorontwikkelen van bestaande exit-strategieën, samen met BZK in op het realiseren en in gebruik nemen van een soevereine overheidscloud als alternatief voor public clouddiensten.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s.3 die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
In lijn met de I-strategie van IenW en de ICT Strategie 2025–2030 van Rijkswaterstaat, ligt de focus op de bouw van een soevereine overheidscloud in eigen datacenter(s).

Vraag 8

Hoe geven uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s.4 die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Rijkswaterstaat en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat de Dienst Justitiële Inrichtingen (DJI), de Immigratie- en Naturalisatiedienst (IND) en het Centraal Justitieel Incassobureau (CJIB), die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse dienstverleners.
Het Ministerie van Justitie en Veiligheid maakt voor de digitale werkplek gebruik van Microsoft 365-diensten. Deze worden niet in de online (cloud) variant afgenomen, maar als lokaal geïnstalleerde applicaties op de desktop (bij managed laptops) of als centrale applicaties via het OverheidsDataCenter (ODC) bij Citrix-werkplekken. Bestanden die in deze applicaties worden gemaakt, worden opgeslagen op de lokale schijf en/of op het ODC. Deze diensten worden conform de rijksbrede kaders ingezet, met een inrichting die specifiek is afgestemd op de beveiligings- en privacy vereisten van het Ministerie van JenV. Microsoft Teams wordt enkel gebruikt voor videoconferencing en chat.
Alle gebruikte digitale voorzieningen worden voortdurend gemonitord en waar nodig aangepast op basis van actuele dreigingen en technologische ontwikkelingen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20242 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland.3 Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Momenteel loopt de vernieuwing van de oude werkplekvoorzieningen van o.a. DJI, IND en CJIB naar een toekomstige moderne werkplek voorziening. Hierin wordt het gebruik van MS365 inclusief de online producten als Teams-online onderzocht en worden de opties tussen on-premise en cloudvoorzieningen vergeleken.
Het Ministerie van JenV participeert tevens in het interdepartementale programma Beter Samenwerken (BSW) waarin het beoogde gebruik van MS Teams in de werkomgeving wordt heroverwogen.
De herziening van het rijksbreed cloudbeleid geeft aanleiding tot het te zijner tijd, conform Rijksbeleid, aanscherpen en aanpassen van het departementale cloudbeleid. In de tussentijd heeft het Ministerie van JenV een aanvullende tijdelijke Bestuurlijke Beleidslijn Cloud voor het Ministerie van Justitie en Veiligheid en Ministerie van Asiel en Migratie vastgesteld, waarin voorgenomen migraties moeten worden heroverwogen. Deze tijdelijke beleidslijn is van kracht zolang het nieuwe Rijks cloudbeleid nog niet is vastgesteld.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
De genoemde risico’s kunnen gemitigeerd worden door verschillende acties te ondernemen. Zo kan via Strategisch Leveranciersmanagement Rijk (SLM Rijk) de contractuele afspraken met de Amerikaanse leveranciers worden aangescherpt. Daarnaast is SLM Rijk voornemens een contractueel framework voor Europese alternatieven te realiseren; momenteel loopt er een Data Protection Impact Assessment (DPIA) op de clouddiensten van Stackit, een Duitse cloudprovider.
Een te grote afhankelijkheid van één of een enkele marktpartij is ongewenst. In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de DJI, de IND, het CJIB en en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.4
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.
SLM Rijk voert met regelmatig DPIA’s uit op de diensten van Microsoft, Google Cloud en AWS en heeft daarbij ook specifiek gekeken naar internationale doorgifte van persoonsgegevens (er is een zogeheten Data Transfer Impact Assessment (DTIA) uitgevoerd). Hierbij is rekening gehouden met de mogelijkheid dat gegevens toegankelijk zijn voor de Amerikaanse overheid op basis van met de AVG conflicterende Amerikaanse wetgeving.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2 en 4.

Vraag 8

Hoe geven uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Het Ministerie van JenV zet, onder coördinatie van het Ministerie van BZK in op het herziening van het Rijksbreed cloudbeleid, de beleidskaders voor digitale autonomie en soevereiniteit van de overheid en de IT-sourcingstrategie Rijk. Momenteel worden mogelijkheden verkent die als alternatief kunnen worden ingezet om de continuïteit niet enkel afhankelijk te laten zijn van partijen uit de VS.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de DJI, de IND, het CJIB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Het Ministerie van JenV en AenM zijn op dit moment bezig met een heroverweging, zie antwoorden op vraag 2, 4 en 8.
Het bevorderen van de strategische autonomie van Nederland en / of Europa staat vol op het netvlies. Het is in deze fase echter niet haalbaar en mogelijk om op korte termijn te realiseren. Ook zal het gepaard gaan met aanzienlijke kosten en realisatie inspanningen.
Om die reden zal afhankelijkheid van Amerikaanse Techgiganten vooralsnog blijven bestaan.

Vraag 10

Kunt u de Autoriteit Persoonsgegevens, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ik heb uw verzoek doorgeleid naar de Autoriteit Persoonsgegevens.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat DNB, die BNR met vijftien andere overheidsorganisaties onder de loep heeft genomen2, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?

Het kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
DNB valt als zbo niet onder het rijksbrede of departementale cloudbeleid. DNB geeft aan dat de risico's verbonden met de clouddiensten in een continu proces worden gemonitord en dat op basis van een integrale risicoafweging passende maatregelen worden genomen. Op basis van de huidige risicoafweging en businesscase ziet DNB voor de korte tot middellange termijn geen noodzaak tot heroverweging. Wel onderzoekt DNB voor hoog-kritische systemen exit/fallbackscenario's en back-up van data.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Het Ministerie van Financiën maakt in lijn met het huidige rijksbrede cloudbeleid beperkt gebruik van clouddiensten, waarbij er sprake kan zijn van Amerikaanse aanbieders. Dit ter ondersteuning van de bedrijfsvoeringsprocessen, en in beperkte gevallen als onderdeel van het primaire proces van de uitvoering. Zo maakt de Douane gebruik van Microsoft Azure ter ondersteuning van het keuzeproces binnen het toezicht op grensoverschrijdend goederenverkeer, wat onderdeel is van het primaire proces. Voor alle toepassingen geldt dat risico’s rond afhankelijkheden en gegevensbescherming zorgvuldig worden meegewogen.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, DNB en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen4, is aangegeven dat de Belastingdienst voornemens is om in 2025 de kantoorautomatisering naar Microsoft365 te migreren. De implementatie van de migratie is op dit moment nog niet gestart. De applicaties binnen de primaire processen voor de heffing en inning blijven draaien in hun huidige on-premise omgeving, op door de Belastingdienst zelf beheerde servers. De Belastingdienst volgt de recente (geo)politieke ontwikkelingen en doorloopt, in afstemming met CIO Rijk, een zorgvuldig besluitvormingstraject. Zodra er een definitief besluit is genomen, zal uw Kamer hierover worden geïnformeerd.
De Domeinen Roerende Zaken maakt per medio 2024 gebruik van Microsoft365. Deze stap is gezet, nadat de benodigde compliantie op het gebied van informatiebeveiliging en privacy was geborgd.
Na zorgvuldige heroverweging van risico’s, kosten en benefits gaat DNB door met de reeds voorgenomen migraties naar clouddiensten. DNB voorziet op dit moment geen grootschalige nieuwe migraties.
AFM heeft reeds een migratie gepland van Sharepoint naar Sharepoint online. Daarnaast zijn er geen nieuwe migraties gepland.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s worden gemitigeerd?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het Ministerie van Financiën neemt, net als andere departementen, diverse ICT-producten en diensten af van verschillende IT-leveranciers, waaronder Amerikaanse. Indien de toegang tot deze diensten wordt ontzegd heeft dit impact op de continuïteit van een aantal processen en dienstverlening. Bij voorgenomen cloudmigraties wordt daarom een exit-strategie opgesteld en een zorgvuldig besluitvormingstraject doorlopen. Elke ICT-oplossing (of deze nu wordt ingekocht of intern ontwikkeld) brengt een zekere mate van afhankelijkheid van leveranciers met zich mee. Ook bij on-premise oplossingen geldt dat bij het wegvallen van bijvoorbeeld Microsoft- of Apple-ondersteuning, cruciale functionaliteit kan uitvallen. Dit onderstreept dat het hier niet alleen een cloudvraagstuk betreft, maar in de kern een licentie- en leveranciersafhankelijkheidsvraagstuk is.
Belastingdienst, Douane en Toeslagen onderzoeken verder hoe samenwerking met de markt kan bijdragen aan een toekomstbestendige IT-inrichting. De domeinarchitectuur fungeert hierbij als richtinggevend kader. Uitgangspunt is het benutten van marktstandaarden, borging van kerncompetenties en heldere verantwoordelijkheidsverdeling. Dit draagt bij aan een wendbare, betrouwbare en toekomstvaste informatievoorziening, passend binnen de eisen en kaders van publieke dienstverlening.
DNB volgt, net als veel andere publieke en financiële instellingen in Europa, de ontwikkelingen over dataopslag in de cloud op de voet en zal beleid indien nodig aanscherpen. DNB onderzoekt binnen het Eurosysteem de mogelijkheden om de afhankelijkheid van Amerikaanse IT-leveranciers te verkleinen en implementeert waar nodig oplossingen om de risico’s te mitigeren.
Ook AFM geeft aan de ontwikkelingen uit de markt en vanuit de Rijksoverheid nauwgezet te volgen. AFM geeft daarnaast aan dat haar cloudprovider eraan werkt om Europa juridisch los te koppelen van Amerikaanse regelgeving. Indien nodig zal AFM haar beleid op basis hiervan aanpassen.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, DNB en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.5
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. [Kamerstuk 26 643-1315] die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Het Ministerie van Financiën handelt conform rijksbrede kaders en EU-wetgeving. Leveranciers kunnen uitsluitend worden uitgesloten wanneer zij niet voldoen aan het bestek of als er een juridische grondslag is. Banden met de Amerikaanse overheid vormen op zichzelf geen uitsluitingsgrond onder de EU-aanbestedingsregels. Tegelijkertijd is de IT-afhankelijkheid van Amerikaanse bedrijven groot. Onafhankelijkheid op korte termijn is dan ook niet realistisch.
Risico’s kunnen worden beheerst via contractuele afspraken en een goed uitgewerkte exit-strategie. Het onderhouden van werkbare relaties met Amerikaanse leveranciers blijft daarbij essentieel.
Zie verder vraag 2.

Vraag 8

Hoe geven uw departement, DNB en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. [Kamerstuk 6643-1320] die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Het Ministerie van Financiën onderschrijft het belang van continuïteit en weerbaarheid in de digitale dienstverlening. Er wordt daarom, op basis van risicoafwegingen, rekening gehouden met het effect op de continuïteit door eventuele strategische afhankelijkheid van leveranciers ongeacht het land waar de leverancier is gevestigd. Zoals geschetst in de Kamerbrief over uitvoering ontraden aangenomen moties debat migraties overheids-ICT naar het buitenland van 7 april jl., vereist digitale soevereiniteit een evenwichtige benadering waarbij samenwerking met strategische partners wordt gecombineerd met het versterken van de Europese en nationale regie over digitale infrastructuur. Het Ministerie van Financiën erkent daarnaast het belang van de ontwikkeling van een soevereine overheidscloud als onderdeel van een breder pakket aan maatregelen binnen het huidige rijkscloudbeleid en de IT-sourcingstrategie Rijk.
DNB en AFM hebben cloudbeleid opgesteld met eisen waar de systemen die worden gebruikt aan moeten voldoen, onder meer op het gebied van privacy en informatiebeveiliging, certificering en geldende Europese en Nederlandse wet- en regelgeving. Zo is er isolatie van gegevens en gegevensverwerking, en moeten de gegevens binnen de EER gehost zijn.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, DNB en andere overheidsorganisaties onder uw gezag niet verder zal toenemen en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag wordt genomen?

Zie vraag 5.

Vraag 10

Kunt u de AFM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ik, de Minister van Financiën, heb de AFM geraadpleegd voor de beantwoording van de aan haar gerichte vragen. Hetzelfde geldt voor de vragen gericht aan DNB.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» [Kamerstuk 36 574] van 2 juni 2025?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»1? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat Logius, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt?2 Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s3 – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is.4 In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Logius maakt voor het exploiteren van haar voorzieningen gebruik van een eigen platform dat wordt gehost in datacentra van de Rijksoverheid. Daarbij geldt dat Logius de Generieke Digitale Infrastructuur levert aan de Digitale Overheid. Logius maakt voor het exploiteren van onze voorzieningen dus geen gebruik van Amerikaanse Clouddiensten en heeft ook geen plannen daartoe. Een heroverweging is daarmee niet aan de orde.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Op dit moment wordt er zeer beperkt gebruik gemaakt van clouddiensten van Amerikaanse dienstverleners. De werkplekken maken gebruik van kantoorsoftware waarbij de dataopslag in de eigen overheidsdatacenters plaats vindt.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, Logius en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20245 is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
In november 2024 zijn drie geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners aan de kamer gemeld.
Eerder is de kamer geïnformeerd over de ontwikkeling van werkplekdienstverlening van SSC-ICT (DWR 2.0) en het beperken van de cloud afhankelijkheid bij het opslaan van data. Documenten en e-mails van de gebruikers van de DWR werkplek blijven vooralsnog opgeslagen in het datacenter van SSC-ICT.
Binnen het interdepartementale programma Beter Samenwerken (BSW) wordt het beoogde gebruik van MS Teams in de werkomgeving heroverwogen en worden alternatieven onderzocht.
De in november genoemde aanbesteding van het Rijksvastgoedbedrijf is afgerond en gegund aan een Europese dienstverlener.
Er zijn sinds november geen nieuwe geplande of voorgenomen migraties van materieel public cloudgebruik aangemeld.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de na het zomerreces verwachte Visie digitale autonomie en soevereiniteit overheid.
De directe gevolgen voor de digitale dienstverlening van BZK organisaties als Logius en RvIG zijn beperkt. Deze organisaties maken voor de dataopslag en uitvoering van de primaire processen geen gebruik van digitale diensten van Amerikaanse dienstverleners.
Zoals bij vraag 4 beantwoord, zijn er geen directe gevolgen voor de huidige en toekomstige werkplekdiensten van SSC-ICT door de genomen mitigerende maatregelen. Bij langdurige ontzegging van toegang tot de dienstverlening kunnen wel problemen ontstaan wanneer bijvoorbeeld de geldigheid van licenties niet verlengd kan worden.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, Logius en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.6
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. die hiertoe oproept?3

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Er zijn geen lopende migraties naar digitale diensten van Amerikaanse techgiganten.

Vraag 8

Hoe geven uw departement, Logius en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?4

Zie vraag 5.
Deze doelstelling wordt al gehanteerd bij inrichting van de digitale dienstverlening.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, Logius en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5.

Vraag 10

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» van 2 juni a.s.?5

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer» (BNR, 20 mei 2025)? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?

Ja.

Vraag 2

Kunt u bevestigen dat de KvK, het CBS en de RVO, die BNR met veertien andere overheidsorganisaties onder de loep heeft genomen,1 de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverwegen? Zo ja, kunt u dit besluit onderbouwen?

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
Genoemde partijen volgen het rijkscloudbeleid. Periodieke heroverweging is hier geen onderdeel van. Op het moment dat situaties daar aanleiding toe geven wordt er naar gekeken. Maar ook dan zijn er beleidsmatige beperkingen (aanbestedingsregelgeving, lopende contracten etc.). In het eerdere debat inzake migraties van overheids-ICT naar het buitenland dd. 13 maart jl. over dit onderwerp heeft de Staatssecretaris Koninkrijksrelaties en Digitalisering aangegeven «niet alle cloudmigraties terug te willen draaien en wel een (her)overweging toe te willen passen bij nieuwe cloudmigraties.»

Vraag 3

Welke processen, registers, (mail)communicatiediensten en / of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
Binnen het Departement en de daaronder ressorterende organisatieonderdelen wordt conform de mogelijkheden van het rijkscloudbeleid gebruik gemaakt van clouddienstverleners. Onder de afspraken van SLM rijk betreft dit diensten van Amerikaanse dienstverleners Microsoft en Amazon Web Services.
Voor de werkplek maakt het departement van EZ gebruik van MS365 in de public cloud van Microsoft.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20242is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
Eerder voorgenomen migraties worden nader beschouwd, rekening houdend met de herziening, mede o.b.v. de aangenomen Kamermoties, van het Rijksbreed cloudbeleid. In de recent departementaal besloten cloudstrategie zijn hiervoor aanvullende en aangescherpte criteria vastgesteld.
Er wordt gewerkt aan een generiek MS Azure platform voor data verwerking. Het gebruik wordt heroverwogen.
De voorgenomen migratie van de Oracle ERP-oplossing naar Oracle Fusion, is heroverwogen met als voorlopig resultaat dat dit binnen de EER gehost gaat worden met extra risicogaranties en -afspraken.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Het niet meer kunnen gebruiken van dienstverlening door Amerikaanse leveranciers zou op dit moment tot onoverkomelijke verstoring kunnen leiden van de dienstverlening. Daarom wordt door het departement actief meegewerkt aan de pilot voor het inzetten van «Mijn Bureau« als een van de mogelijke alternatieven. Bovendien worden er in Europees verband (Eurocloud) mogelijkheden onderzocht.
Voor het opvangen van piekmomenten in de dienstverlening blijft het belangrijk om snel te kunnen op- en afschalen. NL/EU alternatieven worden onderzocht.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.3
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige Cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het Cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643, nr. 1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Ja, de voorgenomen migratie van de Oracle ERP-oplossing naar Oracle Fusion, is heroverwogen met als voorlopig resultaat dat dit binnen de EER gehost gaat worden met extra risicogaranties en -afspraken.

Vraag 8

Hoe geven uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 26 643, nr. 1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, de KvK, het CBS, de RVO en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en / of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Departementaal is er een aangescherpte cloudstrategie vastgesteld, binnen de kaders van het huidige Rijksbreed cloudbeleid, met daarin aanvullende criteria die ondersteunen in het bevorderen van de strategische autonomie en waar dat mogelijk is zich richten op het beperken van de afhankelijkheid van enkele aanbieders.

Vraag 10

Kunt u de ACM, als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

Ja, ik ben bereid dat te doen en heb dat inmiddels aan de ACM gevraagd. De ACM geeft aan dit zo snel mogelijk te beantwoorden.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Bent u bekend met het bericht: «Overheidsorganisaties blijven in de Amerikaanse cloud, ondanks zorgen in de Tweede Kamer»? Bent u tevens bekend met het feit dat de hoofdaanklager van het Internationaal Strafhof onlangs de toegang tot Microsoft-diensten is ontzegd op laste van de Amerikaanse regering?1

Ja.

Vraag 2

Kunt u bevestigen dat het RIVM, die BNR met zestien andere overheidsorganisaties onder de loep heeft genomen, de overstap naar clouddiensten van Amerikaanse dienstverleners niet heroverweegt? Zo ja, kunt u dit besluit onderbouwen?2

Het Kabinet is het met de indieners eens dat zorgvuldige afwegingen bij cloudmigraties van groot belang zijn. Daarom moeten volgens het huidige beleid al een reeks van aspecten afgewogen worden. Onderdelen van de Rijksdienst zijn verplicht het Rijksbreed cloudbeleid 2022 te volgen. Hierin wordt reeds aandacht besteed aan de risico’s rondom marktconcentratie. Zbo’s zijn niet verplicht het Rijksbreed cloudbeleid te volgen, maar het wordt hen wel aangeraden. Daarnaast zijn zbo’s verplicht – op basis van de Kaderwet zbo’s – om op de voet van de ter zake voor de Rijksdienst geldende voorschriften maatregelen te nemen.
De continuïteit van de dienstverlening, nationale veiligheid en publieke waarden zijn daar verdere voorbeelden van. Ook dienen beveiligingsmaatregelen genomen te worden en risicoanalyses geactualiseerd te worden wanneer daar aanleiding toe is. In de herziening van het Rijksbreed cloudbeleid wordt tevens aandacht besteed aan het verder beperken van afhankelijkheid van enkele leveranciers, de zogeheten marktconcentratie- en continuïteitsrisico’s.
De NZa heeft een terugkeer naar de situatie voor de overstap naar Amerikaanse clouddiensten niet in overweging. De NZa is nu in de afrondende fase van een cloudmigratieproject. Er is voorafgaand en tijdens de overstap aandachtig gekeken naar de risico's, op gebied van informatiebeveiliging en privacy. Aanvullend is er advies gevraagd aan de CISO Rijk. Uit de risico-inventarisaties is gebleken dat er geen hoge restrisico's aanwezig waren. Wijzigingen in een vernieuwd Rijksbreed cloudbeleid zal de NZa uiteraard verwerken in hun strategie.

Vraag 3

Welke processen, registers, (mail)communicatiediensten en/of organisatieonderdelen die onder uw verantwoordelijkheid vallen, zijn op dit moment reeds ondergebracht in de cloud van Amerikaanse dienstverleners?

Voor de beantwoording limiteren wij ons tot het gebruik van materieel public cloudgebruik. Materieel public cloudgebruik is gebruik van public clouddiensten ten behoeve van het uitvoeren van de primaire taak van een organisatie. Met andere woorden, voor de organisatie is die (cloud)dienst van wezenlijk belang.
De concernorganisaties van het Ministerie van VWS zijn verdeeld tussen organisaties die afhankelijk zijn van (interne) shared service centers, zoals SSC-ICT, en organisaties die afhankelijk zijn van public cloud leveranciers. Wanneer een shared service center wordt gebruikt voor werkplekdiensten, kantoorautomatiseringssoftware en communicatiediensten, dan zijn zij niet direct afhankelijk van Amerikaanse dienstverleners. Deze diensten berusten namelijk niet op public cloud. De andere groep organisaties is hier wel afhankelijk van en zij gebruiken diverse public cloud diensten. Zij nemen deze diensten af onder voorwaarden van Strategisch Leveranciersmanagement Rijk (SLM-Rijk) en de data opslag en verwerking vindt plaats binnen de Europese Economische Ruimte (EER).
Vanuit het CIBG en DUS-I kan ik melden dat er geen processen, registers en/of knooppunten zijn ondergebracht in de public cloud doordat zij zowel SSC-ICT gebruiken als ook Nederlandse service providers. Diverse processen worden ondersteund door applicaties met een directe afhankelijkheid van public cloud leveranciers. Dit betreft onder andere processen die klantcontact ondersteunen, publicatie van informatie, bedrijfsvoering, geldstromen en de uitvoering van diverse regelingen. Reeds gerealiseerde cloudmigraties zijn hierdoor in lijn met het huidige geldende Rijksbrede cloudbeleid.

Vraag 4

Kunt u een overzicht geven van de geplande en voorgenomen migraties naar clouddiensten van Amerikaanse dienstverleners, daar waar het uw departement, het RIVM en andere overheidsorganisaties onder uw gezag betreft?

Ten behoeve van de Kamerbrief van 22 november 20243is een uitvraag gedaan bij alle departementen ten behoeve van een overzicht van alle geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland. Het Ministerie van Defensie is daarin buiten beschouwing gelaten omdat zij buiten de scope van het Rijksbreed cloudbeleid vallen. Dit neemt niet weg dat Defensie wel gebruik maakt van clouddiensten. De departementen zijn zelf verantwoordelijk voor de implementatie van het cloudbeleid en daarom is het hun eigen afweging en invulling over wat zij onder (materiële) cloudmigraties verstaan.
Voor dit overzicht verwijst het Kabinet naar de Kamerbrief over geplande en voorgenomen cloudmigraties van overheids-ICT naar het buitenland van 22 november jl.
De VWS organisaties zijn te verdelen in organisaties die geen voorgenomen migratie naar public cloud diensten hebben gepland en organisaties die al enige migraties hebben uitgevoerd. De migraties naar public cloud ondersteunen het primaire proces met diverse tooling. Tevens zijn er migraties in heroverweging door recente ontwikkelingen op dit thema. Alle heroverwegingen worden gedaan in afstemming met de VWS CIO Office Concern.
De NZa is de cloudmigratie aan het afronden. Er is daarnaast een voorgenomen migratie van het klantbeheersysteem via een aanbestedingsprocedure. De NZa zal hierbij het geldende Rijkscloudbeleid volgen.

Vraag 5

Kunt u illustreren wat de directe gevolgen zouden zijn voor de continuïteit van de processen, dienstverlening en dataopslag binnen uw departement, het RIVM en andere overheidsorganisaties onder uw gezag, wanneer deze de toegang tot Amerikaanse digitale dienstverlening zouden worden ontzegd, zowel op dit moment als na de geplande en voorgenomen migraties? Welke merkbare gevolgen zou dit hebben voor Nederlandse burgers en voor de samenleving? Hoe gaat u ervoor zorgen dat die risico’s gemitigeerd worden?

De Verenigde Staten is en blijft een belangrijke bondgenoot, niet op de laatste plaats voor onze welvaart en veiligheid. Nederland zet zich er daarom voor in dat we als EU blijven samenwerken en optrekken met de VS, maar tegelijkertijd zelf verantwoordelijkheid nemen en ook eensgezind met de EU optrekken waar het onze kernbelangen betreft. Het kabinet is het wel met u eens dat een te grote afhankelijkheid van één of enkele marktpartijen ongewenst is. In de afweging welke data we in eigen beheer dan wel in de public cloud verwerken, moeten strategische afhankelijkheden én marktconcentraties worden meegewogen.
Dit nemen wij momenteel mee in de herziening van het Rijksbreed cloudbeleid, maar ook in de beleidskaders voor digitale autonomie en soevereiniteit van de overheid, en in de IT-sourcingstrategie Rijk. Ook zet het Kabinet zich in voor een verkenning naar een soevereine overheidscloud als alternatief voor public clouddiensten.
Deze voorziening moet de kloof overbruggen voor digitale dienstverlening waarvoor het gebruik van public cloud onwenselijk is, bijvoorbeeld vanwege de gevoeligheid van gegevens of wanneer ongewenste afhankelijkheden vermeden moeten worden.
Afhankelijkheden zijn echter niet te voorkomen en zijn ook niet altijd ongewenst. Het is van belang om op case-by-case basis zorgvuldig afwegingen te maken, om te bepalen waar en op welke wijze risicovolle strategische afhankelijkheden waar nodig voorkomen kunnen worden. Dit speelt op meer gebieden dan alleen cloud.
Het onderwerp «Strategische Autonomie» heeft uitgebreid aandacht van de Rijksoverheid. Onder andere middels de Agenda Digitale Open Strategische Autonomie (DOSA) en de medio dit jaar verwachte Visie digitale autonomie en soevereiniteit overheid.
Indien de toegang tot Amerikaanse digitale dienstverlening wordt ontzegd, zal dit leiden tot een brede variatie aan verstoringen. Systemen die niet afhankelijk zijn van de public cloud zullen ongehinderd door draaien. Organisaties die voor hun werkplekken afhankelijk zijn van public cloud zullen directe impact ervaren op toegang tot hun werkplekken, e-mail en overige communicatiediensten. Ook deze risico's zijn beschouwd: om de continuïteit van de organisatie te kunnen waarborgen zijn er al plannen ontwikkeld om over te kunnen gaan op alternatieve middelen.
De Inspectie Gezondheidszorg en Jeugd (IGJ) ontvangt (verplichte) meldingen, Europese meldingen en overige meldingen. Wanneer de meldingen niet meer worden ontvangen of hier geen toegang meer toe is, kan dit consequenties hebben voor de kwaliteit van het toezicht.
Organisaties die afhankelijk zijn van public cloud diensten zullen in alle gevallen een directe impact ervaren in dat deel van een proces. Afhankelijk van de rol in dit proces zal dit in meer of mindere mate significante gevolgen hebben voor de interne organisatie en wellicht merkbaar zijn voor burgers en maatschappij. Hier is dus geen eenduidig antwoord op te geven. Binnen het Ministerie van VWS wordt er continu onderzoek gedaan naar de impact op de continuïteit van onze dienstverlening.
Voorafgaand aan de transitie naar de cloud zijn alle waarborgen en mitigerende maatregelen op basis van de toen geldende risico's, doorgevoerd. Daarmee is de NZa voorbereid op veel denkbare scenario's.
Het ontzeggen van de toegang tot Amerikaanse digitale dienstverlening zou het meest extreme scenario zijn. Dan liggen op de korte termijn vrijwel alle toezichten reguleringswerkzaamheden van de NZa stil.
De werkomgeving zit volledig in de cloud, dus mailen, overleggen of gezamenlijk werken in bestanden is dan niet mogelijk. De NZa kan dan kortom niet aan wet- en regelgeving voldoen en zal een hernieuwde I-strategie uitzetten op basis van het vernieuwde Rijksbrede cloudbeleid.

Vraag 6

Kunt u onderbouwen wat Amerikaanse wetgeving, zoals de CLOUD Act en de Foreign Intelligence Surveillance Act, in het ergste geval betekent voor de vertrouwelijkheid van de data die uw departement, het RIVM en andere overheidsorganisaties onder uw gezag hebben opgeslagen in de cloud van Amerikaanse dienstverleners? Wat zou het gevolg zijn voor Nederlandse burgers en de samenleving wanneer al deze data tezamen in handen van een statelijke actor zou belanden?

Diverse landen kennen wet- en regelgeving met extraterritoriale werking die medewerking aan veiligheidsdiensten verplicht, zoals de CLOUD Act in de VS. Dergelijke wet- en regelgeving kan, in bepaalde gevallen mogelijk leiden tot ongewenste toegang tot Nederlandse gegevens wanneer dit conflicteert met regelgeving als de AVG. Op basis van het advies van GreenbergTraurig kan echter geconcludeerd worden dat in het geval van de CLOUD Act het risico klein is.
Ongeacht de wijze van verkrijging, is het in ieder geval onwenselijk dat alle data tezamen in handen van een statelijke actor kunnen belanden. Om dit te voorkomen kent het huidige cloudbeleid al diverse regels omtrent de typen data die in de public cloud verwerkt mogen worden. In de herziening van het cloudbeleid wordt ook hier aandacht aan besteed.

Vraag 7

Heeft u migraties naar digitale diensten van Amerikaanse techgiganten stopgezet of heroverwogen naar aanleiding van de aangenomen motie-Kathmann c.s. (Kamerstuk 26 643-1315) die hiertoe oproept?

Bij iedere migratie naar de Public Cloud moet zorgvuldig overwogen worden of de migratie leidt tot risico’s. Er zijn migraties heroverwogen naar aanleiding van onder meer de motie Kathmann. Met bijvoorbeeld als gevolg dat verwerking van data alleen binnen de EER plaatsvindt.
Zie verder vraag 2.
Er zijn bij de meeste organisaties geen nieuwe migraties gestart, noch stopgezet. Bij nieuwe contracten wordt vanaf heden ook naar de geopolitieke situatie gekeken, zodat bij toekomstige aanbestedingen de afhankelijkheid van technologie leveranciers een grotere rol kan spelen in de beoordelingscriteria conform het Rijkscloudbeleid.

Vraag 8

Hoe geven uw departement, het RIVM en andere overheidsorganisaties onder uw gezag voorts invulling aan de aangenomen motie-Six Dijkstra c.s. (Kamerstuk 6643–1320) die oproept om als doelstelling te hanteren dat de continuïteit van digitale overheidsdienstverlening niet rechtstreeks afhankelijk is van partijen uit de Verenigde Staten?

Zie vraag 5.

Vraag 9

Kunt u toezeggen dat de afhankelijkheid van Amerikaanse techgiganten binnen uw departement, het RIVM en andere overheidsorganisaties onder uw gezag niet verder zal toenemen, en dat het bevorderen van de strategische autonomie van Nederland en/of Europa het uitgangspunt is bij elk besluit omtrent digitale diensten dat onder uw gezag genomen wordt?

Zie vraag 5
Digitale autonomie en soevereiniteit zijn belangrijke thema’s voor VWS door onze rol in de maatschappij via mijn meldpunten, registers en diensten. De geopolitieke veranderingen hebben er voor gezorgd dat de risico’s op gebied van beschikbaarheid en continuïteit goed in beeld worden gehouden en we ondersteunen de ontwikkeling van het nieuwe Rijksbrede cloudbeleid.
Het Rijksbrede cloudbeleid is voor de NZa het uitgangspunt. Daarnaast maakt de NZa proactief en zorgvuldig afwegingen over de veiligheid van data en functionaliteit van hun IT-oplossingen.

Vraag 10

Kunt u de Nederlandse Zorgautoriteit (NZa), als onafhankelijke autoriteit, vragen of zij bereid is om zelfstandig te reageren op vragen 2, 4, 5, 6, 8 en 9?

rden van de NZa zijn verwerkt bij de relevante vragen.

Vraag 11

Kunt u deze vragen afzonderlijk beantwoorden vóór het notaoverleg over de initiatiefnota «Wolken aan de horizon» (Kamerstuk 36 574) van 2 juni a.s.?

De verzending heeft zo spoedig mogelijk plaatsgevonden.

Vraag 1

Heeft u kennisgenomen van de stroomstoring in Spanje en Portugal van maandag 28 april?

Ja.

Vraag 2

Hoe reëel is het dat een stroomstoring van deze magnitude ook in Nederland zal plaats vinden?

De grote stroomstoring in Spanje en Portugal op maandag 28 april betrof een zogenaamde black-out. Deze storing trof naast deze twee landen ook een gedeelte van Frankrijk. Een dergelijke grootschalige black-out komt in Europa slechts eens in de 10 à 20 jaar voor. In 2003 is Italië getroffen en in 2015 Turkije. In 2024 hebben drie landen in de Balkan hiermee te maken gehad. Een stroomuitval van deze omvang kan ook in Nederland plaatsvinden. De kans op een dergelijke stroomuitval van dit type acht het kabinet gering.

Vraag 3

Hoe goed is ons stroomnet beschermd?

De Minister van Klimaat en Groene Groei is beleidsverantwoordelijkheid voor de leveringszekerheid van energie. De netbeheerders zijn wettelijk verplicht om de leveringszekerheid van elektriciteit te bewaken en te bevorderen. Het Ministerie van KGG werkt samen met TenneT en de regionale netbeheerders doorlopend aan de continuïteit van het elektriciteitsnetwerk.
Ons energiesysteem wordt beschermd door een robuust ontwerp, redundantie, de aanwezigheid van voldoende herstelcapaciteit en interconnectie met de ons omringende landen. Het brede scala aan maatregelen heeft ertoe geleid dat het Nederlandse elektriciteitssysteem de afgelopen jaren één van de betrouwbaarste energiesystemen ter wereld is geweest, met een gemiddelde betrouwbaarheid van 99.99%. Voor de herstart van het elektriciteitssysteem na een grootschalige black-out beschikt Nederland over speciale voorzieningen.

Vraag 4

Wat zijn de grootste systeemrisico’s die Nederland kent als het gaat om grootschalige uitval van stroom, water, internet en het betaalverkeer? Waar zal de samenleving naar verwachting het zwaarst geraakt worden?

Stroom en internet zijn dusdanig essentieel en verbonden met andere onderdelen in de samenleving dat een stroomstoring grote impact kan hebben op de samenleving. De impact van grootschalige stroomuitval of uitval van data- en communicatienetwerken is groot en raakt meerdere vitale processen. Grootschalige uitval van drinkwater heeft directe impact op huishoudens, de industrie en ziekenhuizen, en kan de operatie van veel andere processen zoals levensmiddelen beïnvloeden. Ook het betaalverkeer is afhankelijk van internet en elektriciteit. Langdurige uitval van het betaalverkeer kan leiden tot grote maatschappelijke onrust en economische ontwrichting. Bijvoorbeeld omdat men geen betalingen kan doen in winkels, doordat er geen geld meer uit de geldautomaat komt en omdat dergelijke uitval kan leiden tot verstoring van andere vitale processen zoals het effectenverkeer. Contant geld vervult tevens een belangrijke rol als terugvaloptie voor elektronisch betaalverkeer.
Verantwoordelijke vakdepartementen en vitale aanbieders voeren risicobeoordelingen uit als onderdeel van de Versterkte Aanpak Vitaal.1 Hierbij is er specifiek aandacht voor de intersectorale afhankelijkheden, waarmee risico’s inzichtelijk gemaakt worden zodat er passende maatregelen kunnen worden genomen.

Vraag 5

Wat zullen de invoering van de Cyberbeveiligingswet (NIS2 (Network and Information Security directive)) en de Wet weerbaarheid kritieke entiteiten (CER (Critical Entities Resilience Directive)-richtlijn) in de praktijk betekenen voor het risico op en de impact van storingen van deze magnitude?

De implementatie van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) zijn onderdeel van de Versterkte Aanpak Vitaal. Onderdeel van deze Versterkte Aanpak Vitaal is een cyclus van risicoanalyses en actieprogramma’s uitgevoerd door de verantwoordelijke vakdepartementen voor hun sectoren, waaronder ook de energiesector, ten behoeve van het nemen van weerbaarheidsverhogende maatregelen voor vitale aanbieders en processen. Daarbij is er ook aandacht voor risico’s die samenhangen met intersectorale afhankelijkheden.
Met de invoering van de Cbw en de Wwke worden de risicobeoordelingen en de te nemen maatregelen dwingender van karakter en worden alle kritieke entiteiten (vitale aanbieders) verplicht om hun kwetsbaarheden te minimaliseren en de continuïteit van hun essentiële diensten (vitale processen) te waarborgen. In de praktijk betekent dit onder andere dat deze entiteiten hun gebouwen, kritieke infrastructuur en netwerk- en informatiesystemen (fysiek) beschermen, ze een plan voor crisisbeheer en een bedrijfscontinuïteitsplan hebben, en ze beleid hebben over de taken, bevoegdheden en verantwoordelijkheden van personeelsleden.

Vraag 6

Zijn er noodscenarios klaar voor een situatie als deze? Zo ja, hoe zien die er uit? Zijn er draaiboeken en is er een back-up om de belangrijkste functies zoals onze watervoorziening, waterverdediging, ziekenhuizen, telefoonverbindingen, wifi en het betalingsverkeer weer zo snel als mogelijk van stroom te voorzien?

De primaire verantwoordelijkheid voor de continuïteit van hun processen ligt bij de organisaties zelf, ook bij verstoringen van het stroomnet. Eventuele (wettelijke) verplichtingen ten aanzien van de leveringszekerheid van diensten zijn opgenomen in sectorale wetgeving. Er is geen centraal overzicht van noodmaatregelen die bedrijven en organisaties nemen bij uitval van grootschalige stroomuitval.
Het Ministerie van Klimaat en Groene Groei is verantwoordelijkheid voor het Nationaal Crisisplan Elektriciteit (NCP-E). Dit NCP-E beschrijft wat de overheid en betrokken crisisorganisaties doen om de maatschappelijke impact bij een ernstige verstoring in de Nederlandse elektriciteitsvoorziening zoveel mogelijk te beperken. Komend anderhalf jaar wordt er gewerkt aan de actualisatie voor het crisisplan elektriciteit.
Tennet heeft een systeembeschermings- en herstelplan om na omvangrijke storingen een gecoördineerd en adequaat systeembeschermings- en herstelproces van het Nederlandse transmissiesysteem en/of de systeembalans mogelijk te maken. Daarnaast hebben de netbeheerders calamiteitenplannen. Deze plannen beschrijven de crisisorganisaties op zowel bestuurlijk als technisch operationeel niveau ten behoeve van de bestrijding en beheersing van een crisis in de elektriciteitsvoorziening. De Autoriteit Consument en Markt toetst deze plannen.

Vraag 7

Voor welke sectoren liggen draaiboeken klaar en zijn noodstroomvoorzieningen beschikbaar? Hoe lang duurt het om deze op te starten?

Zie antwoord vraag 6.

Vraag 8

Is de Nederlandse bevolking voldoende voorbereid op langdurig uitval van stroom? En zo nee, wat wordt er in gang gezet om ervoor te zorgen dat dat wel zo is?

De Nederlandse bevolking is in zekere mate voorbereid op stroomuitval. Deze voorbereiding is vooral gericht op kortdurende storingen. In Nederland is de afgelopen jaren minder aandacht besteed aan de gevolgen van langdurige stroomuitval. Op dit punt is de samenleving kwetsbaar.
Vanaf eind 2022 heeft de rijksoverheid via Denk Vooruit de risicocommunicatie over situaties van langdurige uitval, zoals stroom, drinkwater en internet geïntensiveerd. Hierbij is de hoofdboodschap dat de Nederlandse samenleving voorbereid moet zijn op 72 uur zelfredzaamheid. De dreigingen nemen toe en hulp kan langer op zich laten wachten. Deze boodschap wordt ondersteund door veiligheidsregio’s, gemeenten, bedrijven en maatschappelijke organisaties.
Specifiek voor stroomuitval staan op denkvooruit.nl ook uitgebreide handelingsperspectieven. In november 2024 is er in de tv-uitzending BlackOut op realistische wijze invulling gegeven aan het scenario van langdurige stroomuitval, de gevolgen ervan en hoe de Nederlandse samenleving hierop kan worden voorbereid. Onder andere het Ministerie van KGG, de NCTV en TenneT hebben inhoudelijk aan deze uitzending bijgedragen. Medio 2025 start een meerjarige publiekscampagne (rijksoverheid, andere overheden, bedrijven en maatschappelijke organisaties) om de maatschappelijke weerbaarheid bij langdurige uitval van dagelijkse voorzieningen (ongeacht de aard van de dreiging) verder te verhogen.

Vraag 9

Kunt u deze vragen beantwoorden vóór het commissiedebat Nationale veiligheid en weerbaarheid van de vaste commissie voor Justitie en Veiligheid op 15 mei 2025?

Ja.

Vraag 1

Welke concrete kansen en risico’s ziet u vanuit emancipatieperspectief met betrekking tot het ontwikkelen en gebruiken van AI en algoritmen in zowel individuele als publieke- en private toepassingen?

Het kabinet keurt iedere vorm van discriminatie af. Om discriminatie tegen te gaan hanteert het kabinet een evenwichtige aanpak, waarbij benadrukt dient te worden dat alle groepen in de samenleving hierin voor de overheid gelijk zijn. Vanuit emancipatieperspectief ziet het kabinet zowel kansen als risico’s in de ontwikkeling en toepassing van AI. AI kan bijdragen aan gelijke kansen, bijvoorbeeld door biasbewuste algoritmen in werving of onderwijs. Maar AIsystemen en algoritmen kunnen ook (onbewuste) bias bevatten, bijvoorbeeld doordat ze ontwikkeld zijn op basis van data die voornamelijk mannelijke kenmerken weerspiegelt1, of waarin bepaalde groepen onvoldoende zijn vertegenwoordigd, waardoor deze systemen mogelijk ook minder goed werken voor deze groepen. Een voorbeeld hiervan is het potentiële effect van AI op lhbtqia+-ongelijkheid, dat uit een onderzoek van het Ministerie van OCW naar voren kwam.2 Daarnaast bestaan er risico’s in specifieke toepassingen, zoals het gebruik van AI-gedreven «uitkleedapps» onder leerlingen in het voortgezet onderwijs, wat schadelijk is voor de veiligheid van met name meisjes.
Een ander risico is gelegen in de geringe vertegenwoordiging van vrouwen in ICT-beroepen. In Europees verband heeft Nederland zich vastgelegd om toe te werken naar een groter aantal ICT-specialisten met een groter aandeel vrouwen. In het meeste recente rapport over het Digitaal Decennium gaf de Europese Commissie aan dat er in Nederland genderonevenwichtigheden op dit gebied bestaan, omdat minder dan 25 procent van de werkende ICT-specialisten vrouw is en gaf zij de aanbeveling om programma’s op te zetten om het aantal jongeren (met name meisjes) dat belangstelling heeft voor ICT-studies of -loopbanen te vergroten.3 Recent heeft de Europese Commissie bij de Unie van Vaardigheden ook een strategisch plan voor STEM-onderwijs voorgesteld met bijzondere aandacht voor meisjes. In de kabinetsreactie is de aandacht hiervoor verwelkomd en is ook ingegaan op het Nederlandse beleid op dit gebied.4 Zo is Nederland in 2025 bijvoorbeeld het Nationaal Groeifondsproject Techkwadraat van start gegaan, waarin aandacht voor het betrekken van ondervertegenwoordigde groepen, waaronder meisjes, een verplicht onderdeel is.5

Vraag 2

Deelt u de verwachting dat AI-systemen in Nederland genderbias en discriminatie kunnen versterken?

Het is bekend dat bepaalde toepassingen van AI-systemen gevoelig kunnen zijn voor vooringenomenheid (bias) en een risico op discriminatie met zich meebrengen. Enkele voorbeelden hiervan zijn AI-systemen voor biometrische identificatie, voor het bepalen van toelating tot onderwijs of beroepsopleidingen, voor werving en selectie op de arbeidsmarkt en voor evaluatie van de kredietwaardigheid van personen. Dergelijke toepassingen kunnen vertekende effecten geven met betrekking tot geslacht en discriminerend zijn ten aanzien van vrouwen.
Hoewel AI-technologie dit risico in zich heeft, gebeurt er veel om dit te voorkomen. De bewustwording over risico’s rondom genderbias en discriminatie bij het gebruik van AI is bij gebruikers, experts en burgers in de afgelopen jaren toegenomen. De verwachting is dat de AI-verordening verder zal bijdragen aan het voorkomen en terugdringen van genderbias en discriminatie in AI-systemen. De AI-verordening deelt AI-systemen in aan de hand van risico-categorieën. Afhankelijk van het risico, stelt de AI-verordening eisen om deze risico’s te beperken. Voor (sommige) hoog-risico AI-systemen gelden eisen met betrekking tot gebruikte datasets, waaronder een beoordeling van mogelijke vooringenomenheid die kan leiden tot discriminatie.

Vraag 3

Hoe ziet u er op toe dat het toenemende gebruik van AI-toepassingen en algoritmes bij publieke- en private organisaties genderbias en discriminatie niet versterken en kunt u dwingend optreden als dit wel het geval is?

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft verschillende instrumenten ontwikkeld die publieke en private organisaties kunnen ondersteunen bij het toetsen van AI-systemen en algoritmen op mogelijke bias en discriminatie, zoals de handreiking non-discriminatie by design en het Impact Assessment Mensenrechten en Algoritmen (IAMA) (specifiek voor overheidsorganisaties). Het Algoritmekader voor de overheid biedt een handzaam overzicht van kaders, maatregelen en hulpmiddelen om overheidsorganisaties te ondersteunen bij verantwoorde ontwikkeling en inzet van AI-systemen en algoritmes.6 In het Algoritmekader is expliciet aandacht voor mogelijke bias en discriminerende effecten. Organisaties zijn in eerste instantie zelf verantwoordelijk om ervoor te zorgen dat ze handelen conform wetgeving en normen.
Bij signalen van of klachten over discriminatie door algoritmische en AI-toepassingen kunnen toezichthouders optreden. Dit heeft zich in de afgelopen jaren ook een aantal keer voorgedaan. De Autoriteit Persoonsgegevens (AP) en het College voor de Rechten van de Mens (CRM) zien erop toe dat het handelen van publieke en private organisaties niet in strijd is met de Algemene Verordening Gegevensbescherming en non-discriminatiewetgeving. De AP, het CRM en de procureur-generaal bij de Hoge Raad (PGHR), de voorzitter van de Afdeling Bestuursrechtspraak Raad van State (ABRvS), het gerechtsbestuur van de Centrale Raad van Beroep (CRvB) en het gerechtsbestuur van het College van Beroep voor het bedrijfsleven (CBb) zijn voor de AI-verordening vastgesteld als autoriteiten voor de bescherming van grondrechten.7

Vraag 4

Welke lessen omtrent genderbias en discriminatie neemt u concreet mee uit eerdere toepassingen van AI-systemen?

In het eerder genoemde Algoritmekader voor de overheid zijn enkele voorbeelden genoemd van toepassingen die bias vertoonden en/of discriminerend waren.8 Het maken van indirect onderscheid is hierbij bijvoorbeeld een aandachtspunt. De afgelopen jaren is duidelijk geworden dat selectiecriteria die neutraal lijken, in combinatie met andere selectiecriteria, discriminerend kunnen uitpakken. Dit indirecte onderscheid valt in vergelijking met direct onderscheid minder op en vraagt daarom om extra zorgvuldige validatie. Hiertoe worden momenteel verschillende tools ontwikkeld en methodes verkend.

Vraag 5

Hoe worden deze lessen betrokken bij de beleidsontwikkeling op het gebied van AI-gebruik binnen de overheid?

De afgelopen twee jaar is op verschillende manieren gewerkt aan het vraagstuk van validatie en biasdetectie bij het gebruik van algoritmen en AI-systemen binnen de overheid. Dit gebeurt onder andere vanuit werkgroepen en bijeenkomsten met experts uit het maatschappelijk middenveld, de wetenschap en de overheid. Ook wordt hieraan gewerkt via innovatietrajecten die gericht zijn op technische oplossingen. Daarnaast zijn instrumenten als het IAMA en de handreiking non-discriminatie by design ontwikkeld. De eisen die de AI-verordening op dit punt stelt, waaronder eisen op het vlak van AI-geletterdheid, zullen zorgen dat medewerkers binnen en buiten de overheid meer kennis opdoen van AI-systemen en waar op te letten bij de toepassing van AI-systemen om negatieve effecten – zoals discriminatie – te voorkomen.

Vraag 6

Hoe zorgt u ervoor dat de kennis over de impliciete discriminatoire werking van AI-toepassingen en algoritmen binnen de overheid blijft groeien?

Eén van de taken van het Ministerie van BZK is het bijdragen aan het verantwoord gebruik van AI binnen de overheid. Hieraan wordt invulling gegeven door het stellen van kaders, het ondersteunen van overheden bij de implementatie van bestaande regels en het delen van lessen en best practices, zoals hiervoor benoemd. Door op dit onderwerp als overheden samen op te trekken moeten lessen niet beperkt blijven tot de organisatie waar deze geleerd zijn, maar breed gedeeld worden zodat ongewenste effecten van AI-gebruik ook elders worden voorkomen.
In het Algoritmekader is kennis over het zorgvuldig ontwikkelen en gebruik maken van AI te vinden, waaronder het voorkomen van de mogelijke discriminatoire werking van AI. Het eerder genoemde IAMA en de handreiking non-discriminatie by design zijn opgenomen, maar ook hulpmiddelen die door andere organisaties zijn ontwikkeld als het «Toetsingskader risicoprofilering – Normen tegen discriminatie op grond van ras en nationaliteit» van het CRM. Het een en ander is ook uiteengezet in eerdere brieven aan uw Kamer over dit onderwerp.9 Wanneer een overheidsorganisatie constateert dat een AI-systeem bevooroordeeld is of discrimineert, kan het gebruik maken van het discriminatieprotocol voor AI en algoritmes10 dat is ontwikkeld naar aanleiding van de motie-Van Baarle11.
Kennis wordt ook op andere manieren verspreid, zoals door middel van opleidingen. Het Leerplatform van de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO) biedt een e-learning «Non-discriminatie in algoritmes en data».12 De online cursus «AI en ethiek»13 besteedt aandacht aan «onbewuste discriminatie», deze cursus is ook mede met hulp van het Ministerie van BZK ontwikkeld. Tot slot is het waardevol om uw Kamer te wijzen op de nieuwe «community of practice Digitale ethiek voor overheden», waar overheidsorganisaties kennis en ervaringen delen over ethische vraagstukken, werkwijzen en instrumenten.14

Vraag 7

Op welke wijze worden de adviezen van de expertgroep Kunstmatige Intelligentie (2019) meegenomen in de huidige en toekomstige werkwijze en beleidsontwikkeling van het kabinet? Kunt u dit per advies toelichten?

De «High-Level Expert Group on AI» (AI HLEG) heeft adviezen uitgebracht15 over vereisten waaraan betrouwbare AI moet voldoen. Deze adviezen hebben een belangrijk fundament gelegd voor de AI-verordening en zijn (deels) vertaald naar normen die in de AI-verordening zijn opgenomen. Zo wordt in overweging 7 van de AI-verordening aangegeven dat bij het opstellen van de regels voor (hoogrisico-)AI-systemen, en de bescherming van grondrechten, gezondheid en veiligheid die deze regels moeten borgen, rekening is gehouden met de ethische richtsnoeren van de AI HLEG.

Vraag 8

Welke concrete maatregelen kunt u nemen om de kwaliteit en representativiteit van trainingsdata voor AI te doen toenemen en bent u van plan dit te normeren en reguleren?

In artikel 10, derde lid, van de AI-verordening zijn ten aanzien van trainingsdata voor hoog-risico AI-systemen voorschriften opgenomen over de kwaliteit en representativiteit. De verantwoordelijkheid voor de kwaliteit van de trainingsdata ligt in eerste instantie bij aanbieders van AI-systemen. De nog aan te wijzen markttoezichthouder(s) zal straks toezien op naleving van de AI-verordening. Het CRM is, net als de overige in antwoord 3 genoemde instanties, aangewezen als grondrechtenautoriteit in de zin van de AI-verordening, gelet op zijn rol als nationaal instituut voor de rechten van de mens en als gelijkebehandelingsorgaan. Het CRM krijgt als grondrechtenautoriteit op grond van de AI-verordening aanvullende bevoegdheden om de bestaande taken effectief uit te kunnen voeren, zoals het opvragen en inzien van documentatie en de markttoezichtautoriteit vragen om het AI-systeem te mogen testen. Daarnaast worden de grondrechtenautoriteiten bij ernstige incidenten geïnformeerd.
Tot slot geeft het Ministerie van BZK via het Algoritmekader overheidsorganisaties handvatten om algoritmes en AI zorgvuldig in te zetten, zo ook over het controleren van de kwaliteit van data.16 Ook in de recente «Overheidsbrede handreiking generatieve AI» wordt aandacht gevraagd voor ethische aspecten rondom (trainings)data om zo discriminatoire effecten te voorkomen.17

Vraag 9

Op welke manier gaat u zich inzetten om ongelijkheden bij het gebruik van AI-systemen te voorkomen en wat vraagt dit van de samenwerking van Nederland met de andere EU-lidstaten?

De eerder genoemde AI-verordening zorgt voor een gelijk speelveld voor de ontwikkeling en het gebruik van AI-systemen binnen de Europese Unie (EU). In EU-verband wordt rond dit onderwerp goed samengewerkt. Het kabinet neemt hierin ook een actieve rol, onder meer door de Nederlandse ervaringen met het eerder genoemde IAMA te delen en te participeren in de initiatieven om te komen tot standaarden voor het ontwikkelen en gebruiken van AI-systemen, bijvoorbeeld via deelname aan de Europese AI Board.

Vraag 10

Wat is de rol van Nederland in het ontwikkelen van ethische en niet-discriminatoire AI-systemen en hoe gaat u hier richting aan geven bij de ontwikkelingen rondom de nationale AI-fabriek?

Binnen de Europese AI-fabrieken worden initiatieven gestimuleerd voor verantwoorde en transparante AI-ontwikkeling. Dit omvat het ontwikkelen en testen van AI-modellen, die voldoen aan bestaande wet- en regelgeving waaronder non-discriminatiewetgeving, aan nieuwe vereisten die de AI-verordening stelt en standaarden die uitlegbaar en begrijpelijk zijn voor gebruikers. Dit zal ook het geval zijn voor de in Nederland voorziene AI-fabriek. De kennis en ervaring die de Nederlandse overheid heeft opgedaan met bijvoorbeeld het toepasbaar maken van wet- en regelgeving in het Algoritmekader, zie het antwoord op vraag 6, of met audits worden in de AI-fabriek verder geoperationaliseerd.

Vraag 11

Welke expertise betrekt u bij de ontwikkeling van de nationale AI-fabriek om te waarborgen dat Nederlandse AI-modellen voldoen aan wettelijke en ethische kaders en welke wettelijke en ethische kaders stelt u daaraan?

Onderdeel van de AI-fabriek is een kenniscentrum om aanvragers van rekencapaciteit te ondersteunen. In dat kenniscentrum zullen AI-experts werken, maar vanzelfsprekend ook experts op het snijvlak van techniek, wet- en regelgeving en ethiek die kunnen adviseren over verantwoorde inzet. Het kabinet investeert in de AI-fabriek, juist om deze technologie op onze voorwaarden in te kunnen zetten.

Vraag 12

Stelt de overheid zelf proactief betrouwbare en representatieve data beschikbaar voor het ontwikkelen van ethische AI-toepassingen door Nederlandse en Europese leveranciers? Zo ja, kunt u toelichten om welke data het gaat?

Het actief beschikbaar stellen van betrouwbare, toegankelijke en representatieve data is een belangrijke voorwaarde voor het ontwikkelen van ethische AI-toepassingen. De overheid vervult hierin een faciliterende en kaderstellende rol, in samenwerking met publieke en private partners op nationaal en Europees niveau. Op data.overheid.nl zijn op dit moment meer dan 20.000 open datasets te vinden. Het uitgangspunt van het kabinet is dat alle open data die door Nederlandse overheden gepubliceerd wordt, geschikt is voor het ontwikkelen van ethische AI-toepassingen. Deze data wordt niet proactief beschikbaar gesteld specifiek voor het ontwikkelen van ethische AI-toepassingen door Nederlandse en Europese leveranciers. In beginsel is open data immers rechtenvrij en bevat het geen persoonsgegevens, waardoor het wel voor dit doel ingezet kan worden.
Nederland werkt actief mee aan de ontwikkeling van sectorale Europese dataspaces (zoals voor zorg, energie en landbouw), die onder meer betrouwbare en controleerbare data-infrastructuren bieden. Ook wordt gewerkt aan het Centre for Data Sharing & Cloud, het Nederlandse kennisnetwerk dat vrijwillige datadeling binnen en tussen sectoren bevordert, en het Nationaal Groeifonds. Het Nationaal Groeifonds is een katalysator geweest voor de ontwikkeling van data-ecosystemen in Nederland. In de eerste ronde financierde het Groeifonds Health-RI, een project dat het gebruik van gezondheidsdata stimuleert. In de tweede ronde financierde het Groeifonds Digitale Infrastructuur Logistiek (DIL), dat betrouwbare datadeling in de logistieke sector mogelijk maakt. Evenals Dutch Metropolitan Innovations (DMI), dat data-uitwisseling voor (stedelijke) mobiliteit, openbare ruimte en huisvesting faciliteert.
De Nederlandse overheid stelt, onder andere via PDOK, data.overheid.nl en Statline, hoogwaardige open data ter beschikking die allemaal via gecontroleerde metadatering machine-leesbaar en laagdrempelig beschikbaar zijn voor iedereen binnen en buiten Nederland (FAIR), en daarmee ook voor AI-toepassingen. Deze geanonimiseerde data is veilig te gebruiken ten aanzien van privacy. Zo stellen de ministeries van Economische Zaken (EZ), Klimaat en Groene Groei (KGG), en Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN), en organisaties binnen het concern open data proactief beschikbaar en kan deze data worden gebruikt voor dit doel. Specifiek heeft het Centraal Bureau voor de Statistiek (CBS) tot taak het van overheidswege verrichten van statistisch onderzoek ten behoeve van praktijk, beleid en wetenschap en het openbaar maken van de op grond van zodanig onderzoek samengestelde statistieken. Daarmee is het CBS een belangrijke leverancier van hoogwaardige open data. Daarbij worden vele thema’s bestreken. Een van die thema’s is emancipatie. Aangezien de open data vrijelijk te downloaden en te gebruiken is, is het niet mogelijk bij te houden welke data waarvoor wordt gebruikt.
Bij het beschikbaar stellen van data wordt zorgvuldig aandacht besteed aan ethische randvoorwaarden, zoals het waarborgen van privacy en gegevensbescherming (volgens de AVG), het voorkomen van bias en het bevorderen van representativiteit van datasets, en transparantie over herkomst, kwaliteit en beperkingen van data.

Vraag 13

Op welke manier bent u van plan om de Routekaart voor Vrouwenrechten toe te passen in het nationaal beleid?

In het regeerprogramma zijn er keuzes gemaakt om de overheidsfinanciën gezond te houden. Deze bezuiniging daalt ook neer op het emancipatiedomein. Dit betekent dat vanuit emancipatie wordt ingezet op onderwerpen waar de kans op succes het grootst is. Het kabinet stelt daarom twee prioriteiten: «iedereen moet veilig kunnen zijn» en «iedereen moet volwaardig kunnen meedoen».20
Het effect van de voorgenomen bezuinigingen op het beschikbare subsidiebudget voor emancipatie is klein en lopende subsidies worden niet beïnvloed door de voorgenomen bezuinigingen.

Vraag 14

Hoe rijmen de voorgenomen bezuinigingen op het gebied van emancipatie met de groeiende uitdagingen met betrekking tot vrouwenrechten en rechten van lhtbiqia+ personen?

Vraag 15

Op welke manier verwacht u dat de Routekaart voor Vrouwenrechten gaat bijdragen aan gendergelijkheid in de Europese lidstaten die achterlopen op het Europees gemiddelde?

De roadmap dient als startschot voor de consultatie voor de nieuwe Europese strategie voor gendergelijkheid, die naar verwachting begin 2026 wordt gepubliceerd. Dit Europese beleidskader en mogelijk daaruit voortvloeiende wetsvoorstellen zijn EU-breed toepasbaar en helpen daardoor ook andere landen vooruit. De vorige strategie heeft ook in Nederland geleid tot concrete wetgeving op bijvoorbeeld het terrein van loontransparantie.

Vraag 16

Deelt u de zorgen dat gendergelijkheid in enkele EU-lidstaten, waaronder Hongarije en Polen, steeds verder achterop raakt?

Het kabinet maakt zich zorgen over de inperking van de rechten van vrouwen en lhbtqia+ personen, ook in Europa. Samen met de Minister van Buitenlandse Zaken zet de Staatssecretaris van OCW zich daarom structureel in om de fundamentele rechten en vrijheden in de EU te beschermen.21 Het kabinet vindt de recente anti-lhbtqia+-wetswijzigingen die zijn aangenomen in Hongarije zeer zorgelijk en heeft deze zorgen en afkeuring reeds op verschillende manieren overgebracht.22
Nederland heeft, namens achttien lidstaten, tijdens de informele EPSCO-gelijkheid van 16 april jl. een verklaring afgelegd waarin deze zorg scherp wordt geuit. Daarnaast heeft Nederland het initiatief genomen voor een tweede verklaring richting de Raad Algemene Zaken van 27 mei jl., die door twintig lidstaten is ondertekend.23 Hierin wordt Hongarije expliciet opgeroepen deze discriminerende wetgeving te herzien. Ook wordt de Europese Commissie verzocht volledig gebruik te maken van de rechtsstaatinstrumenten die zij ter beschikking heeft.

Vraag 17

Bent u het ermee eens dat de situatie van Roma in de EU zorgwekkend is?

Ja. Dit blijkt ook uit recentelijk onderzoek van het FRA (European Union Agency for Fundamental Rights).24

Vraag 18

Zou u nader kunnen toelichten in hoeverre de huidige beleidsmaatregelen ter bevordering van de gelijkheid, inclusie en participatie van de Roma en Sinti effectief is gebleken?

De maatschappelijke positie van Sinti en Roma in Nederland is nog altijd kwetsbaar. Zo zijn Sinti en Roma in het hoger onderwijs ondervertegenwoordigd, is de arbeidsmarktparticipatie relatief laag en ervaren zij op veel gebieden discriminatie. Dit blijkt uit de Monitor Sociale Inclusie 2023 naar de woon- en leefomstandigheden van Sinti en Roma in Nederland waarover uw Kamer op 5 juni 2024 is geïnformeerd.
Tegelijkertijd zijn de resultaten ook hoopvol op terreinen als onderwijs en de rol van jongeren en jonge Sinti en Roma ouders. Zo benoemen professionals in de Monitor een voorzichtige stijging in het onderwijsniveau van Sinti en Roma kinderen. Jonge ouders, die zelf volledig onderwijs hebben genoten, spelen daar een belangrijke rol in. Deze voorzichtige ontwikkeling in het onderwijsniveau kan volgens de onderzoekers voor de Sinti en Roma op termijn doorwerken in andere levensdomeinen.

Vraag 19

Zou u tevens nader kunnen toelichten in hoeverre verdere inspanningen vereist zijn ter bevordering van de gelijkheid, inclusie en participatie van de Roma en Sinti?

Om de maatschappelijke positie van Sinti en Roma te verbeteren hanteert Nederland, in lijn met het strategisch EU-kader, een generieke beleidsaanpak, aangevuld met specifieke maatregelen daar waar nodig. Op 5 juni 2024 is er een overzicht van dit beleid als bijlage van de Monitor met uw Kamer gedeeld. Om de posities van Sinti en Roma te verbeteren is onverminderd en langdurige inzet van vele partijen cruciaal.

Vraag 20

Zou u nader kunnen toelichten welke concrete maatregelen u neemt om de weerbaarheid van jonge mannen te vergroten met betrekking tot desinformatie en schadelijke wereldbeelden, zoals die gedeeld worden in de «manosphere»?

Het kabinet zet in op de aanpak van desinformatie binnen de Rijksbrede strategie effectieve aanpak desinformatie.25 Deze aanpak wordt gecoördineerd door het Ministerie van BZK. Binnen de aanpak zijn maatregelen opgenomen voor zowel het aanpakken van de verspreiders en verspreiding van desinformatie, als maatregelen die bijdragen aan het versterken van de weerbaarheid van leerlingen en burgers tegen desinformatie. Als onderdeel van de strategie financiert het Ministerie van OCW het Netwerk Mediawijsheid. Netwerk Mediawijsheid heeft vier maatschappelijke opgaven geïdentificeerd: (1) plezier, grip en profijt bij een leven in media, (2) digitale balans, (3) samen sociaal online en (4) weerbaarheid tegen desinformatie. Ook zet het kabinet in op digitale weerbaarheid door in het onderwijs aandacht te besteden aan digitale geletterdheid en burgerschap. De conceptkerndoelen die dit jaar voor beide leergebieden zijn gepubliceerd, schrijven scholen voor om aandacht te besteden aan de omgang met digitale media en de online identiteit van leerlingen.26 Daarnaast wil het kabinet discriminerende, racistische en haatdragende uitingen online tegengaan en voorkomen. Daarom komt de Minister van BZK nog voor de zomer met het plan van aanpak tegen online discriminatie, racisme en hate speech. Tevens loopt er vanuit het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) een opdracht voor het opzetten van een samenwerkingsverband over de online sociale norm aan Netwerk Mediawijsheid en Diversion. In deze pilot werken jongeren op lokaal niveau verschillende interventies uit gericht op het tegengaan van online discriminatie, hate speech, radicalisering en polarisatie. Deze pilot zal naar verwachting aan het einde van het jaar worden afgerond. Ten slotte erkent het kabinet het belang van bewustwording en het aanpakken van ongelijkheid en schadelijke stereotypen. In het plan van aanpak «Stop femicide!» is aangekondigd dat – in aanvulling op het bestaande emancipatiebeleid – een mannenalliantie opgericht zal worden door de Staatssecretaris van OCW. Het streven is dat de alliantie begin 2026 is opgericht.

Vraag 21

Welke bewezen effectieve methoden zijn er om online radicalisering te voorkomen?

Daarnaast is een preventieve aanpak van belang, zoals genoemd in diverse onderzoeken naar online radicalisering.27 Het Ministerie van SZW heeft recent een inventarisatie laten uitvoeren van lokale interventies ter preventie van radicalisering en polarisatie, en hun bewezen effectiviteit.28 Dit rapport besteedt ook aandacht aan bewezen effectieve interventies gericht op het versterken van digitale weerbaarheid en mediawijsheid. Een voorbeeld hiervan is het lesprogramma «Under Pressure»voor jongeren. Deze methode richt zich op democratisch burgerschap en het weerbaar maken tegen desinformatie, en is in opdracht van het Ministerie van SZW en de NCTV geëvalueerd.29 Daarnaast zijn er verschillende lokale interventies gericht op digitale weerbaarheid gefaciliteerd en geëvalueerd vanuit de Agenda Veerkrachtige en Weerbare Samenleving. De resultaten van deze evaluaties komen na afronding van de pilotfase van het programma eind 2025 online beschikbaar. De aankomende periode zal de staatsecretaris Participatie en Integratie via de Actieagenda Integratie en Open en Vrije Samenleving verder investeren in de ontwikkeling en evaluatie van interventies om radicalisering te voorkomen, met speciale aandacht voor de rol van online.

Vraag 22

Met welke publieke- en private partners werkt u samen om deze methoden toe te passen en jonge mannen handvatten te bieden in de online wereld?

De Minister van Justitie en Veiligheid werkt samen met een online platform om de eerder genoemde ReDirect methode als pilot toe te passen. Deze methode is niet uitsluitend gericht op jonge mannen, maar op alle internetgebruikers van dit platform. In de Voortgangsbrief Versterkte Aanpak Online inzake extremistische en terroristische content wordt deze ReDirect pilot verder toegelicht, evenals de ambitie deze methode in samenwerking met meerdere online platforms te implementeren.30
Ten aanzien van het versterken van digitale weerbaarheid en mediawijsheid is er een belangrijke rol weggelegd voor gemeenten. De ministeries van Justitie en Veiligheid (JenV) en SZW ondersteunen vanuit de Versterkingsgelden verschillende interventies op lokaal niveau gericht op het vergroten van digitale weerbaarheid onder jongeren. Via deze gelden kunnen gemeenten projecten financieren die jongeren leren zorgwekkende online content en de mechanismen hieronder beter te herkennen. Hierbij wordt ook samengewerkt met andere lokale partners, zoals maatschappelijke organisaties en jongerenwerkers, die bijvoorbeeld via online activiteiten in contact kunnen komen met lastig te bereiken jongeren. Verder heeft het Ministerie van SZW in 2022 en 2023 verschillende Decentrale Uitkeringen verstrekt aan gemeenten voor het uitvoeren van interventies gericht op het versterken van digitale weerbaarheid onder jongeren. Deze inzet zal middels de Actieagenda Integratie en Open en Vrije Samenleving worden voortgezet.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja. De vragen zijn afzonderlijk beantwoord.

Vraag 1

Bent u bekend met het artikel getiteld «Online oplichting in Nederland stijgt schrikbarend: 2,4 miljoen slachtoffers»?1

Ja.

Vraag 2

Deelt u de mening dat het feit dat het aantal slachtoffers van online oplichting in Nederland is gestegen tot maar liefst 2,4 miljoen schrikbarend is? Zo ja, waarom? Zo nee, waarom niet?

Ieder slachtoffer van online fraude is er één te veel. Ik betreur het feit dat het aantal slachtoffers van online oplichting in 2024 ten opzichte van 2022 is gestegen.2 De maatschappelijke impact van online fraude is groot en het zorgt voor zowel financiële als mentale problemen bij slachtoffers. Mijn ministerie werkt daarom al enkele jaren gezamenlijk met publieke en private partners aan een integrale aanpak van online fraude.

Vraag 3

Kunt u verklaren hoe het komt dat vooral jongeren hierbij vaker getroffen worden dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers?

Een groot deel van de 15–25-jarigen brengt veel tijd door op het internet. Ze maken dagelijks gebruik van apps, sociale media en websites waardoor zij meer risico lopen dan anderen. Criminelen die zich schuldig maken aan online fraudevormen maken hier handig gebruik van en richten zich in sommige situaties juist op deze groep potentiële slachtoffers. Zo plaatsen zij veelvuldig «te mooi om waar te zijn»-aanbiedingen op sociale media waarbij specifieke goederen die aantrekkelijk zijn voor jongeren worden aangeboden. Het Centrum voor Criminaliteitspreventie en Veiligheid werkt sinds enkele jaren samen met scholieren.com aan een preventiecampagne specifiek gericht op jongeren. Uit recent onderzoek is gebleken dat er nog veel winst te behalen valt met campagnes gericht op beveiligingsmaatregelingen die jongeren zelf kunnen treffen om hun kans op slachtofferschap te verkleinen.3 Dit is ook één van de zaken waar de pijler preventie en weerbaarheid van de integrale aanpak zich op richt.
Er zijn dan ook de nodige campagnes door de overheid ontwikkeld om burgers weerbaarder tegen gevaren online te maken, waaronder online fraude, zoals met social engineering campagnes, campagnes van veiliginternetten.nl etc.

Vraag 4

Kunt concreet aangeven welke concrete maatregelen er de afgelopen twee jaar genomen zijn om online oplichting tegen te gaan? Kunt u per maatregel aangeven wat het effect daarvan had moeten zijn op het tegengaan van die oplichting en wat het effect in de praktijk was?

Het kabinet investeert dit jaar 52,6 miljoen euro in de politie en de strafrechtketen voor de aanpak van cybercrime en gedigitaliseerde criminaliteit, waar online fraude een belangrijk onderdeel van uitmaakt. In de laatste Veiligheidsagenda zijn streefnormen van de politie opgenomen voor de aanpak. Dit bevat de streefnorm voor het minimumaantal verdachten, het aantal onderzoeken voor criminele samenwerkingsverbanden maar ook het percentage voor alternatieve afdoeningen. Over de behaalde resultaten wordt uw Kamer jaarlijks geïnformeerd in de voortgangsrapportage. Deze wordt op korte termijn aan uw Kamer toegestuurd.
Strafrecht alleen gaat online fraude niet oplossen, daarom is het van groot belang dat ook private partijen en het bedrijfsleven in het bijzonder online oplichting zo breed, effectief en efficiënt mogelijk aanpakken, om slachtofferschap te voorkomen. Sinds 2023 werkt mijn ministerie samen met het Ministerie van Economische Zaken, het Ministerie van Financiën, de politie, het Openbaar Ministerie, VNO-NCW/MKB Nederland, de Consumentenbond, de Nederlandse Vereniging van Banken (NVB), de Fraudehelpdesk en andere meldpunten, Slachtofferhulp Nederland, COIN, en Thuiswinkel.org in een integrale aanpak online fraude. Binnen de aanpak werken deze en andere partijen samen om het online oplichters zo moeilijk mogelijk te maken en slachtofferschap van burgers en ondernemers te voorkomen. Binnen de integrale aanpak wordt gewerkt langs vijf pijlers, waaronder barrières en interventies, preventie en weerbaarheid, en hulp aan slachtoffers. Zo wordt er geïnvesteerd in campagnes en het weerbaarder maken van burgers en bedrijven tegen online fraude en oplichting. In samenwerking met het Centrum voor Criminaliteitspreventie en Veiligheid zijn er folders met zogenoemde vuistregels en een specifieke tool ontwikkeld die burgers en bedrijven informeren over online oplichting en hen handvatten biedt om snel en efficiënt hulp te zoeken. Daarnaast werken de partners uit de integrale aanpak samen om de teksten op hun websites eenduidig te maken en hun dienstverlening zo goed mogelijk op elkaar af te stemmen. De politie heeft met Operatie Centurion de afgelopen jaren repressief ingezet en de inzet versterkt op het thema online criminaliteit. Deze projectmatige inzet wordt de komende jaren structureel geborgd.
Tot slot wil ik u wijzen op één van de vele initiatieven die publieke en private partners ondernemen: het initiatief «Bank voor de klas» waarbij banken in samenwerking met de politie in 2024 voorlichting hebben gegeven aan ruim 53.000 leerlingen in het basisonderwijs, het voortgezet onderwijs en het middelbaar beroepsonderwijs.4 Jongeren werden met dit initiatief wegwijs gemaakt met het herkennen en voorkomen van online fraude.
De effecten van de maatregelen die worden getroffen om online fraude tegen te gaan zijn moeilijk te meten. Pas op lange termijn zijn directe effecten van campagnes merkbaar. Daarnaast is het thema online fraude voortdurend aan verandering onderhevig en worden er steeds weer nieuwe vormen van online oplichting en fraude waargenomen.

Vraag 5

Is het waar dat slachtoffers van online oplichting zich vaak onvoldoende geholpen voelen door politie en justitie? Zo ja, hoe komt dat en wat wordt er gedaan om dit vertrouwen te herstellen? Zo nee, wat is er dan niet waar?

Politie en justitie pakken niet alle oplichtingszaken strafrechtelijk op, dat kan ook niet omdat daar niet genoeg capaciteit voor is. De politie en het Openbaar Ministerie kunnen niet aan alle strafbare feiten prioriteit geven en een strafrechtelijke opvolging is niet altijd mogelijk. Ook worden er wel eens fouten gemaakt, bijvoorbeeld bij het opnemen van een aangifte. De afgelopen periode zijn er maatregelen getroffen om de ondersteuning van mensen die te maken krijgen die te maken krijgen met online fraude te verbeteren.
De politie en het OM hebben samen met andere partijen de afgelopen jaren geïnvesteerd in een verbetering van de integrale aanpak van online fraude. Zo heeft de politie meerdere initiatieven gestart om de dienstverlening aan slachtoffers van online criminaliteit te verbeteren. Met het project digitale meldkamer gaat de politie bij online criminaliteit die net heeft plaatsgevonden of anderszins urgent is, direct ter plaatse voor het veiligstellen van sporen, het opnemen van de aangifte en het geven van slachtofferhulp. Uit evaluatie komt naar voren dat slachtoffers tevreden zijn over deze mogelijkheid. Dit project is onlangs in werking getreden in alle eenheden waardoor deze werkwijze tot standaard is verheven.5
Daarnaast hebben verschillende partners uit de integrale aanpak vuistregels ontwikkeld voor slachtoffers van online criminaliteit waardoor de informatievoorziening aan slachtoffers is verbeterd. Slachtoffers van aan- en verkoopfraude die online aangifte doen en wiens zaak niet strafrechtelijk wordt opgepakt, worden gewezen op de mogelijkheden die ze zelf kunnen ondernemen, waaronder het verhalen van de schade op de oplichter. Alle slachtoffers die aangifte doen worden gewezen op de mogelijkheid van slachtofferhulp. Indien zij dat aangeven, vindt doorverwijzing plaats naar Slachtofferhulp Nederland.
Verder investeert dit kabinet fors in de aanpak van gedigitaliseerde criminaliteit, waaronder online fraude, door de politie. De politie gaat een centrale voorziening voor gedigitaliseerde criminaliteit inrichten ten behoeve van de regionale eenheden en de Eenheid Landelijke Opsporing en Interventies. Bovendien zal de politie met de beschikbaar gestelde middelen de uitvoeringscapaciteit voor de aanpak van gedigitaliseerde criminaliteit in de eenheden vergroten. De kennis en vaardigheden van digitale opsporing gaat politie ook vergroten met de toegekende gelden. Bovendien heeft de politie aandacht voor de impact van online oplichting op slachtoffers en past haar werkwijzen daarop aan.6 De politie stimuleert de aangiftebereidheid en meldingsbereidheid van online fraude, maar wijst (mogelijke) slachtoffers ook op manieren of instanties voor het verkrijgen van (gedeeltelijke) genoegdoening, zoals civiel schadeverhaal, het verwijderen van online berichten of emotionele hulp.

Vraag 6

Wordt er vanuit de justitiële autoriteiten effectief samengewerkt met banken, online platforms en telecomaanbieders om oplichting te voorkomen en snel op te treden bij signalen van fraude? Waar bestaat die samenwerking concreet uit en waaruit blijkt dat die samenwerking effectief is? Acht u het nodig die samenwerking te intensiveren en op welke wijze gaat u dat doen?

In het kader van de integrale aanpak online fraude werken de politie en het Openbaar Ministerie regelmatig samen met banken en telecomaanbieders. Deze samenwerking heeft onder andere geleid tot het sluiten van bankrekeningen van meerdere stelselmatige fraudeurs. Daarnaast wordt onder meer gewerkt aan de knelpunten bij gegevensdeling die worden ervaren in de samenwerking met banken, telecomaanbieders en online platformen. In de volgende voortgangsbrief over de integrale aanpak van online fraude zal ik u hier nader over informeren. Begin dit jaar heeft de Minister van Economische Zaken u geïnformeerd voornemens te zijn een voorstel in te dienen om de Telecommunicatiewet aan te passen om het misbruik van telecommunicatievoorzieningen te bestrijden ten behoeve van de aanpak van online fraude.7
In aanvulling op het antwoord op vraag 4 verwijs ik naar de verschillende samenwerkingsvormen zoals het Landelijk Meldpunt Internetoplichting (LMIO) en Electronic Crimes Taskforce (ECTF). Het LMIO is een samenwerking tussen de politie, banken, het Openbaar Ministerie, Marktplaats en internetserviceproviders. Het doel van LMIO is om internetoplichting, vooral in online handelsomgevingen, te verminderen door aangiftes te behandelen, te analyseren en te veredelen, en door samen te werken aan het signaleren en aanpakken van oplichters. Het ECTF is in 2011 opgericht met als doel om in publiek-privaat verband digitale criminaliteit te bestrijden. Deze samenwerkingen zijn waardevol, aangezien gedigitaliseerde criminaliteit een complex maatschappelijk probleem is en dit niet alleen met het strafrecht is op te lossen.

Vraag 7

Hoe vaak hebben slachtoffers van online oplichting in 2024 een verzoek gedaan bij de banken om via de PNBF-regeling terugbetaling te vorderen van hun oplichters? En hoe vaak hebben zij bij weigering hiervan de NAW-gegevens van hun oplichters opgevraagd en gekregen?

Zoals ik heb aangegeven in de beantwoording van eerdere vragen van het lid Mutluer, bevestigt de Betaalvereniging Nederland dat de toepassing niet centraal wordt geregistreerd en dat dit een aangelegenheid is van individuele banken in hun hulp aan slachtoffers en de wederkerige bereidheid van twee banken om primair buitengerechtelijke bemiddeling mogelijk te maken tussen hun beider rekeninghouders.8 Het is daardoor niet mogelijk om een overzicht te verkrijgen van het aantal verzoeken in het kader van de PNBF-regeling (de Procedure NAW-gegevens Begunstigde bij niet-bancaire Fraude).

Vraag 8

Kunt u aangeven hoe gevolg is gegeven aan motie-Mutluer2 waarbij is gevraagd om in samenspraak met Betaalvereniging Nederland en de Nederlandse Vereniging van Banken de PNBF-regeling bekender te maken en uit te bereiden naar paymentserviceproviders?

Mijn ministerie is aan het begin van dit jaar in gesprek gegaan met de Betaalvereniging Nederland over de PNBF-regeling. De Betaalvereniging Nederland (BVN) heeft in dit gesprek bevestigd dat er met de aangesloten Nederlandse banken, leden en Nederlandse Payment Service Providers een regeling hieromtrent is afgesproken. Deze regeling ziet op het volgende: de bank van het slachtoffer informeert de eigen rekeninghouder over de mogelijkheid van het indienen van een terugbetalingsverzoek en in een latere fase onder voorwaarden een verzoek tot verstrekking van NAW-gegevens. Deze afgesproken regeling betreft een interbancaire voorziening die de leden op vrijwillige basis aanbieden. Aangezien een bank – van ogenschijnlijk betrouwbare transacties – niet kan zien dat een betaalopdracht werd gegeven onder invloed van een strafbaar feit, is van belang te vermelden dat de gedupeerde rekeninghouder wel zelf contact met de bank zoekt alvorens de bank de rekeninghouder over deze optie kan informeren. Ook de bij de BVN aangesloten Payment Service Providers kunnen deze regeling reeds toepassen.
Ten aanzien van de bekendheid van de PNBF kan ik bevestigen dat BVN en NVB onderschrijven dat informatieverstrekking vanuit banken over de PNBF actief gebeurt, zoals ook via de website www.veiligbankieren.nl.
Tot slot blijft de inzet van PNBF beperkt omdat toepassing hiervan beperkt is tot wegsluizen van frauduleuze gelden van Nederlandse rekeningnummers naar NL IBAN-nummers. Criminelen zoeken manieren om geld weg te sluizen waar de pakkans het kleinst is. De Nederlandsche Vereniging van banken geeft aan te zien dat het merendeel van de frauduleuze gelden nu rechtstreeks richting buitenland gaat, gepind wordt, in crypto worden omgezet, of via (internationale) Payment Service Providers weggesluisd wordt.

Vraag 9

Deelt u de mening dat de bestrijding van online oplichting meer prioriteit zou moeten krijgen binnen het justitie- en veiligheidsdomein? Zo ja, worden er in dat licht meer capaciteit en middelen vrij gemaakt voor de opsporing en vervolging van digitale fraude en online oplichting? Zo nee, waarom niet?

Online oplichting is één van de grootste criminaliteitsvormen en is schaalbaar, internationaal en daarom een hardnekkig fenomeen dat bestreden moet worden. Zoals ik in antwoord op vraag 4 heb toegelicht investeert dit kabinet 52,6 miljoen euro in de politie en de strafrechtketen voor de aanpak van cybercrime en gedigitaliseerde criminaliteit, waar online fraude een belangrijk onderdeel van uitmaakt. Ook de politie spant zich conform de Veiligheidsagenda in voor de bestrijding van gedigitaliseerde criminaliteit. De verwachting is dat dit een belangrijk thema blijft voor de komende jaren. Zoals ook toegelicht is de rol van alleen het strafrecht onvoldoende. Daarom is er ook geïnvesteerd in een integrale samenwerking met publieke en private partijen. In dit kader wijs ik u op mijn antwoord op vraag 5.

Vraag 10

Welke rol ziet u voor het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC) en andere instanties in de aanpak van deze problematiek?

Ik zie in het geval van online oplichting maar een beperkte rol weggelegd voor het Nationaal Cyber Security Centrum (NCSC). Online oplichting is een vorm van gedigitaliseerde criminaliteit, daar waar het NCSC zich richt op de cybersecurity van Nederland en de bescherming van de digitale infrastructuur. Het NCSC signaleert algemene trends op het gebied van cybersecurity, deelt dreigingsinformatie en ontwikkelt handreikingen, handelingsperspectieven en praktische richtlijnen om organisaties en burgers te ondersteunen bij het versterken van hun digitale weerbaarheid. Daarnaast publiceert het beveiligingsadviezen en -rapporten en werkt het intensief samen met verschillende veiligheidsinstanties.
Het Digital Trust Center (DTC) is een belangrijke partner in de bestrijding van online fraude. Het DTC informeert ondernemers hoe zij veilig digitaal kunnen ondernemen, bijvoorbeeld door het aanbieden van de Basisscan Cyberweerbaarheid en de CyberVeilig Check voor zzp en mkb. Ook biedt de organisatie een praktische actielijst aan met behulpzame activiteiten en tips om ondernemingen digitaal weerbaar te maken. Daarnaast hebben het NCSC en DTC recent vijf basisprincipes van digitale weerbaarheid opgesteld, die organisaties handvatten bieden voor het ontwikkelen van een gezonde en degelijke cyberbeveiligingsstrategie.

Vraag 1

Bent u bekend met de berichtgeving «Ministeries getroffen door groot datalek» van BNR?1

Ja.

Vraag 2

Welke gegevens zijn er allemaal «weggelekt»?

Het gaat om persoonsgegevens die zijn opgenomen in de zogenoemde embedded metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 3

Hoe heeft het datalek kunnen ontstaan?

Het probleem ontstaat als een document bij de omzetting naar een publicatieformat niet goed is ontdaan van de betreffende metadata. Het opschonen van metadata is niet centraal ingeregeld, maar een intern proces van de departementen.

Vraag 4

Wanneer was u op de hoogte van het datalek bij uw ministerie?

We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media.

Vraag 5

Waarom heeft u de Kamer niet geïnformeerd over het datalek?

Het gaat hier helaas om een actief datalek. We bevinden ons nog in de eerste fase van de aanpak van het datalek. De werkwijze voor deze fase is gericht op het analyseren van de situatie (wat is er gebeurd, wat is de exacte omvang, hoe kan het worden opgelost) en het beperken van de schade. In de eerste fase wordt ook een inschatting gemaakt van de risico’s.
In dit geval was publicatie in het openbaar in deze fase – waaronder het informeren van uw Kamer – onwenselijk, omdat brede bekendheid van een actief lek kan leiden tot een vergroot risico op misbruik van persoonsgegevens. Ik betreur dan ook zeer dat deze informatie voortijdig naar buiten is gekomen. Ik zou uw Kamer uiteraard geïnformeerd hebben zodra er meer helderheid was over de omvang van het probleem en het lek was gedicht.

Vraag 6

Waarom moest de Kamer dit nieuws vernemen via de media?

Ik betreur het zeer dat deze informatie via de media naar buiten is gekomen. De aanpak van het lek was nog niet in het stadium om hiermee al naar buiten te treden. Zie ook het antwoord op vraag 5.

Vraag 7

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd?1

Ja. We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media. Het lek is geconstateerd bij alle ministeries.

Vraag 2

Klopt de berichtgeving dat deze datalekken een «privacyprobleem» betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Ja, het lek raakt de privacy van ambtenaren. Ambtenaren moeten zich veilig voelen om hun werk te kunnen doen, zonder daar in persoon op aangesproken te worden. Dit lek maakt het in sommige gevallen mogelijk om individuele ambtenaren te relateren aan bepaalde documenten. Dat is onwenselijk. Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Het gaat om persoonsgegevens die zijn opgenomen in de metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 4

Welke maatregelen zijn getroffen om deze datalekken tegen te gaan en is daarmee erger voorkomen?

De volgende maatregelen zijn getroffen:
In de meeste gevallen zijn dit soort maatregelen voldoende om de gevolgen van een datalek te beperken. Echter, in dit geval gaat het om een actief lek dat al breed bekend is vanwege de berichten hierover in de media. De gevolgen hiervan kunnen we op dit moment niet goed overzien. Ik wil daarom nogmaals benadrukken dat ik het zeer betreur dat deze informatie voortijdig naar buiten is gekomen.

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Nee, dit datalek is niet veroorzaakt door statelijke actoren. Het datalek is ontstaan doordat de metadata voor publicatie niet goed is ontdaan van de gegevens die zijn beschreven in het antwoord op vraag 3.