Vraag 1

Heeft u kennisgenomen van de stroomstoring in Spanje en Portugal van maandag 28 april?

Ja.

Vraag 2

Hoe reëel is het dat een stroomstoring van deze magnitude ook in Nederland zal plaats vinden?

De grote stroomstoring in Spanje en Portugal op maandag 28 april betrof een zogenaamde black-out. Deze storing trof naast deze twee landen ook een gedeelte van Frankrijk. Een dergelijke grootschalige black-out komt in Europa slechts eens in de 10 à 20 jaar voor. In 2003 is Italië getroffen en in 2015 Turkije. In 2024 hebben drie landen in de Balkan hiermee te maken gehad. Een stroomuitval van deze omvang kan ook in Nederland plaatsvinden. De kans op een dergelijke stroomuitval van dit type acht het kabinet gering.

Vraag 3

Hoe goed is ons stroomnet beschermd?

De Minister van Klimaat en Groene Groei is beleidsverantwoordelijkheid voor de leveringszekerheid van energie. De netbeheerders zijn wettelijk verplicht om de leveringszekerheid van elektriciteit te bewaken en te bevorderen. Het Ministerie van KGG werkt samen met TenneT en de regionale netbeheerders doorlopend aan de continuïteit van het elektriciteitsnetwerk.
Ons energiesysteem wordt beschermd door een robuust ontwerp, redundantie, de aanwezigheid van voldoende herstelcapaciteit en interconnectie met de ons omringende landen. Het brede scala aan maatregelen heeft ertoe geleid dat het Nederlandse elektriciteitssysteem de afgelopen jaren één van de betrouwbaarste energiesystemen ter wereld is geweest, met een gemiddelde betrouwbaarheid van 99.99%. Voor de herstart van het elektriciteitssysteem na een grootschalige black-out beschikt Nederland over speciale voorzieningen.

Vraag 4

Wat zijn de grootste systeemrisico’s die Nederland kent als het gaat om grootschalige uitval van stroom, water, internet en het betaalverkeer? Waar zal de samenleving naar verwachting het zwaarst geraakt worden?

Stroom en internet zijn dusdanig essentieel en verbonden met andere onderdelen in de samenleving dat een stroomstoring grote impact kan hebben op de samenleving. De impact van grootschalige stroomuitval of uitval van data- en communicatienetwerken is groot en raakt meerdere vitale processen. Grootschalige uitval van drinkwater heeft directe impact op huishoudens, de industrie en ziekenhuizen, en kan de operatie van veel andere processen zoals levensmiddelen beïnvloeden. Ook het betaalverkeer is afhankelijk van internet en elektriciteit. Langdurige uitval van het betaalverkeer kan leiden tot grote maatschappelijke onrust en economische ontwrichting. Bijvoorbeeld omdat men geen betalingen kan doen in winkels, doordat er geen geld meer uit de geldautomaat komt en omdat dergelijke uitval kan leiden tot verstoring van andere vitale processen zoals het effectenverkeer. Contant geld vervult tevens een belangrijke rol als terugvaloptie voor elektronisch betaalverkeer.
Verantwoordelijke vakdepartementen en vitale aanbieders voeren risicobeoordelingen uit als onderdeel van de Versterkte Aanpak Vitaal.1 Hierbij is er specifiek aandacht voor de intersectorale afhankelijkheden, waarmee risico’s inzichtelijk gemaakt worden zodat er passende maatregelen kunnen worden genomen.

Vraag 5

Wat zullen de invoering van de Cyberbeveiligingswet (NIS2 (Network and Information Security directive)) en de Wet weerbaarheid kritieke entiteiten (CER (Critical Entities Resilience Directive)-richtlijn) in de praktijk betekenen voor het risico op en de impact van storingen van deze magnitude?

De implementatie van de Cyberbeveiligingswet (Cbw) en de Wet weerbaarheid kritieke entiteiten (Wwke) zijn onderdeel van de Versterkte Aanpak Vitaal. Onderdeel van deze Versterkte Aanpak Vitaal is een cyclus van risicoanalyses en actieprogramma’s uitgevoerd door de verantwoordelijke vakdepartementen voor hun sectoren, waaronder ook de energiesector, ten behoeve van het nemen van weerbaarheidsverhogende maatregelen voor vitale aanbieders en processen. Daarbij is er ook aandacht voor risico’s die samenhangen met intersectorale afhankelijkheden.
Met de invoering van de Cbw en de Wwke worden de risicobeoordelingen en de te nemen maatregelen dwingender van karakter en worden alle kritieke entiteiten (vitale aanbieders) verplicht om hun kwetsbaarheden te minimaliseren en de continuïteit van hun essentiële diensten (vitale processen) te waarborgen. In de praktijk betekent dit onder andere dat deze entiteiten hun gebouwen, kritieke infrastructuur en netwerk- en informatiesystemen (fysiek) beschermen, ze een plan voor crisisbeheer en een bedrijfscontinuïteitsplan hebben, en ze beleid hebben over de taken, bevoegdheden en verantwoordelijkheden van personeelsleden.

Vraag 6

Zijn er noodscenarios klaar voor een situatie als deze? Zo ja, hoe zien die er uit? Zijn er draaiboeken en is er een back-up om de belangrijkste functies zoals onze watervoorziening, waterverdediging, ziekenhuizen, telefoonverbindingen, wifi en het betalingsverkeer weer zo snel als mogelijk van stroom te voorzien?

De primaire verantwoordelijkheid voor de continuïteit van hun processen ligt bij de organisaties zelf, ook bij verstoringen van het stroomnet. Eventuele (wettelijke) verplichtingen ten aanzien van de leveringszekerheid van diensten zijn opgenomen in sectorale wetgeving. Er is geen centraal overzicht van noodmaatregelen die bedrijven en organisaties nemen bij uitval van grootschalige stroomuitval.
Het Ministerie van Klimaat en Groene Groei is verantwoordelijkheid voor het Nationaal Crisisplan Elektriciteit (NCP-E). Dit NCP-E beschrijft wat de overheid en betrokken crisisorganisaties doen om de maatschappelijke impact bij een ernstige verstoring in de Nederlandse elektriciteitsvoorziening zoveel mogelijk te beperken. Komend anderhalf jaar wordt er gewerkt aan de actualisatie voor het crisisplan elektriciteit.
Tennet heeft een systeembeschermings- en herstelplan om na omvangrijke storingen een gecoördineerd en adequaat systeembeschermings- en herstelproces van het Nederlandse transmissiesysteem en/of de systeembalans mogelijk te maken. Daarnaast hebben de netbeheerders calamiteitenplannen. Deze plannen beschrijven de crisisorganisaties op zowel bestuurlijk als technisch operationeel niveau ten behoeve van de bestrijding en beheersing van een crisis in de elektriciteitsvoorziening. De Autoriteit Consument en Markt toetst deze plannen.

Vraag 7

Voor welke sectoren liggen draaiboeken klaar en zijn noodstroomvoorzieningen beschikbaar? Hoe lang duurt het om deze op te starten?

Zie antwoord vraag 6.

Vraag 8

Is de Nederlandse bevolking voldoende voorbereid op langdurig uitval van stroom? En zo nee, wat wordt er in gang gezet om ervoor te zorgen dat dat wel zo is?

De Nederlandse bevolking is in zekere mate voorbereid op stroomuitval. Deze voorbereiding is vooral gericht op kortdurende storingen. In Nederland is de afgelopen jaren minder aandacht besteed aan de gevolgen van langdurige stroomuitval. Op dit punt is de samenleving kwetsbaar.
Vanaf eind 2022 heeft de rijksoverheid via Denk Vooruit de risicocommunicatie over situaties van langdurige uitval, zoals stroom, drinkwater en internet geïntensiveerd. Hierbij is de hoofdboodschap dat de Nederlandse samenleving voorbereid moet zijn op 72 uur zelfredzaamheid. De dreigingen nemen toe en hulp kan langer op zich laten wachten. Deze boodschap wordt ondersteund door veiligheidsregio’s, gemeenten, bedrijven en maatschappelijke organisaties.
Specifiek voor stroomuitval staan op denkvooruit.nl ook uitgebreide handelingsperspectieven. In november 2024 is er in de tv-uitzending BlackOut op realistische wijze invulling gegeven aan het scenario van langdurige stroomuitval, de gevolgen ervan en hoe de Nederlandse samenleving hierop kan worden voorbereid. Onder andere het Ministerie van KGG, de NCTV en TenneT hebben inhoudelijk aan deze uitzending bijgedragen. Medio 2025 start een meerjarige publiekscampagne (rijksoverheid, andere overheden, bedrijven en maatschappelijke organisaties) om de maatschappelijke weerbaarheid bij langdurige uitval van dagelijkse voorzieningen (ongeacht de aard van de dreiging) verder te verhogen.

Vraag 9

Kunt u deze vragen beantwoorden vóór het commissiedebat Nationale veiligheid en weerbaarheid van de vaste commissie voor Justitie en Veiligheid op 15 mei 2025?

Ja.

Vraag 1

Welke concrete kansen en risico’s ziet u vanuit emancipatieperspectief met betrekking tot het ontwikkelen en gebruiken van AI en algoritmen in zowel individuele als publieke- en private toepassingen?

Het kabinet keurt iedere vorm van discriminatie af. Om discriminatie tegen te gaan hanteert het kabinet een evenwichtige aanpak, waarbij benadrukt dient te worden dat alle groepen in de samenleving hierin voor de overheid gelijk zijn. Vanuit emancipatieperspectief ziet het kabinet zowel kansen als risico’s in de ontwikkeling en toepassing van AI. AI kan bijdragen aan gelijke kansen, bijvoorbeeld door biasbewuste algoritmen in werving of onderwijs. Maar AIsystemen en algoritmen kunnen ook (onbewuste) bias bevatten, bijvoorbeeld doordat ze ontwikkeld zijn op basis van data die voornamelijk mannelijke kenmerken weerspiegelt1, of waarin bepaalde groepen onvoldoende zijn vertegenwoordigd, waardoor deze systemen mogelijk ook minder goed werken voor deze groepen. Een voorbeeld hiervan is het potentiële effect van AI op lhbtqia+-ongelijkheid, dat uit een onderzoek van het Ministerie van OCW naar voren kwam.2 Daarnaast bestaan er risico’s in specifieke toepassingen, zoals het gebruik van AI-gedreven «uitkleedapps» onder leerlingen in het voortgezet onderwijs, wat schadelijk is voor de veiligheid van met name meisjes.
Een ander risico is gelegen in de geringe vertegenwoordiging van vrouwen in ICT-beroepen. In Europees verband heeft Nederland zich vastgelegd om toe te werken naar een groter aantal ICT-specialisten met een groter aandeel vrouwen. In het meeste recente rapport over het Digitaal Decennium gaf de Europese Commissie aan dat er in Nederland genderonevenwichtigheden op dit gebied bestaan, omdat minder dan 25 procent van de werkende ICT-specialisten vrouw is en gaf zij de aanbeveling om programma’s op te zetten om het aantal jongeren (met name meisjes) dat belangstelling heeft voor ICT-studies of -loopbanen te vergroten.3 Recent heeft de Europese Commissie bij de Unie van Vaardigheden ook een strategisch plan voor STEM-onderwijs voorgesteld met bijzondere aandacht voor meisjes. In de kabinetsreactie is de aandacht hiervoor verwelkomd en is ook ingegaan op het Nederlandse beleid op dit gebied.4 Zo is Nederland in 2025 bijvoorbeeld het Nationaal Groeifondsproject Techkwadraat van start gegaan, waarin aandacht voor het betrekken van ondervertegenwoordigde groepen, waaronder meisjes, een verplicht onderdeel is.5

Vraag 2

Deelt u de verwachting dat AI-systemen in Nederland genderbias en discriminatie kunnen versterken?

Het is bekend dat bepaalde toepassingen van AI-systemen gevoelig kunnen zijn voor vooringenomenheid (bias) en een risico op discriminatie met zich meebrengen. Enkele voorbeelden hiervan zijn AI-systemen voor biometrische identificatie, voor het bepalen van toelating tot onderwijs of beroepsopleidingen, voor werving en selectie op de arbeidsmarkt en voor evaluatie van de kredietwaardigheid van personen. Dergelijke toepassingen kunnen vertekende effecten geven met betrekking tot geslacht en discriminerend zijn ten aanzien van vrouwen.
Hoewel AI-technologie dit risico in zich heeft, gebeurt er veel om dit te voorkomen. De bewustwording over risico’s rondom genderbias en discriminatie bij het gebruik van AI is bij gebruikers, experts en burgers in de afgelopen jaren toegenomen. De verwachting is dat de AI-verordening verder zal bijdragen aan het voorkomen en terugdringen van genderbias en discriminatie in AI-systemen. De AI-verordening deelt AI-systemen in aan de hand van risico-categorieën. Afhankelijk van het risico, stelt de AI-verordening eisen om deze risico’s te beperken. Voor (sommige) hoog-risico AI-systemen gelden eisen met betrekking tot gebruikte datasets, waaronder een beoordeling van mogelijke vooringenomenheid die kan leiden tot discriminatie.

Vraag 3

Hoe ziet u er op toe dat het toenemende gebruik van AI-toepassingen en algoritmes bij publieke- en private organisaties genderbias en discriminatie niet versterken en kunt u dwingend optreden als dit wel het geval is?

Het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft verschillende instrumenten ontwikkeld die publieke en private organisaties kunnen ondersteunen bij het toetsen van AI-systemen en algoritmen op mogelijke bias en discriminatie, zoals de handreiking non-discriminatie by design en het Impact Assessment Mensenrechten en Algoritmen (IAMA) (specifiek voor overheidsorganisaties). Het Algoritmekader voor de overheid biedt een handzaam overzicht van kaders, maatregelen en hulpmiddelen om overheidsorganisaties te ondersteunen bij verantwoorde ontwikkeling en inzet van AI-systemen en algoritmes.6 In het Algoritmekader is expliciet aandacht voor mogelijke bias en discriminerende effecten. Organisaties zijn in eerste instantie zelf verantwoordelijk om ervoor te zorgen dat ze handelen conform wetgeving en normen.
Bij signalen van of klachten over discriminatie door algoritmische en AI-toepassingen kunnen toezichthouders optreden. Dit heeft zich in de afgelopen jaren ook een aantal keer voorgedaan. De Autoriteit Persoonsgegevens (AP) en het College voor de Rechten van de Mens (CRM) zien erop toe dat het handelen van publieke en private organisaties niet in strijd is met de Algemene Verordening Gegevensbescherming en non-discriminatiewetgeving. De AP, het CRM en de procureur-generaal bij de Hoge Raad (PGHR), de voorzitter van de Afdeling Bestuursrechtspraak Raad van State (ABRvS), het gerechtsbestuur van de Centrale Raad van Beroep (CRvB) en het gerechtsbestuur van het College van Beroep voor het bedrijfsleven (CBb) zijn voor de AI-verordening vastgesteld als autoriteiten voor de bescherming van grondrechten.7

Vraag 4

Welke lessen omtrent genderbias en discriminatie neemt u concreet mee uit eerdere toepassingen van AI-systemen?

In het eerder genoemde Algoritmekader voor de overheid zijn enkele voorbeelden genoemd van toepassingen die bias vertoonden en/of discriminerend waren.8 Het maken van indirect onderscheid is hierbij bijvoorbeeld een aandachtspunt. De afgelopen jaren is duidelijk geworden dat selectiecriteria die neutraal lijken, in combinatie met andere selectiecriteria, discriminerend kunnen uitpakken. Dit indirecte onderscheid valt in vergelijking met direct onderscheid minder op en vraagt daarom om extra zorgvuldige validatie. Hiertoe worden momenteel verschillende tools ontwikkeld en methodes verkend.

Vraag 5

Hoe worden deze lessen betrokken bij de beleidsontwikkeling op het gebied van AI-gebruik binnen de overheid?

De afgelopen twee jaar is op verschillende manieren gewerkt aan het vraagstuk van validatie en biasdetectie bij het gebruik van algoritmen en AI-systemen binnen de overheid. Dit gebeurt onder andere vanuit werkgroepen en bijeenkomsten met experts uit het maatschappelijk middenveld, de wetenschap en de overheid. Ook wordt hieraan gewerkt via innovatietrajecten die gericht zijn op technische oplossingen. Daarnaast zijn instrumenten als het IAMA en de handreiking non-discriminatie by design ontwikkeld. De eisen die de AI-verordening op dit punt stelt, waaronder eisen op het vlak van AI-geletterdheid, zullen zorgen dat medewerkers binnen en buiten de overheid meer kennis opdoen van AI-systemen en waar op te letten bij de toepassing van AI-systemen om negatieve effecten – zoals discriminatie – te voorkomen.

Vraag 6

Hoe zorgt u ervoor dat de kennis over de impliciete discriminatoire werking van AI-toepassingen en algoritmen binnen de overheid blijft groeien?

Eén van de taken van het Ministerie van BZK is het bijdragen aan het verantwoord gebruik van AI binnen de overheid. Hieraan wordt invulling gegeven door het stellen van kaders, het ondersteunen van overheden bij de implementatie van bestaande regels en het delen van lessen en best practices, zoals hiervoor benoemd. Door op dit onderwerp als overheden samen op te trekken moeten lessen niet beperkt blijven tot de organisatie waar deze geleerd zijn, maar breed gedeeld worden zodat ongewenste effecten van AI-gebruik ook elders worden voorkomen.
In het Algoritmekader is kennis over het zorgvuldig ontwikkelen en gebruik maken van AI te vinden, waaronder het voorkomen van de mogelijke discriminatoire werking van AI. Het eerder genoemde IAMA en de handreiking non-discriminatie by design zijn opgenomen, maar ook hulpmiddelen die door andere organisaties zijn ontwikkeld als het «Toetsingskader risicoprofilering – Normen tegen discriminatie op grond van ras en nationaliteit» van het CRM. Het een en ander is ook uiteengezet in eerdere brieven aan uw Kamer over dit onderwerp.9 Wanneer een overheidsorganisatie constateert dat een AI-systeem bevooroordeeld is of discrimineert, kan het gebruik maken van het discriminatieprotocol voor AI en algoritmes10 dat is ontwikkeld naar aanleiding van de motie-Van Baarle11.
Kennis wordt ook op andere manieren verspreid, zoals door middel van opleidingen. Het Leerplatform van de RijksAcademie voor Digitalisering en Informatisering Overheid (RADIO) biedt een e-learning «Non-discriminatie in algoritmes en data».12 De online cursus «AI en ethiek»13 besteedt aandacht aan «onbewuste discriminatie», deze cursus is ook mede met hulp van het Ministerie van BZK ontwikkeld. Tot slot is het waardevol om uw Kamer te wijzen op de nieuwe «community of practice Digitale ethiek voor overheden», waar overheidsorganisaties kennis en ervaringen delen over ethische vraagstukken, werkwijzen en instrumenten.14

Vraag 7

Op welke wijze worden de adviezen van de expertgroep Kunstmatige Intelligentie (2019) meegenomen in de huidige en toekomstige werkwijze en beleidsontwikkeling van het kabinet? Kunt u dit per advies toelichten?

De «High-Level Expert Group on AI» (AI HLEG) heeft adviezen uitgebracht15 over vereisten waaraan betrouwbare AI moet voldoen. Deze adviezen hebben een belangrijk fundament gelegd voor de AI-verordening en zijn (deels) vertaald naar normen die in de AI-verordening zijn opgenomen. Zo wordt in overweging 7 van de AI-verordening aangegeven dat bij het opstellen van de regels voor (hoogrisico-)AI-systemen, en de bescherming van grondrechten, gezondheid en veiligheid die deze regels moeten borgen, rekening is gehouden met de ethische richtsnoeren van de AI HLEG.

Vraag 8

Welke concrete maatregelen kunt u nemen om de kwaliteit en representativiteit van trainingsdata voor AI te doen toenemen en bent u van plan dit te normeren en reguleren?

In artikel 10, derde lid, van de AI-verordening zijn ten aanzien van trainingsdata voor hoog-risico AI-systemen voorschriften opgenomen over de kwaliteit en representativiteit. De verantwoordelijkheid voor de kwaliteit van de trainingsdata ligt in eerste instantie bij aanbieders van AI-systemen. De nog aan te wijzen markttoezichthouder(s) zal straks toezien op naleving van de AI-verordening. Het CRM is, net als de overige in antwoord 3 genoemde instanties, aangewezen als grondrechtenautoriteit in de zin van de AI-verordening, gelet op zijn rol als nationaal instituut voor de rechten van de mens en als gelijkebehandelingsorgaan. Het CRM krijgt als grondrechtenautoriteit op grond van de AI-verordening aanvullende bevoegdheden om de bestaande taken effectief uit te kunnen voeren, zoals het opvragen en inzien van documentatie en de markttoezichtautoriteit vragen om het AI-systeem te mogen testen. Daarnaast worden de grondrechtenautoriteiten bij ernstige incidenten geïnformeerd.
Tot slot geeft het Ministerie van BZK via het Algoritmekader overheidsorganisaties handvatten om algoritmes en AI zorgvuldig in te zetten, zo ook over het controleren van de kwaliteit van data.16 Ook in de recente «Overheidsbrede handreiking generatieve AI» wordt aandacht gevraagd voor ethische aspecten rondom (trainings)data om zo discriminatoire effecten te voorkomen.17

Vraag 9

Op welke manier gaat u zich inzetten om ongelijkheden bij het gebruik van AI-systemen te voorkomen en wat vraagt dit van de samenwerking van Nederland met de andere EU-lidstaten?

De eerder genoemde AI-verordening zorgt voor een gelijk speelveld voor de ontwikkeling en het gebruik van AI-systemen binnen de Europese Unie (EU). In EU-verband wordt rond dit onderwerp goed samengewerkt. Het kabinet neemt hierin ook een actieve rol, onder meer door de Nederlandse ervaringen met het eerder genoemde IAMA te delen en te participeren in de initiatieven om te komen tot standaarden voor het ontwikkelen en gebruiken van AI-systemen, bijvoorbeeld via deelname aan de Europese AI Board.

Vraag 10

Wat is de rol van Nederland in het ontwikkelen van ethische en niet-discriminatoire AI-systemen en hoe gaat u hier richting aan geven bij de ontwikkelingen rondom de nationale AI-fabriek?

Binnen de Europese AI-fabrieken worden initiatieven gestimuleerd voor verantwoorde en transparante AI-ontwikkeling. Dit omvat het ontwikkelen en testen van AI-modellen, die voldoen aan bestaande wet- en regelgeving waaronder non-discriminatiewetgeving, aan nieuwe vereisten die de AI-verordening stelt en standaarden die uitlegbaar en begrijpelijk zijn voor gebruikers. Dit zal ook het geval zijn voor de in Nederland voorziene AI-fabriek. De kennis en ervaring die de Nederlandse overheid heeft opgedaan met bijvoorbeeld het toepasbaar maken van wet- en regelgeving in het Algoritmekader, zie het antwoord op vraag 6, of met audits worden in de AI-fabriek verder geoperationaliseerd.

Vraag 11

Welke expertise betrekt u bij de ontwikkeling van de nationale AI-fabriek om te waarborgen dat Nederlandse AI-modellen voldoen aan wettelijke en ethische kaders en welke wettelijke en ethische kaders stelt u daaraan?

Onderdeel van de AI-fabriek is een kenniscentrum om aanvragers van rekencapaciteit te ondersteunen. In dat kenniscentrum zullen AI-experts werken, maar vanzelfsprekend ook experts op het snijvlak van techniek, wet- en regelgeving en ethiek die kunnen adviseren over verantwoorde inzet. Het kabinet investeert in de AI-fabriek, juist om deze technologie op onze voorwaarden in te kunnen zetten.

Vraag 12

Stelt de overheid zelf proactief betrouwbare en representatieve data beschikbaar voor het ontwikkelen van ethische AI-toepassingen door Nederlandse en Europese leveranciers? Zo ja, kunt u toelichten om welke data het gaat?

Het actief beschikbaar stellen van betrouwbare, toegankelijke en representatieve data is een belangrijke voorwaarde voor het ontwikkelen van ethische AI-toepassingen. De overheid vervult hierin een faciliterende en kaderstellende rol, in samenwerking met publieke en private partners op nationaal en Europees niveau. Op data.overheid.nl zijn op dit moment meer dan 20.000 open datasets te vinden. Het uitgangspunt van het kabinet is dat alle open data die door Nederlandse overheden gepubliceerd wordt, geschikt is voor het ontwikkelen van ethische AI-toepassingen. Deze data wordt niet proactief beschikbaar gesteld specifiek voor het ontwikkelen van ethische AI-toepassingen door Nederlandse en Europese leveranciers. In beginsel is open data immers rechtenvrij en bevat het geen persoonsgegevens, waardoor het wel voor dit doel ingezet kan worden.
Nederland werkt actief mee aan de ontwikkeling van sectorale Europese dataspaces (zoals voor zorg, energie en landbouw), die onder meer betrouwbare en controleerbare data-infrastructuren bieden. Ook wordt gewerkt aan het Centre for Data Sharing & Cloud, het Nederlandse kennisnetwerk dat vrijwillige datadeling binnen en tussen sectoren bevordert, en het Nationaal Groeifonds. Het Nationaal Groeifonds is een katalysator geweest voor de ontwikkeling van data-ecosystemen in Nederland. In de eerste ronde financierde het Groeifonds Health-RI, een project dat het gebruik van gezondheidsdata stimuleert. In de tweede ronde financierde het Groeifonds Digitale Infrastructuur Logistiek (DIL), dat betrouwbare datadeling in de logistieke sector mogelijk maakt. Evenals Dutch Metropolitan Innovations (DMI), dat data-uitwisseling voor (stedelijke) mobiliteit, openbare ruimte en huisvesting faciliteert.
De Nederlandse overheid stelt, onder andere via PDOK, data.overheid.nl en Statline, hoogwaardige open data ter beschikking die allemaal via gecontroleerde metadatering machine-leesbaar en laagdrempelig beschikbaar zijn voor iedereen binnen en buiten Nederland (FAIR), en daarmee ook voor AI-toepassingen. Deze geanonimiseerde data is veilig te gebruiken ten aanzien van privacy. Zo stellen de ministeries van Economische Zaken (EZ), Klimaat en Groene Groei (KGG), en Landbouw, Visserij, Voedselzekerheid en Natuur (LVVN), en organisaties binnen het concern open data proactief beschikbaar en kan deze data worden gebruikt voor dit doel. Specifiek heeft het Centraal Bureau voor de Statistiek (CBS) tot taak het van overheidswege verrichten van statistisch onderzoek ten behoeve van praktijk, beleid en wetenschap en het openbaar maken van de op grond van zodanig onderzoek samengestelde statistieken. Daarmee is het CBS een belangrijke leverancier van hoogwaardige open data. Daarbij worden vele thema’s bestreken. Een van die thema’s is emancipatie. Aangezien de open data vrijelijk te downloaden en te gebruiken is, is het niet mogelijk bij te houden welke data waarvoor wordt gebruikt.
Bij het beschikbaar stellen van data wordt zorgvuldig aandacht besteed aan ethische randvoorwaarden, zoals het waarborgen van privacy en gegevensbescherming (volgens de AVG), het voorkomen van bias en het bevorderen van representativiteit van datasets, en transparantie over herkomst, kwaliteit en beperkingen van data.

Vraag 13

Op welke manier bent u van plan om de Routekaart voor Vrouwenrechten toe te passen in het nationaal beleid?

In het regeerprogramma zijn er keuzes gemaakt om de overheidsfinanciën gezond te houden. Deze bezuiniging daalt ook neer op het emancipatiedomein. Dit betekent dat vanuit emancipatie wordt ingezet op onderwerpen waar de kans op succes het grootst is. Het kabinet stelt daarom twee prioriteiten: «iedereen moet veilig kunnen zijn» en «iedereen moet volwaardig kunnen meedoen».20
Het effect van de voorgenomen bezuinigingen op het beschikbare subsidiebudget voor emancipatie is klein en lopende subsidies worden niet beïnvloed door de voorgenomen bezuinigingen.

Vraag 14

Hoe rijmen de voorgenomen bezuinigingen op het gebied van emancipatie met de groeiende uitdagingen met betrekking tot vrouwenrechten en rechten van lhtbiqia+ personen?

Vraag 15

Op welke manier verwacht u dat de Routekaart voor Vrouwenrechten gaat bijdragen aan gendergelijkheid in de Europese lidstaten die achterlopen op het Europees gemiddelde?

De roadmap dient als startschot voor de consultatie voor de nieuwe Europese strategie voor gendergelijkheid, die naar verwachting begin 2026 wordt gepubliceerd. Dit Europese beleidskader en mogelijk daaruit voortvloeiende wetsvoorstellen zijn EU-breed toepasbaar en helpen daardoor ook andere landen vooruit. De vorige strategie heeft ook in Nederland geleid tot concrete wetgeving op bijvoorbeeld het terrein van loontransparantie.

Vraag 16

Deelt u de zorgen dat gendergelijkheid in enkele EU-lidstaten, waaronder Hongarije en Polen, steeds verder achterop raakt?

Het kabinet maakt zich zorgen over de inperking van de rechten van vrouwen en lhbtqia+ personen, ook in Europa. Samen met de Minister van Buitenlandse Zaken zet de Staatssecretaris van OCW zich daarom structureel in om de fundamentele rechten en vrijheden in de EU te beschermen.21 Het kabinet vindt de recente anti-lhbtqia+-wetswijzigingen die zijn aangenomen in Hongarije zeer zorgelijk en heeft deze zorgen en afkeuring reeds op verschillende manieren overgebracht.22
Nederland heeft, namens achttien lidstaten, tijdens de informele EPSCO-gelijkheid van 16 april jl. een verklaring afgelegd waarin deze zorg scherp wordt geuit. Daarnaast heeft Nederland het initiatief genomen voor een tweede verklaring richting de Raad Algemene Zaken van 27 mei jl., die door twintig lidstaten is ondertekend.23 Hierin wordt Hongarije expliciet opgeroepen deze discriminerende wetgeving te herzien. Ook wordt de Europese Commissie verzocht volledig gebruik te maken van de rechtsstaatinstrumenten die zij ter beschikking heeft.

Vraag 17

Bent u het ermee eens dat de situatie van Roma in de EU zorgwekkend is?

Ja. Dit blijkt ook uit recentelijk onderzoek van het FRA (European Union Agency for Fundamental Rights).24

Vraag 18

Zou u nader kunnen toelichten in hoeverre de huidige beleidsmaatregelen ter bevordering van de gelijkheid, inclusie en participatie van de Roma en Sinti effectief is gebleken?

De maatschappelijke positie van Sinti en Roma in Nederland is nog altijd kwetsbaar. Zo zijn Sinti en Roma in het hoger onderwijs ondervertegenwoordigd, is de arbeidsmarktparticipatie relatief laag en ervaren zij op veel gebieden discriminatie. Dit blijkt uit de Monitor Sociale Inclusie 2023 naar de woon- en leefomstandigheden van Sinti en Roma in Nederland waarover uw Kamer op 5 juni 2024 is geïnformeerd.
Tegelijkertijd zijn de resultaten ook hoopvol op terreinen als onderwijs en de rol van jongeren en jonge Sinti en Roma ouders. Zo benoemen professionals in de Monitor een voorzichtige stijging in het onderwijsniveau van Sinti en Roma kinderen. Jonge ouders, die zelf volledig onderwijs hebben genoten, spelen daar een belangrijke rol in. Deze voorzichtige ontwikkeling in het onderwijsniveau kan volgens de onderzoekers voor de Sinti en Roma op termijn doorwerken in andere levensdomeinen.

Vraag 19

Zou u tevens nader kunnen toelichten in hoeverre verdere inspanningen vereist zijn ter bevordering van de gelijkheid, inclusie en participatie van de Roma en Sinti?

Om de maatschappelijke positie van Sinti en Roma te verbeteren hanteert Nederland, in lijn met het strategisch EU-kader, een generieke beleidsaanpak, aangevuld met specifieke maatregelen daar waar nodig. Op 5 juni 2024 is er een overzicht van dit beleid als bijlage van de Monitor met uw Kamer gedeeld. Om de posities van Sinti en Roma te verbeteren is onverminderd en langdurige inzet van vele partijen cruciaal.

Vraag 20

Zou u nader kunnen toelichten welke concrete maatregelen u neemt om de weerbaarheid van jonge mannen te vergroten met betrekking tot desinformatie en schadelijke wereldbeelden, zoals die gedeeld worden in de «manosphere»?

Het kabinet zet in op de aanpak van desinformatie binnen de Rijksbrede strategie effectieve aanpak desinformatie.25 Deze aanpak wordt gecoördineerd door het Ministerie van BZK. Binnen de aanpak zijn maatregelen opgenomen voor zowel het aanpakken van de verspreiders en verspreiding van desinformatie, als maatregelen die bijdragen aan het versterken van de weerbaarheid van leerlingen en burgers tegen desinformatie. Als onderdeel van de strategie financiert het Ministerie van OCW het Netwerk Mediawijsheid. Netwerk Mediawijsheid heeft vier maatschappelijke opgaven geïdentificeerd: (1) plezier, grip en profijt bij een leven in media, (2) digitale balans, (3) samen sociaal online en (4) weerbaarheid tegen desinformatie. Ook zet het kabinet in op digitale weerbaarheid door in het onderwijs aandacht te besteden aan digitale geletterdheid en burgerschap. De conceptkerndoelen die dit jaar voor beide leergebieden zijn gepubliceerd, schrijven scholen voor om aandacht te besteden aan de omgang met digitale media en de online identiteit van leerlingen.26 Daarnaast wil het kabinet discriminerende, racistische en haatdragende uitingen online tegengaan en voorkomen. Daarom komt de Minister van BZK nog voor de zomer met het plan van aanpak tegen online discriminatie, racisme en hate speech. Tevens loopt er vanuit het Ministerie van Sociale Zaken en Werkgelegenheid (SZW) een opdracht voor het opzetten van een samenwerkingsverband over de online sociale norm aan Netwerk Mediawijsheid en Diversion. In deze pilot werken jongeren op lokaal niveau verschillende interventies uit gericht op het tegengaan van online discriminatie, hate speech, radicalisering en polarisatie. Deze pilot zal naar verwachting aan het einde van het jaar worden afgerond. Ten slotte erkent het kabinet het belang van bewustwording en het aanpakken van ongelijkheid en schadelijke stereotypen. In het plan van aanpak «Stop femicide!» is aangekondigd dat – in aanvulling op het bestaande emancipatiebeleid – een mannenalliantie opgericht zal worden door de Staatssecretaris van OCW. Het streven is dat de alliantie begin 2026 is opgericht.

Vraag 21

Welke bewezen effectieve methoden zijn er om online radicalisering te voorkomen?

Daarnaast is een preventieve aanpak van belang, zoals genoemd in diverse onderzoeken naar online radicalisering.27 Het Ministerie van SZW heeft recent een inventarisatie laten uitvoeren van lokale interventies ter preventie van radicalisering en polarisatie, en hun bewezen effectiviteit.28 Dit rapport besteedt ook aandacht aan bewezen effectieve interventies gericht op het versterken van digitale weerbaarheid en mediawijsheid. Een voorbeeld hiervan is het lesprogramma «Under Pressure»voor jongeren. Deze methode richt zich op democratisch burgerschap en het weerbaar maken tegen desinformatie, en is in opdracht van het Ministerie van SZW en de NCTV geëvalueerd.29 Daarnaast zijn er verschillende lokale interventies gericht op digitale weerbaarheid gefaciliteerd en geëvalueerd vanuit de Agenda Veerkrachtige en Weerbare Samenleving. De resultaten van deze evaluaties komen na afronding van de pilotfase van het programma eind 2025 online beschikbaar. De aankomende periode zal de staatsecretaris Participatie en Integratie via de Actieagenda Integratie en Open en Vrije Samenleving verder investeren in de ontwikkeling en evaluatie van interventies om radicalisering te voorkomen, met speciale aandacht voor de rol van online.

Vraag 22

Met welke publieke- en private partners werkt u samen om deze methoden toe te passen en jonge mannen handvatten te bieden in de online wereld?

De Minister van Justitie en Veiligheid werkt samen met een online platform om de eerder genoemde ReDirect methode als pilot toe te passen. Deze methode is niet uitsluitend gericht op jonge mannen, maar op alle internetgebruikers van dit platform. In de Voortgangsbrief Versterkte Aanpak Online inzake extremistische en terroristische content wordt deze ReDirect pilot verder toegelicht, evenals de ambitie deze methode in samenwerking met meerdere online platforms te implementeren.30
Ten aanzien van het versterken van digitale weerbaarheid en mediawijsheid is er een belangrijke rol weggelegd voor gemeenten. De ministeries van Justitie en Veiligheid (JenV) en SZW ondersteunen vanuit de Versterkingsgelden verschillende interventies op lokaal niveau gericht op het vergroten van digitale weerbaarheid onder jongeren. Via deze gelden kunnen gemeenten projecten financieren die jongeren leren zorgwekkende online content en de mechanismen hieronder beter te herkennen. Hierbij wordt ook samengewerkt met andere lokale partners, zoals maatschappelijke organisaties en jongerenwerkers, die bijvoorbeeld via online activiteiten in contact kunnen komen met lastig te bereiken jongeren. Verder heeft het Ministerie van SZW in 2022 en 2023 verschillende Decentrale Uitkeringen verstrekt aan gemeenten voor het uitvoeren van interventies gericht op het versterken van digitale weerbaarheid onder jongeren. Deze inzet zal middels de Actieagenda Integratie en Open en Vrije Samenleving worden voortgezet.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja. De vragen zijn afzonderlijk beantwoord.

Vraag 1

Bent u bekend met het artikel getiteld «Online oplichting in Nederland stijgt schrikbarend: 2,4 miljoen slachtoffers»?1

Ja.

Vraag 2

Deelt u de mening dat het feit dat het aantal slachtoffers van online oplichting in Nederland is gestegen tot maar liefst 2,4 miljoen schrikbarend is? Zo ja, waarom? Zo nee, waarom niet?

Ieder slachtoffer van online fraude is er één te veel. Ik betreur het feit dat het aantal slachtoffers van online oplichting in 2024 ten opzichte van 2022 is gestegen.2 De maatschappelijke impact van online fraude is groot en het zorgt voor zowel financiële als mentale problemen bij slachtoffers. Mijn ministerie werkt daarom al enkele jaren gezamenlijk met publieke en private partners aan een integrale aanpak van online fraude.

Vraag 3

Kunt u verklaren hoe het komt dat vooral jongeren hierbij vaker getroffen worden dan ouderen: 20 procent van de 15- tot 25-jarigen, tegenover 10 procent van de 65-plussers?

Een groot deel van de 15–25-jarigen brengt veel tijd door op het internet. Ze maken dagelijks gebruik van apps, sociale media en websites waardoor zij meer risico lopen dan anderen. Criminelen die zich schuldig maken aan online fraudevormen maken hier handig gebruik van en richten zich in sommige situaties juist op deze groep potentiële slachtoffers. Zo plaatsen zij veelvuldig «te mooi om waar te zijn»-aanbiedingen op sociale media waarbij specifieke goederen die aantrekkelijk zijn voor jongeren worden aangeboden. Het Centrum voor Criminaliteitspreventie en Veiligheid werkt sinds enkele jaren samen met scholieren.com aan een preventiecampagne specifiek gericht op jongeren. Uit recent onderzoek is gebleken dat er nog veel winst te behalen valt met campagnes gericht op beveiligingsmaatregelingen die jongeren zelf kunnen treffen om hun kans op slachtofferschap te verkleinen.3 Dit is ook één van de zaken waar de pijler preventie en weerbaarheid van de integrale aanpak zich op richt.
Er zijn dan ook de nodige campagnes door de overheid ontwikkeld om burgers weerbaarder tegen gevaren online te maken, waaronder online fraude, zoals met social engineering campagnes, campagnes van veiliginternetten.nl etc.

Vraag 4

Kunt concreet aangeven welke concrete maatregelen er de afgelopen twee jaar genomen zijn om online oplichting tegen te gaan? Kunt u per maatregel aangeven wat het effect daarvan had moeten zijn op het tegengaan van die oplichting en wat het effect in de praktijk was?

Het kabinet investeert dit jaar 52,6 miljoen euro in de politie en de strafrechtketen voor de aanpak van cybercrime en gedigitaliseerde criminaliteit, waar online fraude een belangrijk onderdeel van uitmaakt. In de laatste Veiligheidsagenda zijn streefnormen van de politie opgenomen voor de aanpak. Dit bevat de streefnorm voor het minimumaantal verdachten, het aantal onderzoeken voor criminele samenwerkingsverbanden maar ook het percentage voor alternatieve afdoeningen. Over de behaalde resultaten wordt uw Kamer jaarlijks geïnformeerd in de voortgangsrapportage. Deze wordt op korte termijn aan uw Kamer toegestuurd.
Strafrecht alleen gaat online fraude niet oplossen, daarom is het van groot belang dat ook private partijen en het bedrijfsleven in het bijzonder online oplichting zo breed, effectief en efficiënt mogelijk aanpakken, om slachtofferschap te voorkomen. Sinds 2023 werkt mijn ministerie samen met het Ministerie van Economische Zaken, het Ministerie van Financiën, de politie, het Openbaar Ministerie, VNO-NCW/MKB Nederland, de Consumentenbond, de Nederlandse Vereniging van Banken (NVB), de Fraudehelpdesk en andere meldpunten, Slachtofferhulp Nederland, COIN, en Thuiswinkel.org in een integrale aanpak online fraude. Binnen de aanpak werken deze en andere partijen samen om het online oplichters zo moeilijk mogelijk te maken en slachtofferschap van burgers en ondernemers te voorkomen. Binnen de integrale aanpak wordt gewerkt langs vijf pijlers, waaronder barrières en interventies, preventie en weerbaarheid, en hulp aan slachtoffers. Zo wordt er geïnvesteerd in campagnes en het weerbaarder maken van burgers en bedrijven tegen online fraude en oplichting. In samenwerking met het Centrum voor Criminaliteitspreventie en Veiligheid zijn er folders met zogenoemde vuistregels en een specifieke tool ontwikkeld die burgers en bedrijven informeren over online oplichting en hen handvatten biedt om snel en efficiënt hulp te zoeken. Daarnaast werken de partners uit de integrale aanpak samen om de teksten op hun websites eenduidig te maken en hun dienstverlening zo goed mogelijk op elkaar af te stemmen. De politie heeft met Operatie Centurion de afgelopen jaren repressief ingezet en de inzet versterkt op het thema online criminaliteit. Deze projectmatige inzet wordt de komende jaren structureel geborgd.
Tot slot wil ik u wijzen op één van de vele initiatieven die publieke en private partners ondernemen: het initiatief «Bank voor de klas» waarbij banken in samenwerking met de politie in 2024 voorlichting hebben gegeven aan ruim 53.000 leerlingen in het basisonderwijs, het voortgezet onderwijs en het middelbaar beroepsonderwijs.4 Jongeren werden met dit initiatief wegwijs gemaakt met het herkennen en voorkomen van online fraude.
De effecten van de maatregelen die worden getroffen om online fraude tegen te gaan zijn moeilijk te meten. Pas op lange termijn zijn directe effecten van campagnes merkbaar. Daarnaast is het thema online fraude voortdurend aan verandering onderhevig en worden er steeds weer nieuwe vormen van online oplichting en fraude waargenomen.

Vraag 5

Is het waar dat slachtoffers van online oplichting zich vaak onvoldoende geholpen voelen door politie en justitie? Zo ja, hoe komt dat en wat wordt er gedaan om dit vertrouwen te herstellen? Zo nee, wat is er dan niet waar?

Politie en justitie pakken niet alle oplichtingszaken strafrechtelijk op, dat kan ook niet omdat daar niet genoeg capaciteit voor is. De politie en het Openbaar Ministerie kunnen niet aan alle strafbare feiten prioriteit geven en een strafrechtelijke opvolging is niet altijd mogelijk. Ook worden er wel eens fouten gemaakt, bijvoorbeeld bij het opnemen van een aangifte. De afgelopen periode zijn er maatregelen getroffen om de ondersteuning van mensen die te maken krijgen die te maken krijgen met online fraude te verbeteren.
De politie en het OM hebben samen met andere partijen de afgelopen jaren geïnvesteerd in een verbetering van de integrale aanpak van online fraude. Zo heeft de politie meerdere initiatieven gestart om de dienstverlening aan slachtoffers van online criminaliteit te verbeteren. Met het project digitale meldkamer gaat de politie bij online criminaliteit die net heeft plaatsgevonden of anderszins urgent is, direct ter plaatse voor het veiligstellen van sporen, het opnemen van de aangifte en het geven van slachtofferhulp. Uit evaluatie komt naar voren dat slachtoffers tevreden zijn over deze mogelijkheid. Dit project is onlangs in werking getreden in alle eenheden waardoor deze werkwijze tot standaard is verheven.5
Daarnaast hebben verschillende partners uit de integrale aanpak vuistregels ontwikkeld voor slachtoffers van online criminaliteit waardoor de informatievoorziening aan slachtoffers is verbeterd. Slachtoffers van aan- en verkoopfraude die online aangifte doen en wiens zaak niet strafrechtelijk wordt opgepakt, worden gewezen op de mogelijkheden die ze zelf kunnen ondernemen, waaronder het verhalen van de schade op de oplichter. Alle slachtoffers die aangifte doen worden gewezen op de mogelijkheid van slachtofferhulp. Indien zij dat aangeven, vindt doorverwijzing plaats naar Slachtofferhulp Nederland.
Verder investeert dit kabinet fors in de aanpak van gedigitaliseerde criminaliteit, waaronder online fraude, door de politie. De politie gaat een centrale voorziening voor gedigitaliseerde criminaliteit inrichten ten behoeve van de regionale eenheden en de Eenheid Landelijke Opsporing en Interventies. Bovendien zal de politie met de beschikbaar gestelde middelen de uitvoeringscapaciteit voor de aanpak van gedigitaliseerde criminaliteit in de eenheden vergroten. De kennis en vaardigheden van digitale opsporing gaat politie ook vergroten met de toegekende gelden. Bovendien heeft de politie aandacht voor de impact van online oplichting op slachtoffers en past haar werkwijzen daarop aan.6 De politie stimuleert de aangiftebereidheid en meldingsbereidheid van online fraude, maar wijst (mogelijke) slachtoffers ook op manieren of instanties voor het verkrijgen van (gedeeltelijke) genoegdoening, zoals civiel schadeverhaal, het verwijderen van online berichten of emotionele hulp.

Vraag 6

Wordt er vanuit de justitiële autoriteiten effectief samengewerkt met banken, online platforms en telecomaanbieders om oplichting te voorkomen en snel op te treden bij signalen van fraude? Waar bestaat die samenwerking concreet uit en waaruit blijkt dat die samenwerking effectief is? Acht u het nodig die samenwerking te intensiveren en op welke wijze gaat u dat doen?

In het kader van de integrale aanpak online fraude werken de politie en het Openbaar Ministerie regelmatig samen met banken en telecomaanbieders. Deze samenwerking heeft onder andere geleid tot het sluiten van bankrekeningen van meerdere stelselmatige fraudeurs. Daarnaast wordt onder meer gewerkt aan de knelpunten bij gegevensdeling die worden ervaren in de samenwerking met banken, telecomaanbieders en online platformen. In de volgende voortgangsbrief over de integrale aanpak van online fraude zal ik u hier nader over informeren. Begin dit jaar heeft de Minister van Economische Zaken u geïnformeerd voornemens te zijn een voorstel in te dienen om de Telecommunicatiewet aan te passen om het misbruik van telecommunicatievoorzieningen te bestrijden ten behoeve van de aanpak van online fraude.7
In aanvulling op het antwoord op vraag 4 verwijs ik naar de verschillende samenwerkingsvormen zoals het Landelijk Meldpunt Internetoplichting (LMIO) en Electronic Crimes Taskforce (ECTF). Het LMIO is een samenwerking tussen de politie, banken, het Openbaar Ministerie, Marktplaats en internetserviceproviders. Het doel van LMIO is om internetoplichting, vooral in online handelsomgevingen, te verminderen door aangiftes te behandelen, te analyseren en te veredelen, en door samen te werken aan het signaleren en aanpakken van oplichters. Het ECTF is in 2011 opgericht met als doel om in publiek-privaat verband digitale criminaliteit te bestrijden. Deze samenwerkingen zijn waardevol, aangezien gedigitaliseerde criminaliteit een complex maatschappelijk probleem is en dit niet alleen met het strafrecht is op te lossen.

Vraag 7

Hoe vaak hebben slachtoffers van online oplichting in 2024 een verzoek gedaan bij de banken om via de PNBF-regeling terugbetaling te vorderen van hun oplichters? En hoe vaak hebben zij bij weigering hiervan de NAW-gegevens van hun oplichters opgevraagd en gekregen?

Zoals ik heb aangegeven in de beantwoording van eerdere vragen van het lid Mutluer, bevestigt de Betaalvereniging Nederland dat de toepassing niet centraal wordt geregistreerd en dat dit een aangelegenheid is van individuele banken in hun hulp aan slachtoffers en de wederkerige bereidheid van twee banken om primair buitengerechtelijke bemiddeling mogelijk te maken tussen hun beider rekeninghouders.8 Het is daardoor niet mogelijk om een overzicht te verkrijgen van het aantal verzoeken in het kader van de PNBF-regeling (de Procedure NAW-gegevens Begunstigde bij niet-bancaire Fraude).

Vraag 8

Kunt u aangeven hoe gevolg is gegeven aan motie-Mutluer2 waarbij is gevraagd om in samenspraak met Betaalvereniging Nederland en de Nederlandse Vereniging van Banken de PNBF-regeling bekender te maken en uit te bereiden naar paymentserviceproviders?

Mijn ministerie is aan het begin van dit jaar in gesprek gegaan met de Betaalvereniging Nederland over de PNBF-regeling. De Betaalvereniging Nederland (BVN) heeft in dit gesprek bevestigd dat er met de aangesloten Nederlandse banken, leden en Nederlandse Payment Service Providers een regeling hieromtrent is afgesproken. Deze regeling ziet op het volgende: de bank van het slachtoffer informeert de eigen rekeninghouder over de mogelijkheid van het indienen van een terugbetalingsverzoek en in een latere fase onder voorwaarden een verzoek tot verstrekking van NAW-gegevens. Deze afgesproken regeling betreft een interbancaire voorziening die de leden op vrijwillige basis aanbieden. Aangezien een bank – van ogenschijnlijk betrouwbare transacties – niet kan zien dat een betaalopdracht werd gegeven onder invloed van een strafbaar feit, is van belang te vermelden dat de gedupeerde rekeninghouder wel zelf contact met de bank zoekt alvorens de bank de rekeninghouder over deze optie kan informeren. Ook de bij de BVN aangesloten Payment Service Providers kunnen deze regeling reeds toepassen.
Ten aanzien van de bekendheid van de PNBF kan ik bevestigen dat BVN en NVB onderschrijven dat informatieverstrekking vanuit banken over de PNBF actief gebeurt, zoals ook via de website www.veiligbankieren.nl.
Tot slot blijft de inzet van PNBF beperkt omdat toepassing hiervan beperkt is tot wegsluizen van frauduleuze gelden van Nederlandse rekeningnummers naar NL IBAN-nummers. Criminelen zoeken manieren om geld weg te sluizen waar de pakkans het kleinst is. De Nederlandsche Vereniging van banken geeft aan te zien dat het merendeel van de frauduleuze gelden nu rechtstreeks richting buitenland gaat, gepind wordt, in crypto worden omgezet, of via (internationale) Payment Service Providers weggesluisd wordt.

Vraag 9

Deelt u de mening dat de bestrijding van online oplichting meer prioriteit zou moeten krijgen binnen het justitie- en veiligheidsdomein? Zo ja, worden er in dat licht meer capaciteit en middelen vrij gemaakt voor de opsporing en vervolging van digitale fraude en online oplichting? Zo nee, waarom niet?

Online oplichting is één van de grootste criminaliteitsvormen en is schaalbaar, internationaal en daarom een hardnekkig fenomeen dat bestreden moet worden. Zoals ik in antwoord op vraag 4 heb toegelicht investeert dit kabinet 52,6 miljoen euro in de politie en de strafrechtketen voor de aanpak van cybercrime en gedigitaliseerde criminaliteit, waar online fraude een belangrijk onderdeel van uitmaakt. Ook de politie spant zich conform de Veiligheidsagenda in voor de bestrijding van gedigitaliseerde criminaliteit. De verwachting is dat dit een belangrijk thema blijft voor de komende jaren. Zoals ook toegelicht is de rol van alleen het strafrecht onvoldoende. Daarom is er ook geïnvesteerd in een integrale samenwerking met publieke en private partijen. In dit kader wijs ik u op mijn antwoord op vraag 5.

Vraag 10

Welke rol ziet u voor het Nationaal Cyber Security Centrum (NCSC), het Digital Trust Center (DTC) en andere instanties in de aanpak van deze problematiek?

Ik zie in het geval van online oplichting maar een beperkte rol weggelegd voor het Nationaal Cyber Security Centrum (NCSC). Online oplichting is een vorm van gedigitaliseerde criminaliteit, daar waar het NCSC zich richt op de cybersecurity van Nederland en de bescherming van de digitale infrastructuur. Het NCSC signaleert algemene trends op het gebied van cybersecurity, deelt dreigingsinformatie en ontwikkelt handreikingen, handelingsperspectieven en praktische richtlijnen om organisaties en burgers te ondersteunen bij het versterken van hun digitale weerbaarheid. Daarnaast publiceert het beveiligingsadviezen en -rapporten en werkt het intensief samen met verschillende veiligheidsinstanties.
Het Digital Trust Center (DTC) is een belangrijke partner in de bestrijding van online fraude. Het DTC informeert ondernemers hoe zij veilig digitaal kunnen ondernemen, bijvoorbeeld door het aanbieden van de Basisscan Cyberweerbaarheid en de CyberVeilig Check voor zzp en mkb. Ook biedt de organisatie een praktische actielijst aan met behulpzame activiteiten en tips om ondernemingen digitaal weerbaar te maken. Daarnaast hebben het NCSC en DTC recent vijf basisprincipes van digitale weerbaarheid opgesteld, die organisaties handvatten bieden voor het ontwikkelen van een gezonde en degelijke cyberbeveiligingsstrategie.

Vraag 1

Bent u bekend met de berichtgeving «Ministeries getroffen door groot datalek» van BNR?1

Ja.

Vraag 2

Welke gegevens zijn er allemaal «weggelekt»?

Het gaat om persoonsgegevens die zijn opgenomen in de zogenoemde embedded metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 3

Hoe heeft het datalek kunnen ontstaan?

Het probleem ontstaat als een document bij de omzetting naar een publicatieformat niet goed is ontdaan van de betreffende metadata. Het opschonen van metadata is niet centraal ingeregeld, maar een intern proces van de departementen.

Vraag 4

Wanneer was u op de hoogte van het datalek bij uw ministerie?

We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media.

Vraag 5

Waarom heeft u de Kamer niet geïnformeerd over het datalek?

Het gaat hier helaas om een actief datalek. We bevinden ons nog in de eerste fase van de aanpak van het datalek. De werkwijze voor deze fase is gericht op het analyseren van de situatie (wat is er gebeurd, wat is de exacte omvang, hoe kan het worden opgelost) en het beperken van de schade. In de eerste fase wordt ook een inschatting gemaakt van de risico’s.
In dit geval was publicatie in het openbaar in deze fase – waaronder het informeren van uw Kamer – onwenselijk, omdat brede bekendheid van een actief lek kan leiden tot een vergroot risico op misbruik van persoonsgegevens. Ik betreur dan ook zeer dat deze informatie voortijdig naar buiten is gekomen. Ik zou uw Kamer uiteraard geïnformeerd hebben zodra er meer helderheid was over de omvang van het probleem en het lek was gedicht.

Vraag 6

Waarom moest de Kamer dit nieuws vernemen via de media?

Ik betreur het zeer dat deze informatie via de media naar buiten is gekomen. De aanpak van het lek was nog niet in het stadium om hiermee al naar buiten te treden. Zie ook het antwoord op vraag 5.

Vraag 7

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met de berichtgeving omtrent de grote datalekken bij verschillende ministeries? Zo ja, wanneer bent u geïnformeerd over deze datalekken en bij welke ministeries zijn deze geconstateerd?1

Ja. We zijn op 10 april op de hoogte gebracht, nadat het lek was gemeld in de media. Het lek is geconstateerd bij alle ministeries.

Vraag 2

Klopt de berichtgeving dat deze datalekken een «privacyprobleem» betreffen en kunt u deze gebruikte term definiëren alsook verklaren waarom er bij de constatering dat het om een privacyprobleem ging niet direct geschakeld werd met de Autoriteit Persoonsgegevens?

Ja, het lek raakt de privacy van ambtenaren. Ambtenaren moeten zich veilig voelen om hun werk te kunnen doen, zonder daar in persoon op aangesproken te worden. Dit lek maakt het in sommige gevallen mogelijk om individuele ambtenaren te relateren aan bepaalde documenten. Dat is onwenselijk. Er is door de getroffen ministeries een eerste melding gedaan bij de Autoriteit Persoonsgegevens. Door BZK-VRO is op 8 april een gemeenschappelijke melding gedaan, mede namens VWS, J&V, A&M, EZ, KGG en LVVN. Deze melding is later aangevuld met OCW en I&W. De andere ministeries hebben zelfstandig melding gedaan. Na afronding van het onderzoek zullen de meldingen aangevuld worden;

Vraag 3

Welke informatie is er vrijgekomen als gevolg van deze datalekken en bevat deze informatie ook persoonsgegevens?

Het gaat om persoonsgegevens die zijn opgenomen in de metadata van een deel van de gepubliceerde documenten (onder andere Kamerbrieven en beslisnota’s) van de Rijksoverheid. Het gaat bijvoorbeeld om de namen van ambtenaren of hun gebruikersnaam en in een beperkt aantal gevallen een telefoonnummer.

Vraag 4

Welke maatregelen zijn getroffen om deze datalekken tegen te gaan en is daarmee erger voorkomen?

De volgende maatregelen zijn getroffen:
In de meeste gevallen zijn dit soort maatregelen voldoende om de gevolgen van een datalek te beperken. Echter, in dit geval gaat het om een actief lek dat al breed bekend is vanwege de berichten hierover in de media. De gevolgen hiervan kunnen we op dit moment niet goed overzien. Ik wil daarom nogmaals benadrukken dat ik het zeer betreur dat deze informatie voortijdig naar buiten is gekomen.

Vraag 5

Zijn er aanwijzingen dat het gaat om een statelijke actor?

Nee, dit datalek is niet veroorzaakt door statelijke actoren. Het datalek is ontstaan doordat de metadata voor publicatie niet goed is ontdaan van de gegevens die zijn beschreven in het antwoord op vraag 3.

Vraag 1

Bent u bekend met het bericht van de Consumentenbond «Tieneraccounts maken Instagram niet direct «veilig»»1?

Ja, hier zijn wij mee bekend.

Vraag 2

Deelt u de conclusies van het onderzoek? Kunt u afzonderlijk in gaan op de conclusies van de Consumentenbond?

Het kabinet vindt het belangrijk dat sociale mediaplatforms maatregelen nemen om minderjarigen op hun platforms te beschermen. Tieneraccounts kunnen een stap in de goede richting zijn, maar ook Tieneraccounts nemen niet alle risico’s weg. Zo moet er rekening mee worden gehouden dat kinderen vaak een andere leeftijd invullen dan dat ze daadwerkelijk zijn. Platforms kunnen daarom niet blind vertrouwen op Tieneraccounts en moeten ook aanvullende maatregelen nemen om te voorkomen dat kinderen worden blootgesteld aan schadelijke content, schadelijk contact of worden aangezet tot gedrag dat schadelijk voor hen is door bijvoorbeeld gebruik te maken van verslavende ontwerptechnieken om gebruikers zo lang mogelijk online te houden.
De Digitaledienstenverordening (DSA) verplicht onlineplatforms die toegankelijk zijn voor minderjarigen om passende en evenredige maatregelen te nemen om een hoog niveau van privacy, veiligheid en bescherming van minderjarigen binnen hun dienst te waarborgen.
Zeer grote online platforms moeten daarnaast op grond van de DSA ook de systeemrisico’s in kaart brengen en mitigeren. Het gaat hierbij onder andere om de werkelijke of voorzienbare negatieve effecten op de bescherming van minderjarigen.
Het is uiteindelijk aan de toezichthouders om vast te stellen of er sprake is van schending van wettelijke verplichtingen. Het is daarom ook aan de onafhankelijke toezichthouders, en daarna eventueel de rechter, om vast te stellen of de bevindingen van de Consumentenbond kloppen.

Vraag 3

Wat is uw reactie op de problemen die de Consumentenbond schetst rondom schermverslaving, een negatief zelfbeeld, en continue privacyschending door Instagram?

Het kabinet vindt het belangrijk dat de risico’s voor minderjarigen van online diensten zo veel mogelijk worden ingeperkt. Het is zorgelijk dat steeds meer minderjarigen te veel online zijn en beelden zien die slecht zijn voor hun zelfbeeld. Om de negatieve effecten van online diensten voor minderjarigen te beperken, wordt er ook in nieuwere wetgeving steeds meer rekening gehouden met de kwetsbare positie van kinderen, juist ook bij het gebruik van onlinediensten. Een voorbeeld daarvan is de onder vraag 2 genoemde DSA. De Europese Commissie is vorig jaar in dat kader ook een onderzoek gestart naar de naleving van de DSA door Meta bij hun dienst Instagram. Dit ziet het kabinet als een goede stap in de bescherming van kinderen tegen de schadelijke effecten van bijvoorbeeld sociale mediadiensten. Tegelijkertijd zijn de problemen nog niet opgelost.
De Europese Commissie is vorig jaar in het kader van de DSA een nalevingsonderzoek gestart naar de maatregelen die Meta heeft genomen om minderjarigen te beschermen tegen de risico’s van verslavende ontwerpkeuzes en ongepaste content, o.a. door te kijken naar de manieren van leeftijdsverificatie die Meta gebruikt. Ook kijkt de Commissie naar de standaard privacy instellingen voor minderjarigen als onderdeel van het ontwerp en de werking van hun aanbevelingssystemen. De resultaten van dit onderzoek zijn nog niet gepubliceerd. Het kabinet houdt dit nauwlettend in de gaten.

Vraag 4

Zijn de conclusies van het Consumentenbond-onderzoek voor u aanleiding om Meta aan te spreken op haar verantwoordelijkheid om jongeren daadwerkelijk te beschermen? Indien Meta «tieneraccounts» niet daadwerkelijk veilig maakt, welke gevolgen moet dat wat u betreft hebben?

Het kabinet vindt het belangrijk om in gesprek te blijven met de aanbieders van grote sociale mediaplatforms, zoals Meta, om hen te wijzen op hun verantwoordelijkheden en zorgplicht tegenover hun jonge gebruikers. Dit zijn stevige gesprekken. Het is echter uiteindelijk aan de toezichthouders om eventuele schendingen van wettelijke verplichtingen vast te stellen en hier waar nodig sancties aan te verbinden. Tijdens de (informele) EU-Gezondheidsraad heeft de voormalig Staatssecretaris van Jeugd, Preventie en Sport (JPS) nog benadrukt dat er op Europees niveau meer moet worden ondernomen om grote platforms te dwingen een gezonde en veilige online omgeving te bieden en zich aan Europese wet- en regelgeving te houden.

Vraag 5

Deelt u de mening van de indiener dat de online gezondheid van jongeren niet aan techgiganten moet worden overgelaten, maar een verantwoordelijkheid is van deskundigen en de overheid?

Het kabinet erkent dat commerciële belangen van deze bedrijven niet altijd in lijn zijn met de belangen van jongeren. De verantwoordelijkheid voor de online gezondheid van jongeren kan dan ook niet eenzijdig bij techbedrijven worden neergelegd. Het is een gezamenlijke opgave om minderjarigen online beter te beschermen. Gedeelde verantwoordelijkheid is echter geen excuus om niet het maximale te doen om het welzijn en de gezondheid van jongeren te beschermen. Het kabinet zet zich daarom actief in voor strenge kaders en toezicht op dit gebied. De eerder besproken verplichtingen uit de DSA zijn hiervan een goed voorbeeld. Deze regels zijn niet vrijblijvend, maar zijn afdwingbaar. De Europese Commissie en de ACM en de AP zien toe op de naleving hiervan. Naast handhaving zet de overheid ook in op het de ontwikkeling van instrumenten om ontwikkelaars van onlinediensten te ondersteunen bij het creëren van leeftijdsgeschikte ontwerpen, waarbij de risico’s op schending van kinderrechten zoveel mogelijk worden beperkt. Zo heeft het vorige kabinet een kinderrechten impact assessment (KIA) ontwikkeld en een geactualiseerde Code voor kinderrechten opgesteld. Deze KIA is toegepast op de drie grote sociale mediaplatforms Instagram, Snapchat en TikTok. De resultaten hiervan zullen binnenkort met uw Kamer worden gedeeld.
Ook ouders spelen een belangrijke rol bij de gedeelde opgave om minderjarigen online beter te beschermen. Om hen hierbij te ondersteunen zet het kabinet in op meer bewustwording en het versterken van opvoedvaardigheden. Er is een richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik opgesteld om ouders te ondersteunen bij de online opvoeding van hun kinderen. Deze richtlijn is 17 juni aan uw Kamer aangeboden2. Na de zomer gaat ook een publiekscampagne van start die zich primair richt op ouders/ opvoeders (zie meer hierover onder vraag 8).

Vraag 6

Welke verslavende ontwerpkeuzes kent Instagram? Kunt u deze op basis van onderzoek benoemen?

Het is niet bekend van welke verslavende ontwerpkeuzes precies gebruik wordt gemaakt op Instagram. De Europese Commissie doet echter, zoals toegelicht onder vraag 3, onderzoek naar o.a. verslavende ontwerpkeuzes en de werking van de aanbevelingsalgoritmen. Bij dit onderzoek kijkt de Commissie of de ontwerpkeuzes en aanbevelingsalgoritmen negatieve gevolgen hebben voor de veiligheid van minderjarigen. Dit onderzoek loopt nog en op dit moment is nog niet bekend wanneer dit wordt afgerond.

Vraag 7

Vindt u dat een Digitale Kijkwijzer voor sociale media, die de vertrouwde methodiek volgt van het Nederlands Instituut voor de Classificatie van Audiovisuele Media (NICAM), een effectieve methode zou zijn om verslavende ontwerpkeuzes te onderzoeken en gebruikers te behoeden voor de gezondheidsrisico’s daarvan?

Het rapport op basis waarvan de Gamecheck ontworpen kan worden, wordt in het najaar verwacht. De Staatssecretaris van BZK bekijkt in overleg met NICAM of de Gamecheck en de Gamewijzer van NICAM geïntegreerd kunnen worden. De daarmee opgedane ervaring wordt benut om te bezien of dit (geïntegreerde) instrument kan worden verbreed tot een digitale kijkwijzer. De richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik wordt daarin meegenomen.

Vraag 8

Deelt u de mening dat het adverteren van een «tieneraccount» dat niet daadwerkelijk doet wat het belooft een vorm van schijnveiligheid biedt, en daarmee jongeren en ouders verkeerd informeert?

We zijn van mening dat het geen goede ontwikkeling is als ouders het idee hebben dat door gebruik te maken van Tieneraccounts alle risico’s zijn weggenomen. Daarom vindt het kabinet het belangrijk dat ouders en kinderen handvatten wordt geboden hoe de risico’s online te herkennen en hiermee om te gaan. Na de zomer starten we daarom met een meerjarige publiekscampagne. Bij deze campagne worden ouders gestimuleerd om hun kinderen online te beschermen en hen hierbij te ondersteunen met praktische tips, bijvoorbeeld over hoe ze afspraken maken en met hun kinderen in gesprek kunnen gaan over de digitale wereld, hoe ze apps zo kunnen instellen dat hun kinderen zo veilig mogelijk zijn en hoe ze met hun kind kunnen praten over risico’s. We geven ouders een duidelijke richtlijn mee over gezond smartphone- en schermgebruik.

Vraag 9

Erkent u dat het commerciële belang van techbedrijven om zo lang mogelijk de aandacht van een gebruiker te trekken, fundamenteel in strijd is met de belangen van (mentale) gezondheid en online veiligheid?

Het kabinet erkent dat het commerciële belang van techbedrijven in strijd kan zijn met de belangen van (mentale) gezondheid en online veiligheid.
Jongeren besteden steeds meer tijd op sociale media, zoals Instagram, TikTok en Snapchat3. Onderzoek laat zien dat er steeds meer jongeren zijn die een risico lopen op problematisch social mediagebruik4. Van problematisch gebruik is sprake als het sociale media gebruik bijvoorbeeld leidt tot controleverlies, slaaptekort of een sociaal conflict. Deze toename is zorgwekkend, omdat jongeren die sociale media op een problematische manier gebruiken ook meer negatieve gevolgen ervaren, zoals angst, depressieve gevoelens en slaapproblemen.
Het kabinet vindt het daarom belangrijk om schadelijk en ongezond scherm- en sociale mediagebruik te ontmoedigen en gezond en positief gedrag te stimuleren. Dit doen we door, zoals in vraag 5 ook genoemd, inzet op meer bewustwording en het versterken van de online opvoedvaardigheden o.a. via de richtlijn voor «gezond en verantwoord scherm- en social mediagebruik» en de meerjarige publiekscampagne.

Vraag 10

Vindt u het uitlegbaar dat techbedrijven überhaupt zelf de voorwaarden voor een tieneraccount mogen stellen, nu blijkt dat het niet doet wat het belooft en de belangen in de kern tegenstrijdig zijn?

Bedrijven kunnen zelf afwegingen maken bij het inrichten van hun diensten. Uiteraard dient hierbij wel altijd te worden voldaan aan toepasselijke regelgeving, zoals de DSA, het consumentenrecht en de Algemene Verordening Gegevensbescherming (AVG). Commerciële belangen mogen hierbij niet zwaarder wegen dan de rechten van kinderen.

Vraag 11

Is de voorwaarde dat ouders zelf ook een Instagram-account moeten hebben om een tieneraccount in te stellen redelijk volgens u? Wat betekent dit voor ouders zonder Instagram-account?

Naast wetgeving en toezicht ziet het kabinet een belangrijke rol voor ouders. Zij hebben de verantwoordelijkheid om hun kinderen te begeleiden en het goede voorbeeld te geven. Wanneer ouders zelf actief zijn op een sociale mediaplatform, kunnen zij beter inzicht krijgen in de werking, gebruikersvoorwaarden, ouderlijke toezicht-instrumenten en risico’s van de dienst. Op deze manier kunnen ze hun kinderen begeleiden bij veilig en verantwoord sociale mediagebruik. Omdat ouders niet altijd goed weten hoe zij hun kinderen moeten begeleiden, start na de zomer een uitgebreide campagne hierover.
Tegelijkertijd ligt de verantwoordelijkheid zeker niet alleen bij de ouders. Niet alle ouders beschikken over voldoende digitale vaardigheid of hebben toegang tot de benodigde technologie. Ook staat het ouders natuurlijk vrij om zelf de keuze te maken om niet actief te zijn op sociale media. Het is belangrijk dat platforms ook rekening houden met deze ouders. Platforms moeten daarom niet enkel op Tieneraccounts leunen, maar er ook op toezien dat hun platforms in algemene zin veilig zijn voor minderjarigen en vrij zijn van schadelijke content en verslavende elementen.

Vraag 12

Hoe bent u van plan om nationaal de schermtijd te verlagen? Welke maatregelen nemen andere EU-landen om hier op te sturen? Zijn deze maatregelen effectief?

Het kabinet wil jongeren beschermen, gezond opgroeien van jeugdigen in de digitale wereld stimuleren en opvoeders meer handelingsperspectief bieden op dit gebied. Dat betekent ook de negatieve effecten van overmatig schermgebruik tegengaan. Op 17 juni jl. is door de voormalig Staatssecretaris van JPS de richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik aan uw Kamer aangeboden. Deze richtlijn bevat ook adviezen ten aanzien van schermtijd. De richtlijn wordt meegenomen bij de publiekscampagne die in het najaar start. Deze publiekscampagne is gericht op bewustwording bij ouders omtrent het gebruik van digitale middelen en diensten door hun kinderen.
Het kabinet heeft hiernaast onderzoek laten doen naar maatregelen van andere landen om van te leren. EU-landen zetten verschillende maatregelen in rondom schermtijd. Denk daarbij aan adviezen en richtlijnen, informatie-platforms met betrouwbare informatie over ongewenst gedrag online en inzet op mediavaardigheden en kennis over digitale balans. De verschillende maatregelen zijn over het algemeen onderdeel van een breder pakket van maatregelen gericht op (mentaal) gezond online opgroeien en veelal zijn deze maatregelen recent geïmplementeerd of moeten nog geïmplementeerd worden. Er kan daarom vooralsnog geen uitspraak worden gedaan over de resultaten van deze maatregelen.

Vraag 13

Hoe gaat u de motie-Kathmann [Kamerstuk 26 643-1302], die vraagt om een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes, uitvoeren?

Momenteel beziet het kabinet wat nodig is om verslavende ontwerpkeuzes verder aan te pakken.
We hebben onderzoek laten verrichten naar het huidige juridische kader op verslavende ontwerptechnieken. De uitkomsten van dit onderzoek zullen deze zomer nog met uw Kamer worden gedeeld. Mede op basis van dit onderzoek beziet het kabinet op welke wijze deze motie wordt uitgevoerd.

Vraag 14

Welke EU-lidstaten delen de opvatting van de Tweede Kamer dat er een Europees totaalverbod op polariserende en verslavende ontwerpkeuzes moet komen? Hoe trekt u samen met hen op?

De problematiek over verslavend ontwerp staat bij verschillende lidstaten op het netvlies. Het is echter niet bekend of deze lidstaten ook voorstander zijn van een totaalverbod. Nadat de onder vraag 13 genoemde onderzoeksresultaten zijn geapprecieerd, zal het kabinet een strategie op EU-niveau gaan bepalen. Hierin zal ook een verkenning naar de standpunten van andere lidstaten op dit thema worden gedaan. Zodra deze strategie is bepaald zal uw Kamer hiervan op de hoogte worden gesteld.

Vraag 15

Steunt u de komst van een ambitieuze en sterke Digital Fairness Act (DFA) zoals voorgesteld door de Europese Commissie?2 Zou deze volgens u een verbod op verslavende ontwerpkeuzes moeten bevatten?

Ja, het kabinet steunt de komst van een sterke DFA om specifieke consumentenproblemen aan te pakken en hiermee ook duidelijkheid voor ondernemers te creëren. Verslavend ontwerp van digitale diensten maakt hier onderdeel van uit. We weten nog niet of een totaalverbod een geschikte oplossing is voor de aanpak van verslavend ontwerp. Zoals aangegeven in de beantwoording van vraag 13, hebben we een onderzoek naar het huidige juridische kader laten uitvoeren. Voor de zomer komen we hierop terug.

Vraag 16

Hoe reageert u op de uitspraken van de regering-Trump dat de Digital Services Act (DSA) niet verenigbaar is met Amerikaanse waarden?3

De DSA is gestoeld op de bescherming van grondrechten, waaronder de vrijheid van meningsuiting. De DSA schrijft expliciet voor dat bij contentmoderatie rekening moet worden gehouden met alle relevante belangen en fundamentele rechten, waaronder de vrijheid van meningsuiting. Niets in de DSA verplicht bedrijven om legale informatie te verwijderen. Nederland draagt daarom actief de boodschap uit dat de DSA geen «institutionalisering van censuur» is, dat alle partijen, en dus ook Amerikaanse bedrijven zich in Europa aan de Europese regels moeten houden en dat zij handhaving van de DSA jegens zeer grote online platforms door de Commissie ondersteunt.

Vraag 17

Zal u in Europees verband blijvend en ondubbelzinnig aandringen op maximale naleving, handhaving en waar nodig versteviging van digitale wetgeving, ongeacht politieke druk vanuit de Verenigde Staten?

Ja, daar blijven we op aandringen, met dien verstande dat het kabinet op dit moment nog geen aanleiding ziet om aan te dringen op versteviging van de digitale wetgeving

Vraag 18

Indien de regering-Trump wél aandringt op het afzwakken van Europese regelgeving, welke conclusie verbindt u daar in het uiterste geval aan? Bent u bereid om sociale media apps die willens en wetens EU-wetten niet naleven in het uiterste geval geheel te verbieden?

Dat is niet aan het kabinet. De DSA voorziet in een uitgebreid systeem van onafhankelijk toezicht op nationaal en Europees niveau. In Nederland zijn de Autoriteit Consument & Markt en de Autoriteit Persoonsgegevens aangewezen als bevoegde toezichthouders. De Europese Commissie houdt primair toezicht op aangewezen zeer grote online platforms- en zoekmachines. Het kabinet vertrouwt erop dat dit toezichtssysteem zijn werk doet.

Vraag 19

Bent u van mening dat het verhogen van de minimumleeftijd voor sociale media, nationaal of Europees, ook een vorm van schijnveiligheid biedt? Deelt u de mening van de indiener dat de oplossing ligt in een combinatie van niet-bindend wetenschappelijk advies en keiharde Europese regulering van sociale media apps?

De overheid is, naast o.a. ouders en het onderwijs, medeverantwoordelijk voor het beschermen jeugdigen, alsmede hen te stimuleren en te faciliteren om gezond en veilig (online) op te groeien.
Het stellen van een aanvullende wettelijke minimumleeftijd voor sociale media is als maatregel op zichzelf onvoldoende om een gezonde en veilige online omgeving voor jeugdigen te garanderen. Een minimumleeftijd is op dit moment nog eenvoudig te omzeilen en niet te handhaven. Er bestaat bovendien al wetgeving die van toepassing is op de toegang van minderjarigen tot sociale media. Uit de Algemene Verordening Gegevensbescherming (AVG) en uit de Uitvoeringswet (UAVG) volgt dat minderjarigen jonger dan 16 jaar, gebaseerd op de grondslag toestemming, geen gebruik mogen maken van internetdiensten als sociale media die persoonsgegevens verwerken, zonder toestemming of machtiging van de persoon die de ouderlijke verantwoordelijkheid voor de minderjarige draagt.
Het stellen van een aanvullende wettelijke minimumleeftijd voor sociale media is daarom niet wat het kabinet beoogt.
Het kabinet is van mening dat de oplossing ligt in een combinatie van maatregelen waaronder meer bewustwording en het vergroten van mediawijsheid, een duidelijke richtlijn en het versterken van online opvoedvaardigheden en duidelijke Europese regelgeving en toezicht voor de Tech-industrie in relatie tot het naleven van online kinderrechten en het bieden van een gezonde en veilige online omgeving.
Om ouders en opvoeders te ondersteunen bij het online opvoeden is, zoals hierboven al een paar keer genoemd de richtlijn voor gezond en verantwoord scherm- en sociale mediagebruik aan uw Kamer aangeboden. De richtlijn is gebaseerd op wetenschappelijke kennis, alsmede praktijkkennis en de hulpvraag van ouders.
Op Europees niveau wordt op meerdere fronten ingezet op het beschermen van online kinderrechten en het tegengaan van de negatieve effecten van sociale media. Dit doen we bijvoorbeeld binnen de Telecomraad en de Gezondheidsraad. In dit laatste gremium is ook aandacht gevraagd voor eenduidige leeftijdsadviezen voor sociale media.

Vraag 20

Hoe gaat u komen tot nationale adviesleeftijden voor verschillende sociale media apps? Welke expertise betrekt u bij het maken van deze adviezen?

De voormalig staatsecretaris van JPS heeft onderzoekers Ina Koning (Vrije Universiteit) en Hellen Vossen (Universiteit Utrecht) de opdracht gegeven om in afstemming met andere wetenschappers en experts waaronder bijvoorbeeld het Trimbos Instituut, het NJi en Netwerk Mediawijsheid, ouders en jongeren tot een gedragen en (wetenschappelijk) onderbouwde richtlijn en adviezen voor gezond en verantwoord scherm- en sociale mediagebruik. Adviesleeftijden voor sociale media en eventuele differentiatie lopen mee als onderdeel van de bredere insteek van het onderzoek. Om tot de richtlijn te komen zijn een literatuuronderzoek en een Delphi-studie uitgevoerd. Ook wordt parallel een implementatieplan opgesteld, opdat de richtlijn goed gebruikt en opgevolgd gaan worden door ouders/opvoeders en partners in de praktijk.

Vraag 21

Wat is de rol van het Rijksinstituut voor Volksgezondheid en Milieu (RIVM) in het maken van gezaghebbend gezondheidsadvies over schermtijd bij verschillende leeftijden en verschillende soorten schermtijd? Bent u bereid om het RIVM nauw te betrekken bij het maken van de nationale adviezen?

Er zijn veel partijen betrokken bij het opstellen van de richtlijn voor gezond- en verantwoord scherm- en social media gebruik. Het RIVM is een relevante partij op het terrein van een veilige en gezonde leefomgeving en onderdeel van de adviesgroep met diverse experts.

Vraag 22

Hoe gaat u de gezaghebbende adviezen van Nederlandse experts inzetten om tot een uniforme Europese informatievoorziening over de gezondheidseffecten van sociale media apps te komen?

De richtlijn waaraan wordt gewerkt is voornamelijk bedoeld voor de Nederlandse opvoeders. Wel zijn deze gebaseerd op internationaal en nationaal onderzoek en richtlijnen opgesteld in andere landen. Daarnaast zet de Staatsecretaris van JPS zich ook op Europees niveau in om te komen tot uniforme adviezen aan opvoeders.

Vraag 23

Kunt u deze vragen afzonderlijk beantwoorden?

Ja.

Vraag 1

Bent u bekend met het rapport «GenAI: naar een productievere en toekomstbestendige publieke sector», waarin wordt geconcludeerd dat tot wel 20 miljard euro belastinggeld bespaard kan worden door de inzet van generatieve AI?1

Ja, ik heb hier kennis van genomen.

Vraag 2

Bent u ermee bekend dat in de publieke sector sprake is van een productiviteitsdaling, terwijl er tegelijkertijd 425.0000 vacatures openstaan? Deelt u de mening dat een uitdijende overheid met steeds meer ambtenaren geen houdbare oplossing is voor het verbeteren van dienstverlening?

De publieke sector kent vele sub-sectoren, met elk hun specifieke kenmerken. Voor een deel van die sectoren heeft mijn ministerie vorig jaar gerapporteerd over productiviteitstrends, die niet onverdeeld positief zijn, zo bleek bijvoorbeeld uit onderzoek bij veertien uitvoeringsorganisaties.2 Uit die studie kwam naar voren dat tussen de organisaties grote verschillen in productiviteitsgroei zijn. Wel blijkt dat de productiviteitsstijging bij de betrokken uitvoeringsorganisaties tot 2021 nauwelijks onderdeed voor de marktsector.
Ik acht het desondanks zinvol om te inventariseren waar winst te behalen valt in efficiency en effectiviteit door inzet van (generatieve) AI in de dienstverlenende werkprocessen. Dit zal in het kader van de uitwerking van de Nederlandse Digitaliseringstrategie (NDS) verder worden verkend.
Dat sprake zou zijn van een «uitdijende overheid» heeft onder andere te maken met het feit dat voor steeds meer en steeds complexere vraagstukken een beroep wordt gedaan op de overheid. Uiteraard wordt altijd gekeken welke taken daadwerkelijk opgepakt dienen te worden en hoe die zo efficiënt mogelijk kunnen worden vervuld. Het digitaliseringsbeleid dat momenteel wordt vormgegeven, is dan ook mede gericht op de vraag hoe de overheid doeltreffend en zo efficiënt mogelijk een antwoord kan bieden op de complexe vraagstukken die de komende jaren op ons afkomen. Hierbij is – onder meer in het kader van de NDS – ook aandacht voor de rol die (generatieve) AI daarin kan spelen.
Dat momenteel sprake zou zijn van 425.0000 vacatures is niet geheel correct. Dit aantal betreft een prognose van BGC voor het jaar 2033. Dat er sprake is van toenemende krapte op de arbeidsmarkt wordt breed erkend. Dit is, los van de precieze aantallen, een goede reden om serieus te kijken naar de mogelijkheden van generatieve AI in de optimalisatie van onze bedrijfsprocessen.

Vraag 3

Ziet u dat het gebruik van generatieve AI kansen biedt voor betere dienstverlening, meer werkplezier en een oplossing kan zijn van het personeelstekort? Hoe beoordeelt u de conclusie van de onderzoekers dat inzet van Generatieve AI 255.000 tot 465.000 voltijdbanen kan opleveren? Hoeveel belastinggeld kan bespaard worden door de inzet van AI?

Ja, ik zie dat hier kansen liggen.
Betere dienstverlening kent ten minste twee aspecten: snelheid van dienstverlening c.q. efficiëntie, én inhoudelijke kwaliteit van de dienstverlening. Het rapport wijst hier ook op. Het is van belang dat bij ontwikkeling van AI-systemen niet alleen gekeken wordt naar snelheid en kostenreductie, maar ook naar inhoudelijke kwaliteit. De ontwikkelingen binnen generatieve AI lijken op beide punten veelbelovend. Er is wel sprake van een gemengd beeld. Lang niet elke vorm van AI leidt daadwerkelijk tot betere prestaties. Dit is mede afhankelijk van de aard van de werkzaamheden. Recent onderzoek wijst erop dat «human-AI collaboration», waarbij mensen en artificieel intelligente systemen samenwerken, een wisselend beeld laat zien, met zelfs productiviteitsverlies bij taken waarin «besluitvorming» de kern van de werkzaamheden vormt.3
Bij de vraag of AI bijdraagt aan hogere productiviteit is dus van belang dat gericht wordt geïnvesteerd, en vanuit het besef dat innovaties rondom productiviteit zich soms pas op de langere termijn terugbetalen.
Het is zinvol te verkennen waar nog winst te halen valt in termen van efficiëntie en effectiviteit door inzet van (generatieve) AI in de dienstverlenende werkprocessen én bij beleidsontwikkeling. Die mogelijkheden verken ik ook al in het kader van de NDS. Deze vormt het fundament onder het digitaliseringsbeleid van de overheid.
Meer werkplezier is een belangrijke factor in het aantrekken en binden van goede medewerkers. Ik stond hier al bij stil in mijn verkenning van de motie Van Der Werf (mei 2024).4 Deze motie roept het kabinet op om tot een handreiking te komen voor gemeenten en andere overheden om werkplezier met behulp van AI te bevorderen en werkdruk te verminderen. De uitwerking van deze motie is opgenomen in de verzamelbrief digitalisering van het eerste kwartaal van dit jaar.5
Daarbij is het vooruitzicht van een steeds krapper aanbod aan (talentvolle) werkenden in de toekomst, waarbij ook de overheid wedijvert om het schaarser wordend arbeidspotentieel, één van de belangrijke reden om na te denken over de inzet van nieuwe technologieën. Dit thema is ook onderwerp van de adviesaanvraag aan de Sociaal-Economische Raad (SER), die het vorige kabinet heeft ingediend.6 Daarin is expliciet de vraag gesteld welke mogelijkheden de SER ziet om productiviteitsgroei door toepassing van AI te bevorderen. Dit SER-advies wordt later dit voorjaar verwacht.
De vraag hoeveel belastinggeld bespaard kan worden door de inzet van Generatieve AI is een kwestie die, in het licht van mijn opmerkingen over de werkgelegenheidseffecten, niet eenduidig te beantwoorden is – al is evident dat toegenomen efficiency in processen inderdaad bij kan dragen aan doelmatiger inzet van belastinggeld en eventueel kan leiden tot aanzienlijke besparingen.

Vraag 4

Op welke manieren experimenteert de overheid met het gebruik van generatieve AI? Op welke manier wordt al op schaal productiviteitsgroei gerealiseerd door generatieve AI?

Binnen (decentrale) overheden wordt al enige tijd geëxperimenteerd met de inzet van generatieve AI. Voorbeelden zijn (interne) AI-chatbots die interne overheidsinformatie gemakkelijker vindbaar maken, AI-toepassingen die worden ingezet voor metadata-extractie, of AI-toepassingen die als ondersteuning worden ingezet bij bezwaarschrift- of WOO-procedures.7 Zie in dat kader ook de verzamelbrief van 18 december 2024 waarin wordt ingegaan op al lopende generatieve AI pilots.8
Het streven is deze verspreide initiatieven te bundelen. Daarbij is van belang dat innovatie gezamenlijk door overheidsorganisaties en meerdere bestuurslagen wordt opgepakt. Hierbij zie ik nog veel kansen om op te treden als één digitale overheid. Door zo, waar kansrijk, op te schalen zorgen wij voor minder versnippering en serieuze efficiencywinst. Voor dit opschalingsvraagstuk zal ik in de NDS aandacht hebben.
In hoeverre nu al productiviteitsgroei wordt bereikt, is momenteel nog lastig te kwantificeren. De meeste, veelal recente experimenten zijn nog niet geëvalueerd op hun effect. De Algemene Rekenkamer geeft in het eerder genoemde rapport Productiviteit in perspectief overigens aan dat productiviteitsgroei soms op gespannen voet kan staan met de kwaliteit van de dienstverlening. Sneller is niet altijd beter, en soms in tegendeel.9 Dit zal onderdeel moeten zijn van de evaluatie van de diverse experimenten.

Vraag 5

Welke lessen trekt u uit het gebruik van generatieve AI door overheden in andere landen? Kunt u aangeven welke lessen Nederland trekt uit de in het rapport genoemde voorbeelden zoals «Albert», het Franse AI-systeem waarmee taken geautomatiseerd worden en ambtenaren minder tijd kwijt met het vinden van informatie?

Uiteraard volgen wij de ontwikkelingen, ook in het buitenland. Albert is een mooi voorbeeld van AI-innovatie binnen de Franse overheid. Ook in de Nederlandse context wordt gewerkt aan AI-assistenten, die ambtenaren in hun werk kunnen inzetten. Een recent bijvoorbeeld komt van de Vereniging voor Nederlandse Gemeenten (VNG), die aankondigde – mede via een financiering van BZK – een AI-assistent te ontwikkelen.10

Vraag 6

Welke lessen trekt u uit het gebruik van generatieve AI in de private sector? Deelt u de mening dat het reëel is dat de productiviteitsgroei in de private sector in komende jaren veel hoger ligt door adaptatie van generatieve AI? Hoe zorgt u ervoor dat de publieke sector niet achterblijft?

In mijn beantwoording van vraag 2 stond ik al stil bij de wisselende snelheden in de ontwikkeling van de productiviteit. De private en publieke sector zijn daarbij niet altijd gemakkelijk met elkaar te vergelijken.11 Wat ik meeneem uit het onderzoek, is dat de markt laat zien dat adaptatie van generatieve AI grote kansen biedt. Die kansen ben ik ook al volop aan het verkennen (zie ook beantwoording vraag 4), om waar mogelijk ook in de sector overheid productiviteitswinst te boeken. Daarin nemen we ook relevante inzichten uit de private sector mee, bijvoorbeeld via betrokkenheid bij de publiek-private samenwerking van de Nederlandse AI Coalitie, AI4NL.

Vraag 7

Deelt u de conclusie dat de risico’s van het gebruik van generatieve AI beperkt kunnen worden door te zorgen dat er altijd mensen meekijken?

Ja, menselijk toezicht is inderdaad één van de mogelijkheden om de risico’s van generatieve AI te mitigeren. De Europese AI-verordening – die in augustus 2024 in werking is getreden – vereist dan ook dat er een vorm van menselijk toezicht wordt gehouden op hoog risico AI-systemen. Het is aannemelijk dat meerdere toepassingen vanuit de overheid kwalificeren als hoog risico als bedoeld in bijlage III bij de Verordening. Bij de ontwikkeling van nieuwe technologieën zal uiteraard rekening worden gehouden met de eisen die vanuit de Verordening en andere relevante regelgeving worden gesteld. Via de binnenkort te verschijnen overheidsbrede handreiking generatieve AI en het daarbij behorende standpunt krijgen organisaties ondersteuning bij het op verantwoorde wijze inrichten van de inzet van generatieve AI binnen hun organisaties. Menselijk toezicht is hierbij een belangrijk aspect. Deze overheidsbrede handreiking komt later in april uit.

Vraag 8

Bent u bereid aan de slag te gaan met vijf mogelijke pioniergebieden die als kansrijk worden aangewezen voor de inzet van AI? Kunt u per pionier aangeven waarom wel of niet?

In het algemeen is het verstandig om verschillende activiteiten te bundelen om synergie en zo mogelijk schaalvoordelen te bereiken. Prioriteren naar sectoren of processen is daarom zinvol, waarbij gekeken zal worden welke het meeste potentieel hebben. Of dit noodzakelijkerwijs de in het rapport genoemde pioniersgebieden moeten zijn, valt te bezien. In sommige van die pioniersgebieden ligt de verantwoordelijkheid primair bij de sectoren zelf. Wel wil ik als coördinerend bewindspersoon regie voeren op de keuze van de prioritaire sectoren.

Vraag 9

Op welke manier werkt zowel Europese als Nederlandse regelgeving nu de inzet van generatieve AI tegen? Bent u bereid onnodige drempels weg te halen?

Om de kansen te verzilveren die generatieve AI biedt, is het nodig om aandacht te hebben voor zowel normregulering als het aanjagen van innovatiekracht. Via onder meer de Europese AI-verordening – die geldt in alle EU-lidstaten – is er een eenduidig juridisch kader dat de ontwikkeling en het gebruik van betrouwbare en veilige (generatieve) AI-systemen bevordert. Specifiek voor de inzet van generatieve AI kom ik nog in april met een herijkt, overheidsbreed standpunt, waarin ik meer ruimte bied voor de mogelijkheden die deze technologie overheden biedt. Via de NDS zet ik daarnaast in op het versterken van de innovatiekracht bij de overheid met behulp van (generatieve) AI – zeker ook om drempels rondom bijvoorbeeld opschaling weg te nemen.
Het kabinet streeft daarbij naar een evenwichtige benadering: enerzijds willen we onnodige belemmeringen wegnemen om innovatie te stimuleren, en anderzijds zorgen dat er een solide en flexibel (Europees) regelgevend kader bestaat dat de veiligheid en betrouwbaarheid van AI waarborgt. De regelgeving is mede bedoeld om nieuwe technologieën op een verantwoorde wijze te introduceren en een aantal belangrijke maatschappelijke waarden te beschermen. Evenwichtige regelgeving is essentieel, en biedt duidelijkheid aan ontwikkelaars binnen welke kaders zij nieuwe technologieën kunnen ontwikkelen.

Vraag 10

Vindt u dat de geschetste randvoorwaarden voor de inzet van AI in Nederland nu in orde zijn? Zo nee, welke stappen zet u om hiervoor te zorgen?

Ik vind dat de randvoorwaarden voor effectief, efficiënt en verantwoord gebruik van (generatieve) AI vooralsnog goed zijn ingevuld. Het BGC-rapport noemt een aantal randvoorwaarden voor succes: duidelijkheid op het gebied van wetgeving, technologie, training en beeldvorming om generatieve AI veilig en effectief in te zetten. De overheid investeert op al deze punten.
Zo wordt actief meegedacht over (de implementatie van) evenwichtige en consistente wetgeving, die ontwikkelaars duidelijkheid biedt in de juridische en ethische kaders waarbinnen zij artificieel intelligente systemen kunnen ontwikkelen. Denk hierbij bijvoorbeeld aan de implementatie van de AI-verordening, waarin BZK een actieve rol speelt en via onder meer kennisproducten (mede)overheden ondersteunt bij de implementatie.12 Die kaders gelden uiteraard ook voor de overheid als (mede-)ontwikkelaar van nieuwe technologieën. Overheden kunnen voor een overzicht van de bestaande wet- en regelgeving rondom de verantwoorde inzet van AI terecht bij het algoritmekader.13
Voor wat betreft de investeringen in nieuwe technologieën verwijs ik naar mijn antwoord op vraag 4. Daarnaast wordt er fors geïnvesteerd in een moderne digitale werkomgeving waarbij de ambtenaar is toegerust met de juiste middelen om haar werk effectief uit te voeren.
Effectief gebruik van (generatieve) AI vergt digitale vaardigheden van ambtenaren. We zullen de komende jaren fors investeren in digitaal vakmanschap. Dit niet alleen met het oog op de vereisten in artikel 4 van de AI Verordening met betrekking tot «AI geletterdheid», maar ook met het oog op het vakmanschap van de ambtenaar. Hiertoe wordt een personeelsstrategie voor digitalisering ontwikkeld, waarmee we bepalen welke kennis we in huis moeten hebben en uit de markt halen. Hiermee kunnen we gerichter werven, omscholen en onderwijs ontwikkelen op basis van technologische innovaties. Voorts nemen we meer regie op de ontwikkeling van digitaliseringskennis van ambtenaren en zorgen we voor opschaling en samenhang van de centrale pools voor digitaliseringsprofessionals. ICT-kennis wordt actief gedeeld en efficiënter ingezet. Meer specifiek kan worden gewezen op de Rijksacademie voor Digitalisering en Informatisering Overheid.14

Vraag 11

Welke langetermijndoelen stelt de overheid voor het gebruik van AI?

Laat ik vooropstellen dat ik het van groot belang vind dat de overheid – evenals burgers en bedrijven – de vruchten kan plukken van deze veelbelovende technologie. Ik wil er de komende jaren voor zorgen dat we als één overheid stappen zetten bij de adoptie van AI, zonder daarbij naïef te zijn. We moeten deze technologie omarmen, omdat zij veel kansen biedt voor allerlei (grote) maatschappelijke opgaven waarvoor we als overheid staan.
Op de precieze uitwerking van de lange-termijndoelen met betrekking tot de inzet van AI bij de overheid kom ik later dit voorjaar terug in de NDS.

Vraag 12

Op welke manier worden ambtenaren nu gestimuleerd om effectiever te werken door inzet van AI? Hoe wordt dit gestimuleerd op de dagelijkse werkvloer? Vindt u dat extra stappen hier nodig zijn?

Ik verwijs u voor de beantwoording van deze vraag graag naar vraag 10. Hierin sta ik al stil op de manieren waarop ambtenaren worden ondersteund bij het gebruik van AI.

Vraag 1

Kunt u uitleggen wat het doel was van uw werkbezoek van 3 tot en met 5 maart 2025 aan Microsoft en Amazon in Seattle?1

Het doel van het werkbezoek was drieledig, namelijk: 1) Het krijgen van inzicht in de laatste technologische ontwikkelingen bij Microsoft en Amazon; 2) het bepalen van de impact die deze bedrijven hebben op het opereren van Defensie en 3) het ontwikkelen van meer inzicht op het gebied van autonomie en soevereiniteit op het gebied van data en informatie.

Vraag 2

Kunt u het volledige programma van uw werkbezoek delen, met een overzicht van wie u heeft gesproken en wat het onderwerp van deze gesprekken was?

Vanwege privacy kunnen wij geen namen of functies geven, maar er is gesproken met beide bedrijven op het niveau van director & corporate vice president. Met deze vertegenwoordigers heb ik gesproken over oplossingen voor mobiele cloudomgevingen, verwerking en eigenaarschap van data, regelgeving en toepasbaarheid van de laatste technologische ontwikkelingen die relevant zijn voor Defensie.

Vraag 3

Heeft u op dit werkbezoek concrete toezeggingen gedaan of afspraken gemaakt? Wat was uw boodschap richting de bedrijven?

Ik heb geen toezeggingen gedaan. Onze gevechtskracht is niet langer alleen afhankelijk van staal en vuur, maar ook van bits en bytes. Hierin biedt de expertise van techbedrijven zoals Microsoft en Amazon waardevolle inzichten. Mijn boodschap richting de bedrijven is om te onderzoeken hoe hun expertise en technologie bij kunnen dragen in operationele situaties, op een soevereine wijze.

Vraag 4

Is de inhoud van het werkbezoek en uw inbreng bij de activiteiten afgestemd met het Ministerie van Binnenlandse Zaken en het Ministerie van Economische Zaken?

De inhoud van het werkbezoek is afgestemd met het Ministerie van Economische Zaken.

Vraag 5

Deelt u de mening dat, in deze geopolitieke context, Nederland de afhankelijkheid van niet-Europese techbedrijven juist zou moeten verminderen?

Het kabinet heeft in 2023 de Agenda Digitale Open Strategische Autonomie (DOSA) met uw Kamer gedeeld.2 Het Kabinet constateert in de Agenda DOSA dat, in deze veranderende context, we strategisch moeten gaan kijken naar digitale technologie, en in het bijzonder naar strategische afhankelijkheden met een hoog risico.
We hebben een langdurige trans-Atlantische relatie met de VS. De VS is en zal een cruciale partner voor Nederland blijven, met gedeelde veiligheids- en economische belangen, waaronder ook digitale aspecten vallen.
Nederland zal blijven werken aan een goede werkrelatie met de VS. Ontwikkelingen in de VS, ook ten aanzien van tech, volgen elkaar snel op. We houden deze ontwikkelingen op technologisch- en veiligheidsgebied in de VS nauwlettend in de gaten.
Een te grote afhankelijkheid van één marktpartij is echter ongewenst. In de afweging welke data wij in eigen beheer verwerken en wat in de public cloud, moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen. Daarbij wordt expliciet gekeken naar Europese tech-bedrijven.

Vraag 6

Acht u de totale afhankelijkheid van clouddiensten van niet-Europese techbedrijven een mogelijk risico voor de Nederlandse en Europese autonomie en veiligheid?

Zoals ook door de Algemene Rekenkamer is geconstateerd, wordt er veelvoudig gebruik gemaakt van public clouddiensten, waarbij meer dan de helft van de materieel public clouddiensten3 bij «big tech» ingekocht wordt4. Er is hiermee echter nog geen sprake van een «totale afhankelijkheid». In de afweging welke data we in eigen beheer verwerken en wat in de public cloud moeten risicovolle strategische afhankelijkheden én marktconcentraties worden meegewogen.
Defensie gaat uit van een spreiding van risico’s door clouddiensten in de eigen datacentra en bij verschillende cloud aanbieders onder te brengen, zowel binnen als buiten Europa. Er zal dus geen sprake zijn van totale afhankelijkheid van niet-Europese techbedrijven. Defensie weegt per situatie af of een eventuele afhankelijkheid acceptabel is. Daarbij worden ook de aspecten autonomie en veiligheid per situatie beoordeeld.

Vraag 7

Heeft het Ministerie van Defensie een strategie voor het terugdringen van strategische afhankelijkheden van niet-Europese techbedrijven? Zo ja, hoe gaat u deze afhankelijkheden verminderen? Zo nee, waarom niet en bent u bereid deze strategie alsnog te ontwikkelen?

Het beleid van Defensie draagt op verschillende manieren bij aan het vergroten van onze strategische autonomie en het positioneren van onze Nederlandse kennis-, technologie- en industriebasis. Begin april 2025 wordt de nieuwe Strategie van Defensie naar uw Kamer gestuurd, waarin toegelicht zal worden hoe Defensie strategische afhankelijkheden wil verminderen door zelf te investeren in de kennis- en industriebasis. Hoe sterker Europa en Nederland zijn, hoe minder afhankelijkheid. Defensie neemt daarnaast ook verschillende beschermende maatregelen: bepaalde producten, onderdelen en/of capaciteiten zullen in Nederland behouden of ontwikkeld moeten worden om (cruciale) (wapen)systemen van de krijgsmacht – en haar bondgenoten – te kunnen produceren, op te kunnen schalen en te ondersteunen.

Vraag 8

Welke strategische investeringen doet het Ministerie van Defensie op het gebied van autonomie in het digitale domein? Acht u het in het belang van de Nederlandse veiligheid om de capaciteit van de Nederlandse en Europese techsector te benutten en versterken door te investeren in hun diensten en deze af te nemen?

Om internationaal een speler van betekenis te blijven, mee te blijven lopen in de mondiale (technologische) ontwikkelingen en onze afhankelijkheid van anderen te beperken, is het verkrijgen en het behouden van leiderschap op strategische technologische punten voor Nederland en Defensie belangrijk. Nederland heeft een sterke en kennisintensieve technologische en industriële basis die hoogwaardige producten en diensten levert. De gewijzigde geopolitieke context en de snelle technologische ontwikkelingen maken dat investeringen in de Nederlandse Technologische en Industriële Basis (NLDTIB) nodig zijn. Een sterke krijgsmacht en een sterk Nederland, kan alleen als de NLDTIB en Europese Technologische Industriële Basis (EDTIB) versterkt worden. Het internationaal positioneren van Nederlandse en Europese technologiebedrijven is daarbij van belang. Begin april wordt de nieuwe Defensie Strategie voor Industrie en Innovatie (D-SII) en de bijbehorende Strategische Actieagenda Industrie, Innovatie en Kennis – Defensie (STRAIIK-D) aangeboden aan de Kamer. Daarin zullen deze ambities en versterkingen toegelicht worden.

Vraag 9

Welke acties onderneemt u om Nederlandse en Europese techbedrijven structureel meer te betrekken bij Defensie-aanbestedingen en strategische IT-infrastructuur?

Defensie werkt aan versterkte publiek-private samenwerking o.a. via Defport. Defport draagt bij aan het versnellen van de militaire materieelgereedheid door de afstand tussen Defensie en de private sector te verkleinen. Ook de regionale programmabureaus en de opbouw van regionale ecosystemen en uitbreiding van MINDBases dragen bij aan het verkleinen van de afstand tussen Defensie, kennisinstellingen en industrie. Het is voor de Europese strategische autonomie van groot belang dat er strategische samenwerking bestaat met Nederlandse en Europese techbedrijven. Defensie zet in op een nauwe samenwerking met het bedrijfsleven. Specifiek voor IT heeft Defensie sinds enkele jaren verschillende dialoogtafels met IT-bedrijven die betrekking hebben op huidige en toekomstige ontwikkelingen, om samen op te trekken en vruchtbare partnerschappen te ontwikkelen voor de lange termijn zodat snel kan worden ingespeeld op de behoeften van Defensie. Deze maandelijkse dialoog-tafels stellen Defensie in staat om uitdagingen voor te leggen aan de markt, om te komen tot nieuwe samenwerkingen, oplossingen en versnelling.

Vraag 10

Heeft u een plan om bestaande samenwerkingen met Nederlandse en Europese techbedrijven binnen Defensie op te schalen? Welke acties onderneemt u om dit te bereiken?

Ja, mede dankzij de Defensie IT-leveranciersdialoog is Defensie in staat geweest om strategische partnerschappen aan te gaan met diverse IT-bedrijven. Zoals in de Defensienota 2024 is aangekondigd zal Defensie eraan werken om nieuwe technologieën, nadrukkelijk afkomstig van de Nederlandse industrie, te integreren in militaire toepassingen.
Nationale samenwerking met andere departementen, kennispartners en het bedrijfsleven in Nederland leidt tot betere resultaten voor zowel de krijgsmacht als het Nederlandse verdienvermogen en de maatschappij. De samenwerking wordt ingericht via verschillende ecosystemen, per onderwerp en per regio. Defensie legt haar behoeften neer bij de industrie, de capability pull. Kennisinstellingen, start-ups, MKB’ers en Original Equipment Manufacturers (OEM’s) werken samen aan oplossingen die Defensie nodig heeft. Ook is er nadrukkelijk ruimte voor ideeën vanuit de industrie en civiele technologieën die betekenisvol kunnen zijn voor Defensie. Nederlandse en Europese (tech)bedrijven worden hiermee nauwer verbonden aan de opgaves van Defensie en gepositioneerd om vroegtijdig mee te werken aan uitdagingen.

Vraag 11

Hoe stimuleert u Nederlandse en Europese partijen om mee te dingen naar aanbestedingen op het gebied van defensie en veiligheid? Welke drempels ervaren deze bedrijven momenteel en hoe gaat u die wegnemen?

Het eerste deel van deze vraag heb ik beantwoord in vraag 9. Betreffende het tweede deel: Eén van de knelpunten is toegang tot financiering. Met name start-ups, scale-ups en het MKB lopen tegen deze drempel aan. Uw Kamer is recent per brief geïnformeerd5 over deze financieringsknelpunten. In deze brief kondigt Defensie vier actielijnen aan om deze knelpunten op te lossen. Deze actielijnen zetten in op 1) het bieden van lange termijnvraag, 2) het mobiliseren van private investeringen en beter gebruik maken van bestaande instrumentaria 3) het optimaliseren van overheidsprocessen en 4) het versterken van de dialoog met de markt, bijvoorbeeld met het publiek-private platform Defport.

Vraag 12

Heeft u, naast de samenwerking met niet-Europese techbedrijven, ook onderzocht welke Europese cloud- en technologiealternatieven beschikbaar zijn voor Defensie? Zo ja, welke Europese partijen heeft u hiervoor in beeld? Zo nee, waarom niet?

Ja, Defensie is een onderzoek gestart naar mogelijkheden om cloudomgevingen voor Defensie te ontwikkelen met Europese leveranciers. De gesprekken daarover verkeren nog in een commercieel vertrouwelijke fase.

Vraag 13

Bent u bereid (alsnog) gesprekken te initiëren met Europese alternatieven zoals OVHcloud, Nextcloud, of het GAIA-X-initiatief?

Ja.

Vraag 14

Wat bedoelt u precies met uw openbare uitspraak: «Met een slimme mix van eigen en commerciële cloudoplossingen vergroten we onze digitale slagkracht»?2

Defensie ontwikkelt eigen IT zoals commandovoeringssystemen en IT-infrastructuur zoals de private cloud binnen het programma GrIT. Daarnaast is er een wereldwijde zeer snelle en innovatieve technologie-ontwikkeling in de public cloud. Om militair relevant te blijven op het slagveld met digitale technologie zal Defensie deze technologieën moeten combineren. Het combineren hiervan is onderdeel van de multicloud strategie van Defensie. Dit is een cruciaal onderdeel van de digitale transformatie van Defensie.

Vraag 15

Hoe worden de diensten van Microsoft en Amazon momenteel gebruikt in de Defensie-architectuur? Welke Defensie-onderdelen zijn afhankelijkheid van deze diensten?

In de architectuur staan de clouddiensten van Microsoft en Amazon als «onderlaag» die gebruikt wordt voor ongepubliceerde of laag-gerubriceerde informatiesystemen. Naast clouddiensten neemt Defensie bij Microsoft ondersteuningsdiensten af voor de inzet van diverse Microsoft producten die op diverse plekken in de generieke IT-infrastructuur van Defensie worden toegepast. Voor de daadwerkelijke inzet zijn er geen afhankelijkheden van deze diensten (wel van de producten). Voor de lange termijn continuïteit heeft heel Defensie afhankelijkheden. Een van de belangrijkste afhankelijkheden is de cybersecurity ondersteuning van de diverse Microsoft producten.

Vraag 16

Welke gegevens worden door Defensie bewaard, verwerkt, of gedeeld via de clouddiensten van Microsoft en Amazon? Heeft de Verenigde Staten, onder de CLOUD Act, toegang tot deze (gevoelige) gegevens?

Defensie verwerkt en bewaart alleen ongerubriceerde of laag gerubriceerde gegevens in de clouddiensten van Microsoft en Amazon.
Het Nationaal Cyber Security Centrum heeft in augustus 2022 een onderzoeksrapport over de CLOUD Act gepubliceerd. In dit onderzoek stelt Greenberg Traurig dat het risico dat de Amerikaanse overheid toegang krijgt tot Europese (persoons)gegevens, specifiek op basis van de CLOUD-act, weliswaar voorstelbaar, maar in de praktijk ook (heel) klein is.
Defensie verwerkt geen hoog gerubriceerde informatie in cloud-diensten van Microsoft en Amazon. Om een goede afweging te maken over de risico’s en de baten, hanteert Defensie een cloud-afwegingskader.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Wegens de samenhang tussen vragen 9 en 11 is een gedeelte van deze beantwoording samengevoegd. Alle overige vragen zijn afzonderlijk van elkaar beantwoord.

Vraag 1

Is de gedeeltelijke migratie van de 58.000 digitale werkplekken van ambtenaren naar de public cloud strikt noodzakelijk? Waaruit blijkt dit?1

De migratie van de werkplekken van de Rijksoverheid die SSC-ICT aan het voorbereiden is, is noodzakelijk omdat meerdere componenten van de huidige werkplek op korte termijn niet meer ondersteund worden (End of Support) of zelfs het einde van hun levensduur hebben bereikt (End of Life). Het eerste geldt bijvoorbeeld voor Windows 10 (oktober 2025) en het tweede voor Ivanti (december 2026). Om continuïteit te borgen is het dus noodzakelijk deze componenten te vervangen. Daarnaast is het vanuit beveiligingsoogpunt van belang om over te stappen naar een modernere en veiligere werkplek. De migratie naar de nieuwe werkplek betreft overigens geen migratie naar de cloud. Alle documenten en mails blijven in de eigen overheid-datacenters; alleen bepaalde beheerapplicaties gaan deels naar de cloud2.

Vraag 2

Hoeveel zou de voorgenomen cloudmigratie kosten?

De migratie wordt deels bekostigd uit het al aan SSC-ICT beschikbaar gestelde ICT-budget dat bedoeld is voor doorontwikkeling van haar ICT-diensten. Daarnaast is een aanvullend budget van € 8,7 mln. voorzien voor migratie- en uitrolkosten.

Vraag 3

Deelt u de mening dat cloudmigraties van overheids-ICT naar Amerikaanse techgiganten geen vanzelfsprekendheid meer moeten zijn, gezien de onvoorspelbare geopolitieke situatie en de reële kans op een handelsoorlog met de Verenigde Staten?

Iedere cloudmigratie moet weloverwogen plaatsvinden, conform de waarborgen zoals gesteld in onder meer het Rijksbreed cloudbeleid 2022. Daarnaast is het voorkomen van risicovolle strategische afhankelijkheden een belangrijk onderdeel vanuit de Agenda DOSA.3
Een van de maatregelen die het kabinet neemt, is de herziening van het rijksbrede cloudbeleid, dat u medio 2025 ontvangt. In dit beleid wordt het gebruik van public cloud aangescherpt. Cloudtechnologie biedt onmiskenbare voordelen, zoals flexibiliteit, innovatie en gebruiksgemak, maar vereist ook zorgvuldige afwegingen om de digitale autonomie en veiligheid te waarborgen. Deze aspecten krijgen nadrukkelijker een plek in het nieuwe beleid.
Daarnaast wordt actief met Europese partners samengewerkt aan alternatieve oplossingen en een goed functionerende Europese markt. Het blijft daarom van belang om risico’s zorgvuldig af te wegen en waar nodig passende maatregelen te treffen, zoals ook bij de nieuwe werkplek van SSC-ICT is gebeurd. De uiteindelijke acceptatie van de (rest)risico’s zal voorgelegd worden (ter acceptatie) aan de afnemers van de werkplek van SSC-ICT.4

Vraag 4

Klopt het dat DICTU en de Belastingdienst ook voornemens zijn om de digitale werkplekken (gedeeltelijk) naar de public cloud verhuizen?2

In het Jaarplan 2025 Belastingdienst dat uw Kamer op 11 december 2024 heeft ontvangen, is aangegeven dat de Belastingdienst voornemens is om in 2025 alle werkplekken naar M365 te migreren. Dit gebeurt gecontroleerd en weloverwogen. De implementatie van de migratie is op dit moment nog niet gestart. De Belastingdienst volgt de recente geopolitieke ontwikkelingen en zal in lijn handelen met het herijkte Cloudbeleid en implementatieplan dat door BZK wordt opgesteld en medio 2025 zal worden opgeleverd.
DICTU maakt in zijn digitale werkplek gebruik van public clouddiensten van Microsoft, maar niet van de gehele Microsoft werkplek. De belangrijkste public cloudapplicaties die door DICTU worden ingezet zijn Teams, Onedrive en Exchange Online. Deze zijn beschikbaar voor de ca. 20.000 werknemers van de Ministeries EZ, KGG en LVVN.
Voordat bovenstaande clouddiensten in gebruik genomen zijn, zijn risicoanalyses uitgevoerd op het gebied van dataprivacy en security conform het Rijkscloudbeleid.

Vraag 5

Welke cruciale software-componenten van de huidige digitale werkplek worden vanaf eind 2026 niet meer ondersteund door de leverancier(s)? Is dit door de leverancier(s) aan u bevestigd? Om welke leverancier(s) gaat het?

De software die nu nog wordt gebruikt en die na december 2026 niet meer wordt ondersteund, betreft Ivanti Workspace Control. Dit is bevestigd door de leverancier Ivanti.
Ivanti Workspace Control is een softwareoplossing die IT-beheerders helpt bij het beheren en beveiligen van gebruikersomgevingen in Windows-omgevingen. Het zorgt ervoor dat medewerkers altijd en overal toegang hebben tot hun persoonlijke werkplek, ongeacht het apparaat of de locatie.
Ook Windows 10 dat op de meeste werkplekken in gebruik is, is aan het eind van de levenscyclus. Hier is wel nog (tegen additionele kosten) ondersteuning voor beschikbaar, maar gelet op de noodzakelijke werkzaamheden is het raadzaam om deze vernieuwingsacties te combineren.

Vraag 6

Heeft de leverancier / hebben de leveranciers van deze cruciale software-componenten bevestigd dat een oplossing, waarbij de gegevens en verwerking daarvan binnen de overheid blijven, definitief niet meer beschikbaar zal zijn?

Zie het antwoord op vraag 5. De software van Ivanti die op dit moment in gebruik is, is na 2026 niet meer te gebruiken; ook niet in een on premise variant.

Vraag 7

In de nieuwe digitale werkplek wordt volgens u «beperkt gebruik gemaakt van cloud-gebaseerde beheertoepassingen.» Om welke toepassingen van welke leverancier(s) gaat dit?

Om de nieuwe DWR2.0 werkplek te kunnen beheren en up-to-date en veilig te houden, wordt in die werkplek gebruik gemaakt van een aantal clouddiensten, waaronder Netskope, Microsoft inTune en Microsoft Defender. Deze slaan de inhoudelijke data niet op, maar zorgen ervoor dat de omgeving veilig blijft (zoals het voorkomen van malware, phishing links, etc.). Dit wordt ook wel aangeduid als «data in transit». Om dit mogelijk te maken, slaan de applicaties tijdelijk metadata en logging data op. Dat is informatie over de data, zoals de gebruikers-id, de naam van de gebruikte applicaties, het aantal up- en downloads, de datum waarop de gegevens zijn aangemaakt, het gebruikte toestel, etc. Deze gegevens staan tijdelijk in de public cloud van de leverancier (6 maanden voor MS en een zelf te configureren periode voor Netskope), t.b.v. monitoring door het Security Operations Center (SOC) van SSC-ICT. Inhoudelijke data worden hierbij niet opgeslagen.

Vraag 8

Uit welk land komt de beoogde leverancier / komen de beoogde leveranciers? Waar vindt de opslag en verwerking van gegevens plaats in deze «cloud-gebaseerde beheertoepassingen»? Welke gegevens betreft dit? En gaat overheidscommunicatie in zichtbare (onversleutelde) vorm door de servers van deze leverancier(s)?

Netskope en Microsoft zijn Amerikaanse leveranciers. Zoals aangegeven bij het antwoord op vraag 7, gaat het om data in transit. Alle data in transit is versleuteld.

Vraag 9

Is de CLOUD Act of soortgelijke wetgeving, die geforceerde toegang tot data mogelijk maakt, van toepassing op gegevens die verwerkt worden onder de «cloud-gebaseerde beheertoepassingen»?

In algemene zin geldt dat de potentiële extraterritoriale werking van Amerikaanse wetgeving ertoe kan leiden dat Amerikaanse cloudaanbieders in specifieke situaties verplicht worden om gegevens van cloudgebruikers over te dragen aan Amerikaanse inlichtingendiensten. Op verzoek van het NCSC heeft Greenberg Traurig onderzoek gedaan naar onder andere de kans dat gegevens van Europese burgers op basis van de CLOUD-act verstrekt zullen worden aan de Amerikaanse overheid. Op basis van de daaromtrent beschikbare informatie is geconcludeerd dat deze kans laag is6.
In de casus van de nieuwe werkplek van SSC-ICT wordt echter geen overheidsdata opgeslagen op de Amerikaanse cloud; documenten en mail blijven in de eigen datacenters staan. De enige data die door deze leveranciers verwerkt wordt is metadata en logging data (zie ook vraag 8).

Vraag 10

U kondigt aan «nieuwe aanpassingen zoals de gereduceerde afhankelijkheid van de publiek cloud, de ingebouwde waarborgen.» Welke afhankelijkheden blijven er over? Om welke waarborgen gaat het?

De gereduceerde afhankelijkheid zit in het feit dat al het interne verkeer, dus tussen werkplek en alles wat in de eigen datacenters draait (eigen applicaties, mail, documenten, etc.), uitsluitend over eigen infrastructuur loopt en niet door de Netskope-cloudoplossing wordt verwerkt. Daarnaast laat ik onderzoeken of hier bovenop ook onderdelen van de cloudoplossing «on premise» (in het volledig in eigen beheer zijnde OverheidsDataCenter (ODC)) kunnen worden opgesteld en beheerd, zodat ook verkeer naar externe bronnen via de eigen datacenters loopt.
Mitigerende maatregelen worden tevens besproken in het antwoord op vraag 12

Vraag 11

Kunt u toezeggen om in de aangekondigde pilot te meten hoeveel data wordt gestuurd naar / via derde partijen, en ook om te meten wanneer het niet duidelijk is om welke partijen het gaat? Kunt u duidelijk maken of het gaat om persoonsgegevens, en zo ja, om welke persoonsgegevens? Kunt u dit in ieder geval meten voor processen zoals printen, mailen en tekstverwerking, en verslag uitbrengen aan de Kamer en extern laten valideren?

Zoals hierboven aangeven, wordt alleen de metadata en logging data van de transactie gerapporteerd. Zie hiervoor het antwoord op vraag 7. Het gaat dus niet om persoonsgegevens.

Vraag 12

Hoe gaat u komen tot een betrouwbare digitale werkplek waar alle afhankelijkheden zijn weggenomen?

Als onderdeel van de implementatie van de nieuwe werkplek door SSC-ICT zijn er al diverse risicoanalyses uitgevoerd, ook op het gebied van betrouwbaarheid, beveiliging en privacy. Naar aanleiding daarvan is een groot aantal maatregelen op deze gebieden afgesproken, die voor de start van de uitrol geïmplementeerd en getoetst zullen worden. M.b.t. afhankelijkheden zal ik blijven onderzoeken hoe deze zoveel mogelijk weggenomen kunnen worden. Op periodieke basis worden de verschillende onderdelen van de werkplek heroverwogen waarbij rekening wordt gehouden met effecten op gebruikersbeleving, security, privacy, beheersbaarheid, kosten, autonomie & continuïteit. Hierbij wordt bijvoorbeeld ook gekeken naar mogelijkheden op het gebied van open source.
Het volledig wegnemen van alle afhankelijkheden bij een digitale werkplek is in de praktijk niet realistisch en ook niet altijd noodzakelijk. Verschillende componenten in de digitale wereld zijn inherent met elkaar verbonden en kennen wederzijdse afhankelijkheden. Het streven is om risico's te beheersen tot een aanvaardbaar niveau en weloverwogen keuzes te maken. In het herziene rijksbrede cloudbeleid, dat u medio 2025 ontvangt, wordt deze aanpak verder uitgewerkt. Tegelijkertijd blijft het kabinet innovatie en digitale transformatie mogelijk maken waar dat verantwoord kan.

Vraag 13

Bent u bereid om onze inlichtingen- en veiligheidsdiensten om advies te vragen over de afhankelijkheden die zullen ontstaan door de voorgenomen migratie van de digitale werkplek? Kunt u dit advies op hoofdlijnen delen met de Kamer en meewegen in uw overwegingen over de migratie?

Er is aan meerdere partijen advies gevraagd, waaronder inlichtingen- en veiligheidsdiensten. Ik ben nog in overleg hoe we op hoofdlijnen, al dan niet vertrouwelijk, de adviezen van de inlichtingen-en veiligheidsdiensten kunnen delen. Hun adviezen zijn ter harte genomen en meegewogen in het huidige ontwerp.

Vraag 14

Wordt data uit de door SSC-ICT-ontworpen werkplekken straks lokaal én in de cloud opgeslagen, of alleen nog maar lokaal? Zijn er derde partijen die, door hun positie in de gekozen oplossing, tijdelijk zicht krijgen op onze data als deze door hun toepassingen heenstroomt?

Zie antwoord op vraag 7.

Vraag 15

Wat betekent het dat data «vooralsnog» op de eigen datacenters wordt opgeslagen? Wanneer zou dit niet meer het geval zijn?

De werkplek-data blijft nu in de eigen datacenters. Naar aanleiding van het nieuwe cloudbeleid kan bij de doorontwikkeling van de werkplek hierin verandering optreden. Maar op dit moment is dat niet aan de orde.

Vraag 16

Met hoeveel zekerheid kunt u zeggen dat er geen gevoelige overheidsinformatie of persoonsgegevens worden verwerkt op de 58.000 digitale werkplekken, als u in uw brief aan de Kamer aangeeft dat hier «gewoonlijk» geen sprake van is?

Het blijft de verantwoordelijkheid van de individuele ambtenaar om conform de geldende regelgeving veilig met informatie en gegevens om te gaan. In de nieuwe werkplek is de manier van gegevens verwerken niet anders dan nu het geval is. Via gerichte communicatie en instructies kan dit verder worden ondersteund.

Vraag 17

Kunt u deze vragen afzonderlijk van elkaar en indien mogelijk nog vóór het plenaire debat over de migratie van overheids-ICT naar het buitenland beantwoorden?

Zie alle bovenstaande antwoorden op de gestelde vragen.

Vraag 1

Bent u bekend met de recente wijzigingen in de beschikbaarheid en actualisatie van seismische en akoestische data door het Koninklijk Nederlands Meteorologisch Instituut (KNMI), zoals vermeld op haar website?1

Ja.

Vraag 2

Kunt u bevestigen dat tal van data met betrekking tot aardbevingen in Groningen niet langer geactualiseerd worden en/of moeilijker toegankelijk zijn, zoals onder meer de aardbevingscatalogus en modelmatig berekende peak ground acceleration-waarden (PGA) en peak ground velocity-waarden (PGV)? Zo ja, waarom is hiervoor gekozen en waarop en onder wiens bevoegdheid is deze verandering gebaseerd?

Nee, dit kan ik niet bevestigen, de data worden nog steeds geactualiseerd en blijven onverminderd beschikbaar. Het KNMI heeft in januari 2025 zijn seismologische operationele keten naar Amazon Web Services (AWS) gemigreerd, nadat hier in 2023 voor was gekozen. Onderdeel van deze migratie was het uitfaseren van verouderde producten door deze te vervangen door moderne varianten. Alle data en producten zijn op AWS onverminderd beschikbaar, in een vernieuwd en beter te onderhouden systeem dat bijdraagt aan een robuuste 24/7-beschikbaarheid. Dit is aangekondigd en staat beschreven op de KNMI-website. Op de KNMI-website blijven zowel de aardbevingscatalogus2 en PGA/PGV waarden via shakemaps3 beschikbaar voor aardbevingen die hebben plaatsgevonden en deze worden geactualiseerd in het geval van nieuwe aardbevingen.

Vraag 3

Erkent u dat de beschikbaarheid van deze data van cruciaal belang is voor bewoners en hun advocaten bij juridische procedures? Zo ja, welke maatregelen worden getroffen om de toegankelijkheid en actualiteit van deze data te waarborgen?

Ja. Deze migratie draagt bij aan de toegankelijkheid omdat het nieuwe systeem moderner en beter te onderhouden is. Hierdoor wordt de 24/7 beschikbaarheid beter gewaarborgd (zie ook het antwoord op vraag 2).

Vraag 4

Bent u het ermee eens dat Groningen hiermee in toenemende mate afhankelijk wordt van de trillingstool en de algemene maatregel van bestuur omtrent 2-millimeter, in plaats van voortschrijdende wetenschappelijke inzichten? Zo nee, waarom niet?

Nee. Zoals in het antwoord op vraag 2 aangegeven geeft het KNMI aan dat actuele gemeten PGA en PGV waarden onverminderd beschikbaar zijn via onder andere shakemaps in het KNMI Data Platform4 en shakemaps op de website. Daarnaast houdt het Instituut Mijnbouwschade Groningen (IMG) bij de beoordeling van schade rekening met voortschrijdende wetenschappelijke inzichten. Zo heeft het IMG recent onderzoek laten doen naar de effecten van gestapelde mijnbouw en doet het onderzoek naar de indirecte effecten van diepe bodemdaling. Als de resultaten daartoe aanleiding geven, wordt de werkwijze hierop aangepast. Alle onderzoeken en data op basis waarvan het IMG schade beoordeelt zijn toegankelijk en openbaar.

Vraag 5

Hoe beoordeelt u de gevolgen van deze verandering voor de controleerbaarheid en transparantie van aardbevingsgegevens voor de Groningers en andere belanghebbenden?

Het KNMI geeft aan dat de migratie naar AWS en vernieuwing van bestaande producten geen invloed heeft op de controleerbaarheid en transparantie van aardbevingsgegevens. De modernisering van de seismologische operationele keten heeft als doel een robuuste 24/7-beschikbaarheid te garanderen. In de metingen en daaruit afgeleide aardbevingsgegevens, zoals de aardbevingscatalogus, shakemaps en bijbehorende PGA/PGV-waarden, is niets veranderd. Voor het beschikbaar stellen worden nu International Federation of Digital Seismographic Networks (FDSN) webservices gebruikt, de internationale standaard hiervoor, en het KNMI Data Platform.

Vraag 6

Kunt u toelichten hoe de overstap naar de webservices van de International Federation of Digital Seismographic Networks (FDSN) en het KNMI Data Platform de toegankelijkheid en bruikbaarheid van deze gegevens verbetert voor de inwoners van Groningen? Zo nee, waarom niet?

Met FDSN webservices en het KNMI Data Platform heeft het KNMI een robuuste infrastructuur die eenduidige toegang verleent tot data en producten, waarbij 24/7-beschikbaarheid een belangrijk element van de dienstverlening is. Het KNMI is altijd bereid in samenspraak met belanghebbenden de toegankelijkheid en bruikbaarheid verder te verbeteren (zie ook het antwoord op vraag 7).

Vraag 7

Zijn er vanuit u aanvullende inspanningen om ervoor te zorgen dat inwoners, deskundigen en wetenschappers de benodigde data op een laagdrempelige manier kunnen blijven raadplegen? Zo nee, waarom niet?

De data en producten zijn en blijven onverminderd beschikbaar. Het KNMI is altijd bereid in samenspraak met belanghebbenden de beschikbaarheid te blijven verbeteren en zo eenvoudig mogelijk te maken.

Vraag 8

Bent u bereid te waarborgen dat alle noodzakelijke data beschikbaar blijven en gemakkelijk toegankelijk zijn voor de Groningse bevolking en hun juridische vertegenwoordigers? Zo nee, waarom niet?

Ja.

Vraag 9

Heeft er vanuit u communicatie plaatsgevonden met het Staatstoezicht op de Mijnen inzake de wijzigingen op de KNMI-site? Zo nee, waarom niet?

Nee, de migratie heeft geen invloed gehad op de beschikbaarheid van data en producten van het KNMI. Daarom heeft er geen directe communicatie met het Staatstoezicht op de Mijnen hierover plaatsgevonden.

Vraag 10

Kunt u uitleggen waarom het KNMI tot op heden nooit is aangesloten bij de United States Geological Survey? Zo nee, waarom niet?

Bij de United States Geological Survey zijn met name Amerikaanse observatoria aangesloten. In Europa hebben seismologische observatoria, zoals het KNMI, zich verenigd in ORFEUS (Observatories & Research Facilities for European Seismology) voor data- en kennisuitwisseling. Het KNMI is daarom aangesloten bij ORFEUS.5

Vraag 1

Kent u het bericht «Russische spionnen en de «hack van Amsterdam»»?1

Ja.

Vraag 2

Deelt u de mening dat de in het bericht genoemde casus een indicatie is dat Nederland geen goed antwoord heeft op digitale aanvallen vanuit statelijke actoren waarbij Europese of internationale instellingen in Nederland doelwit zijn? Zo ja, hoe komt dat en wat is er nodig om dit te verbeteren? Zo, nee waar blijkt uit deze casus dan dat er wel sprake was van een goed antwoord?

De verantwoordelijkheid voor de cyberveiligheid van internationale organisaties ligt in de eerste plaats bij de organisaties zelf. Niettemin heeft het gastland ook een inspanningsverplichting om het goed en continu functioneren van de organisatie te waarborgen. De Kabinetsinzet op cyberweerbaarheid, zoals beschreven in de NLCS, draagt daar aan bij.
Daarnaast is sinds januari 2024 de Europese verordening 2023/2841 van kracht, waarmee is beoogd de weerbaarheid van Europese instellingen, maar ook van coordinatie en afhandeling als er cyberincidenten bij deze instellingen plaatsvinden te bevorderen. Zo zijn Europese instellingen verplicht om cyberveiligheidsmaatregelen te nemen en om cyberincidenten te melden bij CERT-EU. Onder de coordinatierol van CERT-EU in crisisafhandeling schakelen zij onder andere met het Europese CSIRT-netwerk. Nederland is hierin via het NCSC vertegenwoordigd.

Vraag 3

Deelt u de mening dat, als Nederland geen bemoeienis heeft of mag hebben met het beschermen van internationale instellingen tegen digitale aanvallen, daarmee het risico op dergelijke aanvallen en schade kan toenemen? Zo ja, waarom? Zo nee, waarom niet?

Het kabinet hecht veel belang aan het werk van internationale organisaties en instellingen. Deze organisaties zijn vaak doelwit van cyberaanvallen. Ondanks dat de verantwoordelijkheid voor adequate cybersecuritymaatregelen in eerste instantie bij deze organisaties zelf ligt, kunnen deze organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident een vrijwillige melding doen bij het Nationaal Cybersecurity Centrum (NCSC) en om bijstand vragen. Daarmee kan de Nederlandse staat in die gevallen een bijdrage leveren aan het tegengaan van digitale aanvallen.
Het gastland heeft als gesteld een inspanningsverplichting om het functioneren van de internationale organisaties te faciliteren, voor zowel het fysieke als digitale domein. Voor een goede invulling van die verplichting is een goede samenwerking cruciaal. Bovendien kan Nederland zich als lidstaat van internationale organisaties actief inzetten voor (verbetering van) de cyberveiligheid van die organisatie. Zo werd na de cyberaanval op het Internationaal Strafhof met steun van Nederland een fonds voor het verhogen van de cyberveiligheid van het Hof ingesteld waaraan alle staten kunnen bijdragen.

Vraag 4

Wat is de rol van de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) in het geval een statelijke actor een digitale aanval op een Nederlandse organisatie dan wel een internationale organisatie in Nederland uitvoert? Is daar verschil tussen en zo ja, waarom?

De AIVD doet onderzoek naar de digitale dreiging van statelijke actoren in het belang van de nationale veiligheid, zoals benoemd in artikel 8, Wiv2017. In relatie tot de omgang van AIVD met slachtoffers van digitale aanvallen door statelijke actoren gebeurt dit, op basis van vrijwilligheid, eveneens binnen de kaders van de Wiv2017. Dit geldt zowel voor Nederlandse als voor internationale organisaties.

Vraag 5

In welke mate verschilt bovengenoemde rol van de AIVD in vergelijkbare situaties van inlichtingen- en veiligheidsdiensten in andere lidstaten van de Europese Unie (EU)?

Iedere EU-lidstaat richt zijn inlichtingen- en veiligheidsdiensten evenals zijn taken en bevoegdheden naar eigen zienswijze in. Om die reden heb ik u in het commissiedebat van 23 oktober 20242 toegezegd om de situaties in andere landen te onderzoeken. Op de invulling van een dergelijk onderzoek zal ik terugkomen bij de gesprekken over de herziening van de WIV.

Vraag 6

Welke Nederlandse of Europese instantie kan wel actie ondernemen in het geval er een internationale organisatie met vestiging in een lidstaat van de EU te maken krijgt met een digitale aanval? Zo er een dergelijke instantie is, welke afspraken zijn hiermee dan precies gemaakt? Kunt u hierbij ook het specifieke juridische kader schetsen?

Ten aanzien van internationale organisaties die in Nederland zijn gevestigd geldt, anders dan bijvoorbeeld voor organisaties die deel uitmaken van de rijksoverheid, dat het NCSC niet tot taak heeft om bij digitale dreigingen en incidenten ongevraagd bijstand te leveren. Wel kunnen deze internationale organisaties in geval van een incident met aanzienlijke gevolgen voor de continuiteit van de dienst van die organisatie, op grond van artikel 16 van de Wbni een vrijwillige melding doen bij het NCSC. Het NCSC kan in dat geval bijstand verlenen, mits het in behandeling nemen van de melding geen onevenredige of overmatige belasting voor het NCSC vormt.
Tevens doet de AIVD onderzoek naar dreigingen tegen de nationale veiligheid. Indien de AIVD constateert dat een organisatie in Nederland waarschijnlijk slachtoffer is van een digitale aanval, brengt de AIVD – vanuit de weerbaarheidstaak en binnen de kaders van de WIV2017- deze organisatie hiervan op de hoogte.
Voor in EU-lidstaten gevestigde EU-organisaties geldt dat zij andere Europese instellingen, organen en agentschappen zoals het Europees Agentschap voor netwerk- en informatiebeveiliging (ENISA) of CERT-EU kunnen helpen voor het verhogen van de cyberweerbaarheid of vragen om ondersteuning bij cyberincidentem De taken en bevoegdheden van ENISA en CERT-EU hieromtrent zijn vastgelegd in Verordening (EU) 2019/881 (de «Cybersecurity Act»), Raadsbesluit (EU) 2022/2504 alsook de NIS2-richtlijn (EU) 2022/2555 en in verordening 2023/2841 zoals in het antwoord op vraag 2 weergegeven. VN-instellingen kunnen zich richten tot het United Nations International Computing Centre (UNICC). In het UNICC Mandate and Governance Framework wordt bepaald dat UNICC diensten aanbiedt aan VN-entiteiten. Contractuele afspraken met VN-agentschappen zijn vastgelegd in Service Level Agreements.

Vraag 7

Deelt u de mening dat het zeer zorgelijk is dat er in Europees verband kennelijk onvoldoende samenwerking is en dat een door de Nederlandse politie in 2021 gegeven waarschuwing aan andere lidstaten geen opvolging kreeg? Zo nee, waarom niet? Zo ja, wat gaat het kabinet doen om te zorgen dat hier in de toekomst wel op geacteerd wordt?

Cyberaanvallen en digitale netwerken zijn niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak en zijn daarom van groot belang. Het Kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijn in nationale wetgeving in de Cyberveiligheidswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties te delen. Dit zal ook de samenwerking met deze landen bevorderen. Met de inwerkingtreding van de NIS1-richtlijn en de NIS2-richtlijn is het Europese CSIRT-netwerk opgericht en versterkt. Het CSIRT-netwerk bestaat uit vertegenwoordigers van de nationale CSIRT's van de Europese lidstaten en het computercrisisresponsteam voor de instellingen, organen en instanties van de Unie (CERT-EU). Dit CSIRT-netwerk heeft onder meer tot taak het uitwisselen van informatie over incidenten, bijna-incidenten, cyberdreigingen, risico's en kwetsbaarheden, het uitvoeren van een geco6rdineerde respons op incidenten, en het verlenen van bijstand aan de lidstaten bij de aanpak van grensoverschrijdende incidenten. Daarnaast bevordert ook de Europese verordening 2023/2841, zoals in het antwoord op vraag 2 weergegeven, de samenwerking.

Vraag 8

Deelt u de mening dat er sprake is van een lacune in de hulp aan deze internationale organisaties in het geval van een digitale aanval van een statelijke actor? Zo ja, waarom, hoe komt dat en hoe moet deze lacune opgevuld gaan worden? Zo nee, waarom niet?

Zoals geschetst in het antwoord op vraag 6, kunnen internationale organisaties, voor zover gevestigd in Nederland, in geval van een cyberincident met aanzienlijke gevolgen voor de continufteit van hun dienst, een vrijwillige melding doen bij het NCSC en vragen om bijstand. Hierbij wil ik benadrukken dat de verantwoordelijkheid van digitale veiligheid van organisaties in Nederland primair bij de organisaties zelf ligt.

Vraag 9

Deelt u de mening dat uit de in het bericht genoemde casus blijkt dat de internationale samenwerking in het geval van digitale dreigingen niet optimaal werkt en verbetering behoeft? Zo ja, welke verbeteringen zijn er nodig en hoe en op welke termijn worden die bewerkstelligd? Zo nee, waarom niet en hoe kan het dan dat het weken duurt eer zelfs maar duidelijk is waar een verzoek tot onderzoek naar een dergelijke dreiging moet worden ingebracht?

Ik doe geen uitspraken over specifieke casussen van de AIVD. In het algemeen, zoals ook aangegeven bij vraag 7, zijn cyberaanvallen en digitale netwerken niet gebonden aan landgrenzen. Internationale samenwerking en een gecoordineerde aanpak zijn daarom van groot belang. Het kabinet hecht hier dan ook veel waarde aan en zet zich binnen de EU en andere gremia in voor de verbetering van deze samenwerking, zoals ook aangegeven bij vraag 2. Zo wordt er gewerkt aan de implementatie van de Europese NIS2-richtlijnen in nationale wetgeving in de Cyberbeveiligingswet. De NIS2-richtlijn biedt aan lidstaten meer mogelijkheden om informatie met landen zowel binnen als buiten de EU en relevante organisaties to delen en versterkt de samenwerking binnen het Europese CSIRT-netwerk. Dit zal ook de samenwerking met deze landen bevorderen.

Vraag 10

Kunt u deze vragen één voor één beantwoorden?

Ja.

Vraag 1

Bent u bekend met het feit dat alle nu beschikbare versies van Microsoft Exchange-servers op 14 oktober a.s. «end of support» zijn en daarmee niet langer door de leverancier ondersteund zullen worden en ook niet meer gebruikt kunnen worden?1 2

Ja, ik ben bekend met het feit dat de huidige versies van Microsoft Exchange Server op 14 oktober 2025 het einde van hun ondersteuningscyclus bereiken. Dit heeft de volgende impact op de ondersteuning vanuit Microsoft:
Voor Exchange Server 2016 is deze informatie sinds 2020 bekend en voor Exchange Server 2019 is de reguliere ondersteuning in januari 2024 verlopen. Extended Security Updates zijn beschikbaar gemaakt tot oktober 2025.
Microsoft heeft in juni 2022 aangekondigd dat de nieuwe versie, Exchange Server Subscription Edition (SE), de opvolger zal zijn van de huidige versies. Deze aankondiging is in mei 2024 herhaald, waarbij tevens de aanbevolen stappen zijn gecommuniceerd ter voorbereiding op de migratie van Exchange 2016 en 2019 naar Exchange SE.
Het is belangrijk om te verduidelijken dat «end of support» niet automatisch betekent dat deze systemen niet meer gebruikt kunnen worden. Het betekent wel dat er na deze datum geen updates meer worden uitgebracht, wat risico's met zich meebrengt voor de veiligheid en stabiliteit van deze systemen. Het is daarom van belang dat organisaties tijdig migreren naar ondersteunde oplossingen

Vraag 2

Op hoeveel plekken binnen de rijksoverheid wordt Microsoft Exchange nog gebruikt? Hoeveel daarvan zijn Exchange 2019 en hoeveel zijn ouder?

Binnen de Rijksoverheid maken vrijwel alle organisaties gebruik van Microsoft Exchange. Door de federatieve opbouw van de overheid zijn er momenteel geen centrale overzichten beschikbaar over de exacte aantallen en versies.
Life cycle management (LCM: het proces om op tijd nieuwe versies in productie te nemen) is een departementale verantwoordelijkheid. Het centraal opslaan van te gedetailleerde informatie buiten deze departementale verantwoordelijkheid wordt als een potentieel beveiligingsrisico beschouwd.
Standaardisatie van gedetailleerde informatie binnen de departementale verantwoordelijkheid heeft hoge prioriteit, maar vergt tijd om te organiseren vanwege het heterogene ICT-landschap binnen de Rijksoverheid.
Er wordt gewerkt aan een verbetering van het centraal geaggregeerd overzicht, waarbij rekening wordt gehouden met bovenstaande aspecten. Bij het antwoord op vraag 3 zal ik verder ingaan op de stappen die worden genomen om beter inzicht te krijgen.

Vraag 3

Indien hier nog geen overzicht van bestaat, bent u bereid om vanuit uw coördinerende rol de betreffende Ministers te vragen u hierover informatie te verstrekken?

Ja, ik ben hiertoe bereid. Bij de beantwoording zal wel een balans gezocht worden tussen cybersecurity, federatieve verantwoordelijkheid en transparantie.
Ik zal de betreffende Ministers vragen om informatie te verstrekken over het gebruik van Microsoft Exchange binnen hun departementen.
Vanuit mijn coördinerende rol wordt jaarlijks een Informatie Beveiligingsbeeld (IBB) opgesteld door de departementen. Uit dit inzicht komen geen risico’s naar boven die betrekking hebben op Microsoft Exchange.
Uw vraag past binnen een bredere aanpak waarin vanuit de coördinerende rol van CIO Rijk wordt gewerkt aan het verbeteren van het inzicht in IT-assets binnen de Rijksoverheid. Deze aanpak richt zich niet exclusief op Microsoft Exchange, maar op IT-asset management in de volle breedte.

Vraag 4

Gezien het feit dat het behoorlijk ingewikkeld is om te upgraden naar de nieuwe, nog uit te komen versie van Exchange die nog wel ondersteund wordt, hoe gaat u erop toezien dat deze systemen tijdig zijn vervangen?3

Ten aanzien van de technische complexiteit van de upgrade wil ik opmerken dat volgens informatie van Microsoft, de overgang naar Exchange Server Subscription Edition (SE) minder complex is dan het lid Six Dijkstra suggereert. Voor organisaties die momenteel Exchange Server 2019 gebruiken met de meest recente cumulatieve update (CU14), zal de update naar Exchange Server SE relatief eenvoudig zijn. Microsoft heeft aangegeven dat Exchange Server SE code-equivalent zal zijn aan Exchange Server 2019 CU15, met uitzondering van enkele kleine wijzigingen. Dit maakt een in-place upgrade mogelijk, vergelijkbaar met het toepassen van een reguliere halfjaarlijkse update. Hierbij is geen volledige herinstallatie nodig maar worden alle bestaande configuraties automatisch overgenomen in de nieuwe versie.
Voor organisaties die nog Exchange Server 2016 gebruiken, wordt geadviseerd om eerst te migreren naar Exchange Server 2019 CU14, alvorens de stap naar Exchange Server SE te maken. Microsoft biedt hierbij diverse ondersteuningsmogelijkheden via Microsoft Unified en FastTrack support.

Vraag 5

Zal het vervangen van Microsoft Exchange in de praktijk een geforceerde overgang naar de cloud betekenen? Kunt u dit antwoord toelichten?

Nee, het vervangen van Microsoft Exchange vanwege het einde van de ondersteuning betekent geen geforceerde overgang naar de cloud.
Zoals Microsoft heeft aangegeven, is Exchange Server Subscription Edition (SE) een nieuwere versie van de binnenkort niet meer ondersteunde Exchange Server 2016 en Exchange Server 2019. Net als deze oudere producten is Exchange Server SE een «on-premises» product dat geïnstalleerd kan worden in eigen datacenters van organisaties.Overheidsorganisaties behouden hiermee de keuze om hun e-mailsystemen lokaal te blijven beheren, zonder dat een migratie naar cloudoplossingen noodzakelijk is. Daarnaast bestaat de mogelijkheid om vergelijkbare diensten af te nemen bij andere aanbieders.

Vraag 6

Hoe gaat u erop toezien dat eventuele overstappen van Microsoft Exchange naar de cloud niet zonder risicoanalyses zullen plaatsvinden?

Voor eventuele overstappen van Microsoft Exchange naar cloudoplossingen is het Rijksbrede cloudbeleid 2022 en het bijbehorende Implementatiekader risicoafweging cloudgebruik van toepassing. Dit kader schrijft voor dat bij materieel public cloudgebruik binnen de Rijksdienst verplicht een aantal stappen moet worden doorlopen.
Conform artikel 4 van het Implementatiekader moet voorafgaand aan het gebruik van public clouddiensten een risicoanalyse worden uitgevoerd volgens een formeel vastgestelde risicomanagementmethodiek die voldoet aan de Baseline Informatiebeveiliging Overheid (BIO). In deze risicoanalyse moet aandacht zijn voor de context van het cloudgebruik, relevante risico's, technische en organisatorische maatregelen, en een beoordeling van deze maatregelen.
Specifiek voor Microsoft Exchange-migraties naar de cloud is belangrijk dat:
Vanuit de coördinerende rol wordt toegezien op de naleving van deze kaders. De departementen moeten jaarlijks rapporteren aan CIO Rijk over hun materieel public cloudgebruik en de risico's daarvan. CIO Rijk gebruikt deze rapportages in de jaarlijkse cyclus van CIO-gesprekken en beoordeelt deze op uitzonderlijke risico's.
Daarnaast kunnen de Auditdienst Rijk, de Algemene Rekenkamer en inspectiediensten een rol spelen in het toezicht op de naleving van deze kaders.

Vraag 7

Kunt u de beantwoording van deze vragen binnen drie weken, maar uiterlijk drie dagen vóór het debat over de migraties van overheids-ICT naar het buitenland, aan de Kamer doen toekomen?

Vraag 1

Bent u bekend met de monitorrapportage 2024 «Digitale toegankelijkheid en dienstverlening» van het College van de Rechten voor de Mens?1

Ja.

Vraag 2

Kunt u op elk van de aanbevelingen van het bovengenoemde rapport ingaan en aangeven wat de inzet en het doel zijn?

Het CRM beveelt het Ministerie van VWS aan om voor de nationale strategie voor de implementatie van het VN-verdrag handicap meer concrete doelstellingen te formuleren over digitale toegankelijkheid en dienstverlening op alle terreinen van het leven, ook voor Caribisch Nederland, en deze mee te nemen in de werkagenda bij de strategie.2
Digitalisering speelt een steeds grotere rol en is niet meer weg te denken uit ons dagelijks leven. Het is daarom belangrijk dat iedereen, met én zonder beperking, toegang heeft tot digitale informatie en diensten.
De doelstellingen van de nationale strategie VN-verdrag Handicap zijn kabinetsbreed vastgesteld. Op dit moment worden de doelstellingen vertaald naar concrete maatregelen, waaronder de maatregelen die gaan over digitale toegankelijkheid. Deze maatregelen worden opgenomen in de werkagenda bij de nationale strategie.
Caribisch Nederland valt niet binnen de scope van de nationale strategie VN-verdrag Handicap. Wel wordt in Caribisch Nederland gewerkt aan het op orde brengen van de digitale overheid en overheidsdienstverlening. Voorzieningen uit (Europees) Nederland worden doorgetrokken, zoals DigiD vanaf 2025. Op dit moment loopt de parlementaire behandeling van de invoering van het BSN en de Wet digitale overheid (Wdo). De inzet is dat de digitale toegankelijkheidseisen uit de Wdo uiterlijk in 2028 voor alle overheidsorganisaties zullen gelden. Daarnaast werkt het kabinet aan verbetering van de digitale infrastructuur op de eilanden, zodat iedereen kan beschikken over betaalbaar en betrouwbaar internet. Ook worden zorginstellingen geholpen bij de overgang van papieren registraties naar digitale registratiesystemen. Daarbij wordt ook gekeken naar de toegankelijkheid en gebruiksvriendelijkheid van deze systemen voor mensen met een beperking.
Vanuit het Ministerie van BZK werken we op dit moment aan de lagere regelgeving, waaronder de besluiten die vallen onder de Wdo mogelijk ook van toepassing verklaren voor Caribisch Nederland. Via een internetconsultatie bekijken we de mogelijkheden tot aanpassing in de AMvB (Besluit tot wijziging van diverse algemene maatregelen van bestuur) en stellen voor om het Tijdelijk besluit digitale toegankelijkheid overheid en het Besluit, beveiligde verbinding met overheidswebsites en -webapplicaties in te voeren in Caribisch Nederland. Voor de toegankelijkheidsstandaard is het voornemen om 1-1-2028 als uiterste datum op te nemen waarop websites en apps aan de standaard moeten voldoen. Ook kijken we vanuit BZK naar de uitvoerbaarheid van de verplichting voor Caribisch Nederland.
Het CRM onderstreept in de rapportage dat de overheid mensen met een beperking en hun vertegenwoordigende organisaties vanaf het begin structureel moet betrekken bij het opstellen, uitvoeren en evalueren van wetgeving en beleid over digitale toegankelijkheid en dienstverlening. Het CRM benadrukt het belang hiervan voor de inrichting en uitvoering van het centrale toezicht op het Besluit digitale toegankelijkheid, ontwikkeling van de Informatiepunten digitale overheid (IDO’s) en de overheidsbrede loketten. Ook doet het CRM de aanbeveling aan het Ministerie van VWS om prioriteit te geven aan het ontwikkelen van een infrastructuur voor het betrekken van mensen met een beperking en hun vertegenwoordigende organisaties.
Voor het Ministerie van BZK is het belangrijk dat we aansluiten op de leefwereld van mensen door met hen in gesprek te gaan en hen te betrekken bij het vaststellen van problemen én het oplossen daarvan. Voor onderwerpen als de loketfunctie – waaronder de IDO’s en de overheidsbrede loketten – en proactieve dienstverlening doet BZK dat bijvoorbeeld met iteratief, ontwerpend onderzoek, samen met mensen.
Het Ministerie van BZK is bezig om de toepassingen van de Code Inclusief Digitaal Ontwerpen (CIDO) te integreren in het NL Design System (NLDS). NLDS geeft richtlijnen en componenten voor het ontwikkelen van digitale diensten. Hierbij wordt uitgegaan van toegankelijkheid, gebruikersvriendelijkheid, inclusiviteit en consistentie, ondersteund door gebruikersonderzoek. De CIDO moet erop toezien dat bij het ontwerpen van websites en applicaties de eindgebruikers (onder wie mensen met een beperking) worden betrokken. Deze randvoorwaarden zijn nodig om inclusief ontwerpen te stimuleren. Overheidsorganisaties en eindgebruikers werken samen om digitale toegankelijkheid te verwezenlijken.
Bij de ontwikkeling van de werkagenda bij de nationale strategie VN-verdrag handicap zijn mensen met een beperking nauw betrokken. De Staatssecretaris Langdurige en Maatschappelijke Zorg maakt in dit ontwikkelproces afspraken met de betrokken ministeries over hoe mensen met een beperking betrokken kunnen worden bij de uitvoering van de maatregelen die worden opgenomen in de werkagenda.
En ten slotte, in het Beleidskompas, wat de huidige werkwijze is voor beleids- en wetgevingstrajecten binnen de Rijksoverheid, is het betrekken van belanghebbenden (waaronder vertegenwoordigende organisaties van mensen met een beperking), een onderdeel in alle stappen van het proces.
Het CRM beveelt het Ministerie van BZK aan om vast te leggen in het beleid dat overheidsinstanties organisatie-breed en voortdurend aandacht dienen te besteden aan digitale toegankelijkheid. Tevens moeten overheidsinstanties eisen stellen aan digitale toegankelijkheid bij hun inkoopvoorwaarden. Tot slot, benadrukt het CRM dat het van belang is dat het centrale toezicht op de naleving van het Besluit digitale toegankelijkheid effectief is en regelmatig plaatsvindt.
Het Ministerie van BZK vindt het belangrijk dat overheidswebsites en applicaties voldoen aan het Besluit digitale toegankelijkheid overheid. Het Ministerie van BZK gaat op de volgende onderdelen inzetten:
Het CRM vraagt in zijn monitorrapportage aan het Ministerie van BZK om een tijdpad te presenteren voor de verschillende stappen die gezet gaan worden om toegang tot overheidsdienstverlening voor wettelijke vertegenwoordigers en gemachtigden te garanderen.
De publieke dienstverlening van de (semi)-overheid digitaliseert. Burgers die (deels) handelingsonbekwaam zijn en niet zelfstandig mogen handelen, zoals personen die onder bewind of curatele staan of minderjarigen, hebben een door de wet of door de rechter aangestelde wettelijk vertegenwoordiger (bewindvoerder, curator, mentor of een persoon met gezag over een minderjarige).
Uw Kamer heeft de door BZK ontraden motie van het lid Ceder (36 600 VII, nr. 61) aangenomen. De motie-Ceder vraagt voor het zomerreces van 2025 het probleem op te lossen dat wettelijke vertegenwoordigers soms noodgedwongen in overtreding zijn bij DigiD-machtigingen.
In de beantwoording van de vragen van het lid Inge van Dijk (CDA) (20232024–878) door mijn voorganger aangegeven, zal BZK totdat alle overheidsdienstverleners zijn aangesloten, zoals aangeven in de beantwoording van de vragen van de SGP-leden Bisschop en Van der Staaij (2022D22285) en GroenLinks-leden Westerveld en Bouchallikh (2022Z10723), niets doen dat de hulp aan deze groep in de weg kan staan. Het gaat dan uitdrukkelijk om handelingsonbekwame hulpbehoevenden die een wettelijk vertegenwoordiger hebben.
Digitale toegang voor wettelijk vertegenwoordigers is nu alleen mogelijk bij de Belastingdienst, WIL Lekstroom en via twee pilots bij de gemeente Rotterdam en Den Haag (bijstand) en MUMC+. Bij de overige dienstverleners kunnen ze via de eigen daarvoor ingerichte processen van de publieke dienstverleners inloggen en zaken doen.
Hierbij informeert BZK uw Kamer over de structurele mogelijkheden en hoe BZK aan oplossingen werkt. Momenteel werkt BZK aan een bevoegdheidsverklaringsdienst (BVD) om de bronnen Wettelijk Vertegenwoordigingsregister (WVR) en Ouderlijk Gezag te kunnen ontsluiten. Via de uitrol van het Stelsel Toegang zal ik stapsgewijs de voorzieningen die zijn gerealiseerd voor wettelijke vertegenwoordigen van handelingsonbekwame burgers beschikbaar maken. Te beginnen met ouderlijk gezag (kinderen jonger dan 12 jaar) in de zorgsector vanaf januari 2026. Eerder is niet mogelijk omdat het bouwen van de voorzieningen tijd vraagt en wetgeving aangepast moet worden. Daarnaast moeten dienstverleners aansluiten op alle voorzieningen en hun systemen aanpassen voor implementatie hiervan. Het gaat om een hele keten die goed en vooral zorgvuldig ingericht moet worden, en dat vergt (doorloop) tijd. Ik zal u hier in de komende Verzamelbrieven verder over informeren.
In de monitorrapportage roept het CRM het Ministerie van VWS op om toegankelijkheidseisen voor de sectoren zorg en onderwijs bindend vast te leggen. Hiertoe vraagt het CRM om een tijdlijn te schetsen en de voortgang hierop te monitoren.
Het Ministerie van VWS en het Ministerie van BZK werken samen met andere departementen aan de uitwerking van de werkagenda bij de nationale strategie voor de implementatie van het VN-verdrag Handicap, die vóór de zomer van 2025 wordt gedeeld met de Kamer. In de gesprekken over deze werkagenda wordt in overleg met de Ministeries van VWS, BZK en OCW ingezet op afspraken te maken over de manier waarop de eisen voor digitale toegankelijkheid ook voor de domeinen Zorg en Onderwijs kunnen gaan gelden.
Ook wijst het CRM erop om te investeren in de training van ontwikkelaars en producenten. In deze trainingen moet expliciet aandacht zijn voor het VN-verdrag Handicap en het principe van universeel ontwerp. Het is belangrijk dat ontwikkelaars en producenten het principe van universeel ontwerp kennen en kunnen toepassen.
Het Ministerie van VWS zet zich in voor het verder verspreiden van kennis over het VN-verdrag Handicap. De afgelopen jaren is dit onder andere samen gedaan met bijvoorbeeld de VNG en Ieder(in), met verschillende concrete kennisproducten en -activiteiten als resultaat. In 2025 start een programma vanuit de Nationale Wetenschapsagenda (NWA). Dit programma richt zich op het ontwikkelen van kennis die bijdraagt aan de verandering in denken en doen over mensen met een beperking in de samenleving. Deze kennis kan worden benut om met verschillende partijen samen te werken aan een toegankelijke samenleving voor iedereen. Ook zijn er mooie voorbeelden van andere partijen, zoals kennisinstellingen en universiteiten die specifieke kennis over toegankelijkheid en inclusie delen, bijvoorbeeld het Expertisecentrum inclusief onderwijs (ECIO) dat kennis deelt over het VN-verdrag Handicap met onderwijsinstellingen. Daarnaast verkent het Ministerie van VWS de opties voor het vergroten van kennis over het VN-verdrag Handicap bij ambtenaren binnen de Rijksoverheid.

Vraag 3

Hoe reageert u op het feit dat meer dan de helft van alle overheidsdiensten en lokale overheden niet toegankelijk is volgens de wet?2 Zijn de richtlijnen voor algemene toegankelijkheid zoals beschreven in het Tijdelijk besluit digitale toegankelijke overheid nog actueel?3

Het Ministerie van BZK vindt het aantal overheidswebsites en -apps die aan de wettelijke verplichting voldoen te laag.
De richtlijnen voor digitale toegankelijkheid, zoals beschreven in het Besluit digitale toegankelijke overheid, zijn actueel. De Europese norm EN 301549 is leidend. Wanneer er nieuwe vereisten komen voor digitale toegankelijkheid, wordt deze Europese norm herzien en zullen die vereisten ook gelijk in Nederland gelden.

Vraag 4

Hoe geeft u uitvoering aan de motie-Westerveld4 over de uitleg van wetsvoorstellen in toegankelijke taal? Ziet u met ons dat dit niet standaard gebeurd? Kunt u laten weten wat u gaat doen om dit uit te voeren, samen met uw collega-bewindspersonen?

De motie van het lid Westerveld (GroenLinks-PvdA) verzoekt een heldere toelichting te maken bij ieder wetsvoorstel, zodat iedere burger en met name mensen met minder taalvaardigheden, gemakkelijker toegang hebben tot wetsvoorstellen en deze ook kunnen begrijpen. Naar aanleiding van deze motie wordt dit punt ook aan de orde gesteld in het zogenoemd Interdepartementaal Hoofdenoverleg Wetgevingsbeleid (IHW).
Het is belangrijk dat alle burgers begrijpen wat in wet- en regelgeving staat. Op de website van het Kenniscentrum voor beleid en regelgeving van de Rijksoverheid zijn de principes van Duidelijke Taal in wet- en regelgeving uiteengezet. Ook zijn er tips en trainingen die beleidsmedewerkers en wetgevingsjuristen kunnen gebruiken om Duidelijke Taal als uitgangspunt te nemen bij het opstellen van wet- en regelgeving. En is er een groep ambassadeurs van Duidelijke Taal (wetgevingsjuristen, beleidsjuristen en beleidsmedewerkers) die zich inzetten om de principes van Duidelijke Taal onder de aandacht te brengen bij de verschillende departementen én in de werkwijze te integreren. Verder wordt bij de Schrijfwijzer van de memorie van toelichting verwezen naar de pagina over Duidelijke Taal.

Vraag 5

Kunt u een tijdlijn maken met daarin wanneer alle overheidswebsites en -applicaties aan de wet voldoen? Zijn er sancties nodig om organisaties aan te sporen hun diensten toegankelijk te maken?

Een plan van aanpak op digitale toegankelijkheid stuurt de Staatssecretaris van BZK einde Q1 naar uw Kamer. Of sancties nodig zijn, wordt nog onderzocht. Momenteel blijkt namelijk dat het in de praktijk voor overheden lastig is om PDF’s op een digitaal toegankelijke manier te ontsluiten. Daarvoor wordt een voorziening ontwikkeld (NLdoc), beschikbaar einde 2025. De verwachting is dat dit een positieve impact zal hebben op de digitale toegankelijkheid van overheidswebsites.
Verder, op het gebied van toezicht zijn het afgelopen jaar in een drietal rondes zogenoemde «signaleringsbrieven» verzonden aan diverse overheidsorganisaties. In deze brieven werden overheidsorganisaties erop geattendeerd om te voldoen aan de wettelijke verplichting en werd er gewezen op hulp die er geboden kon worden.

Vraag 6

Is het uw ambitie om alle overheidsdiensten te laten voldoen aan de A-classificatie van het Dashboard DigiToegankelijk? Welke diensten moeten volgens u met voorrang aan deze eis voldoen en hoe gaat u hiervoor zorgen?

De ambitie van het Ministerie van BZK is om zoveel mogelijk overheidsorganisaties te laten voldoen aan het Besluit Digitale Toegankelijkheid Overheid. Dat betekent een focus op de A t/m C statussen. Zie ook het antwoord onder vraag 2, aanbeveling 3.

Vraag 7

Bent u van mening dat ook uitvoeringsorganisaties, zorgorganisaties en onderwijsinstellingen aan deze eisen voor toegankelijkheid moeten voldoen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 8

Bent u bereid de implementatie van het verdrag van de Verenigde Naties inzake de rechten van personen met een handicap (VN-verdrag handicap) uit te breiden naar zorg en onderwijs, zoals in andere landen het geval is? Kunt u hierover met deze sectoren afspraken maken?

In 2016 heeft Nederland het VN-Verdrag Handicap geratificeerd. Sindsdien werkt het kabinet aan de verdere implementatie van het Verdrag, ook waar het gaat om zorg en onderwijs. De artikelen 24 en 25 van het VN-Verdrag Handicap gaan immers over zorg en onderwijs.
Zie ook beantwoording onder vraag 7.

Vraag 9

Welke minimumvereisten over toegankelijkheid zijn er voor hulpdiensten zoals de politie, brandweer en medische hulpdiensten?

De wettelijke verplichting is om minimaal te voldoen aan de Europese standaard voor digitale toegankelijkheid, EN301549. De standaard beschrijft voor een breed scala van ICT-toepassingen aan welke eisen deze moeten voldoen voor mensen met een functiebeperking.
Zowel de website van de Landelijke Meldkamer Samenwerking (LMS), als de twee belangrijke websites van de politie, waaronder politie.nl en kombijdepolitie.nl, hebben een B-score. Hiermee voldoen zij aan de wettelijke eisen van het Tijdelijk besluit digitale toegankelijkheid overheid. Voor de overige websites wordt gewerkt aan een verbetering of koppeling aan de site politie.nl en kombijdepolitie.nl
Daarnaast ligt de verantwoordelijkheid voor de bereikbaarheid van alarmnummer 112 bij de Minister van Justitie en Veiligheid (JenV) en de Minister van Economische Zaken (EZ). Er zijn verschillende manieren waarop 112 te bereiken is voor mensen met een beperking:

Vraag 10

Bent u het eens met de stelling dat het van het grootste belang is dat alle mensen met een beperking altijd gebruik moeten kunnen maken van overheidsdiensten als hulpdiensten en dit ook is afgesproken in het Tijdelijk besluit digitale toegankelijkheid overheid en het VN-verdrag handicap?

Alle mensen, dus ook alle mensen met een beperking, dienen toegang te hebben tot overheidsdiensten als hulpdiensten. Dit geldt dus ook voor het alarmnummer 112, ongeacht het tijdstip van de dag. Zie verder het antwoord onder vraag 9.

Vraag 11

Op welke manier is toegankelijkheid nu een vast onderdeel van de ontwikkeling van nieuwe websites, applicaties en formulieren bij alle overheidslagen? Worden eindgebruikers nu standaard meegenomen bij het ontwerpen? Zo ja, welke standaarden gelden hiervoor?

Digitale toegankelijkheid is nog geen vast onderdeel bij de ontwikkeling van nieuwe websites, mobiele applicaties (apps) en formulieren bij alle overheidslagen. Het plan is om eindgebruikers via de aanpak van het NLDS een vast onderdeel te laten uitmaken van de standaard aanpak voor eindgebruikers bij het ontwikkelen van overheidswebsites en apps. Zie ook de beantwoording onder vraag 2, aanbeveling 2 en 3.

Vraag 12

Waar kunnen mensen aankloppen en een melding doen op het moment dat een overheidsdienst of hulpdienst niet toegankelijk is? Kan dit op een toegankelijke manier en wat wordt er vervolgens mee gedaan?

Momenteel kunnen meldingen van ontoegankelijke websites en apps op de website van DigiToegankelijk.nl ingediend worden.
In de hernieuwde aanpak van BZK wordt er nieuw beleid ontwikkelt en trekken we de geleerde lessen uit andere voorbeelden die hebben gewerkt. Hierbij willen we bijvoorbeeld kijken naar de geleerde lessen bij de invoering van de Coordinated Vulnerability Disclosure (CVD). Met de invoering hiervan is het op een verantwoorde wijze en in gezamenlijkheid tussen melder en organisatie openbaar maken van ICT-kwetsbaarheden op de kaart gezet en kan iedereen een melding doen bij een bedrijf, overheidsinstantie of andere organisatie. De organisatie heeft dan de kans om de kwetsbaarheid op te lossen.
Vanuit digitale toegankelijkheid wordt er gekeken naar een soortgelijke aanpak, op websites van overheden en hulpdiensten, waar mensen een melding rechtstreeks bij de organisatie kunnen doen zodat de digitale toegankelijkheid daar waar dat nodig is, verder bevorderd kan worden.

Vraag 13

Op welke manier worden bestaande diensten verbeterd op basis van input door eindgebruikers? Is de overheid in staat om diensten die zij heeft ingekocht van derden zelf aan te passen om ze toegankelijk te maken?

Het Ministerie van BZK biedt overheidsorganisaties de mogelijkheid om gebruik te maken van generieke hulpmiddelen om hun diensten te verbeteren. Deze hulpmiddelen worden ontwikkeld aan de hand van gebruikersonderzoeken, waarbij overheidsorganisaties zelf de keuze hebben of en hoe zij deze hulpmiddelen inzetten. Overheidsorganisaties zijn hierbij zelf verantwoordelijk voor de inkoop van hun diensten. Er zijn algemene inkoopvoorwaarden waar gebruik van wordt gemaakt, maar het kan per situatie verschillen in of de overheidsorganisatie zelf of de leverancier toegankelijkheidsproblemen oplost.

Vraag 14

Kunt u concreet maken welke toekomst u ziet voor de Informatiepunten Digitale Overheid (IDO’s)?

In 2026 verandert de financiering van de IDO’s. De huidige Specifieke Uitkering (SPUK), die de uitvoering belegt bij bibliotheken, komt te vervallen. In plaats daarvan worden de middelen voor de IDO-dienstverlening aan het Gemeentefonds toegevoegd. Dit is een kabinetsbesluit. Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de laagdrempelige ondersteuning kan bieden. Dat kan nog steeds de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past, het niveau van de dienstverlening gegarandeerd blijft en mensen zo beter worden bereikt, omdat ze daar vaker komen.
Samen met partners brengen we in 2025 in kaart wat de consequenties, kansen en risico’s van de nieuwe wijze van financiering zijn voor de IDO’s. Uitgangspunt is dat de laagdrempelige, empathische ondersteuning en informatievoorziening in de gemeente behouden blijft.

Vraag 15

Bent u bekend met het onderzoek van KPMG, gedaan op verzoek van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, waaruit blijkt dat de financiering voor IDO’s al structureel te laag is?5

Ja, de Staatssecretaris van BZK is bekend met het exploitatieonderzoek van KPMG. Uit het onderzoek blijkt dat er geen gemiddelde exploitatiekosten van het Informatiepunt Digitale Overheid te bepalen zijn, omdat ze sterk uiteenlopen en een reflectie zijn van de lokale inrichting van het IDO en de keuzes in de uitvoering. Bibliotheekorganisaties lijken, aldus het onderzoek, de IDO-middelen voornamelijk in te zetten voor de financiering van de directe uitvoeringskosten van de IDO’s. Indirecte kosten als overhead, huisvesting en automatisering worden door de bibliotheek vaak uit andere middelen dan de specifieke uitkering (SPUK) gefinancierd. Uit het onderzoek blijkt ook dat de toevoeging van de IDO’s aan de dienstverlening van de bibliotheken niet altijd heeft geleid tot een toename van deze overheadkosten. KPMG doet vervolgens de aanbeveling aan gemeenten om de opdracht aan bibliotheken te concretiseren, zodat meer gestuurd kan worden op hetgeen mogelijk is met het beschikbare budget.

Vraag 16

Hoe verenigt u de ambitie om de dienstverlening van IDO’s op peil te houden met de huidige ontoereikende financiering en de voorgenomen bezuiniging op deze voorziening? Bent u het met ons eens dat de middelen voor IDO’s jaarlijks geïndexeerd moeten worden?

De overheveling naar het gemeentefonds gaat gepaard met een korting van 10%. De overheveling verlaagt de administratieve en financiële kosten voor gemeenten door een vermindering van controle- en verantwoordingslasten. Het standpunt van het kabinet is dat dit niet moet leiden tot een inhoudelijke korting op de dienstverlening vanuit de IDO’s.
De middelen voor de SPUK IDO worden op dit moment niet geïndexeerd. Als in de toekomst de middelen worden overgeheveld naar het gemeentefonds, dan geldt dat de ontwikkeling van de omvang van het gemeentefonds (algemene uitkering en decentralisatie-uitkeringen) de ontwikkeling van het bruto binnenlands product (accres) volgt. Dit accres is, evenals alle middelen uit het gemeentefonds, vrij besteedbaar en wordt daarom niet toegerekend aan specifieke onderdelen van de algemene uitkering en/of aan decentralisatie-uitkeringen. Het is dan ook aan gemeenten hoeveel van dit accres ze vervolgens willen toewijzen aan de IDO.

Vraag 17

Welke gevolgen heeft het wegvallen van de specifieke uitkeringen aan gemeenten (SPUK-gelden) voor de toekomst van de IDO’s? Bent u het eens met de stelling dat dit middel er juist voor zorgt dat bibliotheken de loketten goed aan kunnen sluiten op de lokale gemeenschap?

Gemeenten kunnen dan, met hun kennis van de lokale context, zelf beslissen welke organisatie de ingang tot publieke dienstverlening en de laagdrempelige ondersteuning kan bieden zoals bibliotheken dat nu doen. Dat kan de bibliotheek zijn, maar ook een andere organisatie als dat in de lokale context beter past en het niveau van dienstverlening gegarandeerd blijft. Begin 2025 presenteert de Staatssecretaris van BZK een beleidsvisie op fysieke en lokale ondersteuning bij regelzaken met de overheid, waarin een belangrijke rol is weggelegd voor gemeenten om lokaal vorm te geven aan passende ondersteuning en publieke dienstverlening. In 2025 verkent de Staatssecretaris van BZK, met partners, hoe het Ministerie van BZK gemeenten hierbij kan blijven ondersteunen.

Vraag 18

Kunt u verzekeren dat, als de subsidie voor IDO’s met een korting over wordt gemaakt naar het gemeentefonds, deze nog altijd ten goede zal komen van deze loketten? Waaruit zal dat blijken?

De inzet van de Staatssecretaris van BZK is om de laagdrempelige dienstverlening, zoals geboden vanuit het IDO, in stand te houden en daarover gaat het Ministerie van BZK graag met gemeenten verder in gesprek. Door de nieuwe financieringsvorm krijgen gemeenten de beleidsvrijheid om lokaal te bepalen waar welke dienstverlening nodig is en hoe ze dit het meest effectief kunnen inrichten.
Het kabinet zet in op het vergroten van bereikbaarheid en toegankelijkheid van overheidsorganisaties (hfst 7.2 Goed Bestuur uit regeerakkoord). Dat gebeurt zoveel mogelijk bij bestaande loketten en logische plaatsen waar mensen op zoek gaan naar hulp, zoals bijvoorbeeld wijkcentra, de IDO’s en buurthuizen. De Staatssecretaris van BZK presenteert zijn visie hierop aan de Kamer in Q1 2025.

Vraag 19

Bent u bereid om in gesprek te gaan met IDO-beheerders, bibliotheken en de Vereniging Nederlandse Gemeenten (VNG) en om verschillende financieringsmodellen uit te werken die de regierol van bibliotheken behoudt?

Met de SPUK IDO werd beoogd om gemeenten regie te geven over het netwerk van organisaties rond de IDO. Het kabinetsbesluit om alle SPUKs af te schaffen en de financiële middelen over te hevelen naar het gemeentefonds is in lijn met de visie van de Staatssecretaris van BZK. De visie biedt namelijk meer beleidsvrijheid voor gemeenten om te bepalen waar lokaal welke dienstverlening nodig is en wie deze uitvoert. Er worden daarom geen verschillende financieringsmodellen uitgewerkt die de uitvoering van het IDO exclusief bij de bibliotheek beleggen.

Vraag 20

Waar kunnen mensen (met een beperking) aankloppen als zij vragen hebben omtrent de digitale dienstverlening van private partijen? Hoe kan de samenwerking met IDO’s op dit vlak versterkt worden?

Private partijen zijn in eerste instantie zelf verantwoordelijk voor goede toegankelijke dienstverlening. De Staatssecretaris van BZK ziet mogelijkheden in samenwerking met (semi-)private partijen die essentiële dienstverlening bieden, zoals woningbouwcorporaties en zorgverzekeraars. Uitgangspunt hierbij is dat in die samenwerking een wederkerigheid moet zitten, omdat de inzet van publieke middelen private partijen niet ontslaat van het bieden van goede en voor iedereen toegankelijke dienstverlening.

Vraag 21

Bent u het eens met de mening dat het zeer zorgwekkend is dat in de zorgsector veel websites niet of niet volledig toegankelijk zijn? Bent u bereid om afspraken te maken met de sector over de toegankelijkheid van lokale en landelijke zorgportalen?

Zorgorganisaties en onderwijsinstellingen hoeven momenteel niet te voldoen aan de eisen voor toegankelijkheid, omdat zij niet vallen onder het Besluit digitale toegankelijkheid overheid of de Europese toegankelijkheidsrichtlijn. Het besluit geldt voor overheidsinstanties en de Europese toegankelijkheidsrichtlijn voornamelijk voor bedrijven en ondernemers. Momenteel verkennen wij (het Ministerie van VWS, OCW en BZK) de mogelijke opties om de toegankelijkheidsvoorschriften te laten gelden voor de sectoren zorg en onderwijs. We streven ernaar hierover een concrete maatregel op te nemen in de werkagenda voor de Nationale Strategie VN-Verdrag.

Vraag 22

Op welke wijze worden mensen met een beperking en hun vertegenwoordigende organisaties betrokken bij wetgeving en beleid over digitale toegankelijkheid en dienstverlening en de uitvoering daarvan?

Mensen met een beperking worden betrokken bij het maken van beleid en wetgeving over digitale toegankelijkheid en dienstverlening. Mensen met een beperking worden bijvoorbeeld betrokken bij de herziening van de internationale standaard voor digitale toegankelijkheid. Deze standaard wordt beheerd door het World Wide Web Consortium. Als een website voldoet aan deze wettelijk verplichte standaard, wordt er dus aan de behoeften van mensen met een beperking voldaan.

Vraag 23

Kunt u deze vragen afzonderlijk van elkaar en in ieder geval vóór het commissiedebat over digitale inclusie beantwoorden?

Ja.

Vraag 1

Bent u bekend met het bericht «China intimideert Nederlandse media en correspondenten»?1

Ja.

Vraag 2

Deelt u de mening dat het zeer onwenselijk is dat Nederlandse journalisten in China of Nederlandse journalisten die schrijven over China gehinderd worden in hun werk en worden geïntimideerd?

Ja. Nederlandse journalisten moeten ongehinderd hun werk kunnen doen, in Nederland en daarbuiten.

Vraag 3

Wat vindt u van de conclusie dat Nederland geen goed antwoord heeft op Chinese psychologische oorlogsvoering, met indirecte aanvallen zoals lastercampagnes, het delen van privégegevens en publieke aanvallen op journalisten door politici/diplomaten?

Sinds 2023 werkt de Rijksoverheid aan een intensivering van de aanpak Ongewenste Buitenlandse Inmenging (OBI). Op 17 oktober jl. is uw Kamer geïnformeerd over de stand van zaken van deze geïntensiveerde aanpak.2 Daarin staat o.a. dat de Rijksoverheid werkt aan het instellen van een centrale OBI-meldfunctie, het vergroten van de bewustwording rond OBI en de uitbreiding van de strafbaarstelling van spionage. Zoals aangegeven in de Kamerbrief zal het kabinet in 2025 een evaluatie verrichten om te bezien of de beschreven intensivering van de aanpak heeft geleid tot een effectievere aanpak van OBI, en in hoeverre een eventuele verdere aanscherping van de maatregelen nodig is. De conclusies van het onderzoek van het China Kennisnetwerk naar de Chinese invloed en inmenging in het Nederlandse medialandschap leveren daarvoor een relevante bijdrage.
Daarnaast is sinds 1 januari 2024 wetgeving in werking is getreden die het gebruik van persoonsgegevens voor intimiderende doeleinden (doxing) strafbaar stelt.
Op 6 december jl. ontving uw Kamer de Kabinetsreactie3 op het Adviesraad Internationale Vraagstukken-advies4 over Hybride Dreigingen en Weerbaarheid. Hier staat onder meer in dat het kabinet de aanbeveling van de AIV onderschrijft om te investeren in maatschappelijke weerbaarheid tegen hybride dreigingen.

Vraag 4

Ziet u het grote belang van een sterke vrije westerse media in China die ongehinderd haar werk kan dan doen?

Ja.

Vraag 5

In hoeverre ziet u een neerwaartse trend wat betreft de veiligheid van de Nederlandse media in China?

In het rapport van het China Kennisnetwerk beschrijven de onderzoekers de wijze waarop China zich richt op een uitputtingsslag van kritische stemmen over China. Dit past binnen het beeld dat China, door de inzet van uiteenlopende instrumenten en tactieken, het eigen narratief versterkt, zowel binnen de eigen landsgrenzen als daarbuiten. Hier krijgen ook Nederlandse media mee te maken, zowel in China als in Nederland.
Het kabinet staat voor de veiligheid en vrijheid van alle inwoners van Nederland. Elke vorm van inperking van de vrijheid van meningsuiting van Nederlandse media en correspondenten in China door middel van ongewenste inmenging, dreiging en intimidatie, is onacceptabel. De verschillende tactieken die worden belicht in het onderzoek van het China Kennisnetwerk naar de Chinese invloed en inmenging in het Nederlandse medialandschap baren het kabinet zorgen en bevestigen het beeld dat China steeds verder gaat in het inperken van de mediavrijheid in het land.

Vraag 6

Hoe kijkt u naar de tactieken die China gebruikt om de Nederlandse media en correspondenten in China te intimideren?

Zie antwoord vraag 5.

Vraag 7

Op welke manieren kunnen Nederlandse journalisten zich beter voorbereiden voor de intimidatie in China en welke rol kan de Nederlandse overheid hierin spelen?

Het beschermen van persveiligheid en persvrijheid is een gedeelde verantwoordelijkheid van de sector en de overheid. Dat betekent onder andere dat OCW financiële ondersteuning biedt aan PersVeilig. Recent is het project geëvalueerd en gaven geïnterviewde journalisten aan dat PersVeilig bijdraagt aan het kunnen uitoefenen van hun beroep5. Bovendien wordt het project door zowel Free Press Unlimited als het European Center for Press and Media Freedom aangemerkt als «best practice». Journalisten die te maken krijgen met vormen van intimidatie, hetzij uit China of andere landen, kunnen zich tot PersVeilig wenden.
Het kabinet raadt Nederlandse journalisten in China aan om in nauw contact te staan met onze ambassade in Beijing en gevallen van intimidatie daar te melden. Zie vraag 8 voor meer informatie over de rol van de ambassade.

Vraag 8

Hoe kan de Nederlandse overheid helpen, zodat onze media in China ongehinderd haar werk kan blijven doen?

Onafhankelijke journalistiek bedrijven in China kent risico’s en de Nederlandse overheid kan niet garanderen dat journalisten hun werk ongehinderd kunnen doen. Wel onderhoudt de Nederlandse ambassade in Beijing regelmatig contact met de Nederlandse correspondenten in China over hun werkomstandigheden en moedigt hen aan om contact op te nemen wanneer zij dat nodig achten.

Vraag 9

Is via bilaterale diplomatieke kanalen gesproken met China over de intimidatie van onze correspondenten en media in China? Zo ja, is hierin een krachtig diplomatiek signaal overgebracht?

In bilaterale contacten met de Chinese autoriteiten benadrukt Nederland regelmatig het belang van mediavrijheid in het algemeen en de werkomstandigheden van (buitenlandse) journalisten in China in het bijzonder. Hierin worden onze ernstige zorgen overgebracht over de intimidatie van journalisten in China. De Nederlandse ambassade in Beijing is altijd bereid om namens – en in overleg met – Nederlandse correspondenten bezwaar te maken bij de Chinese autoriteiten naar aanleiding van specifieke incidenten.

Vraag 10

Hoe zal de kennis wat betreft China in de Nederlandse overheid en media worden vergroot?

Naar aanleiding van de Chinanotitie van 2019 is het China Kennisnetwerk opgericht. Via dit netwerk helpen China-experts vanuit verschillende invalshoeken de Rijksoverheid om China’s motieven, beleid en visie beter te begrijpen om zo effectiever beleid te ontwikkelen, en ook maatschappelijke partners beter te kunnen adviseren. Het netwerk levert op deze manier een belangrijke bijdrage aan het formuleren en beantwoorden van kennisvragen over China binnen de Rijksoverheid. Dit doel wordt nagestreefd door het uitvoeren van onderzoeken, kennisevenementen, netwerkbijeenkomsten en cursussen over China. Het China Knowledge Network (CKN)wordt in 2025 voortgezet en heeft inmiddels een onderzoeksportfolio van 28 afgeronde onderzoeken en 17 lopende onderzoeken.

Vraag 11

In hoeverre wordt met andere Europese en Westerse overheden samengewerkt om de vrije Westerse media in China te beschermen?

De ambassade in Beijing staat in nauw contact met gelijkgezinde landen binnen en buiten de EU over de werkomstandigheden van journalisten en de mediavrijheid in China in het algemeen. Vanuit deze verbanden kan worden besloten om gezamenlijk op te trekken bij het aankaarten van zorgen over deze zaken. Daarnaast onderhoudt de ambassade goede contacten met de Foreign Correspondents’ Club of China (FCCC), die onder andere de werkomstandigheden van buitenlandse correspondenten in China volgt en hierover jaarlijks een «Media Freedoms Report» publiceert. Ook faciliteert de ambassade regelmatig de FCCC door het bieden van een veilige ruimte om samen te komen en evenementen te organiseren in de kanselarij of residentie.

Vraag 12

Bent u bekend met het rapport «Chinese invloed en inmenging in het Nederlandse medialandschap» van het China Kennisnetwerk van de Universiteit Leiden?2

Ja

Vraag 13

Deelt u de mening van de onderzoekers dat het belangrijk is om als land via formele kanalen steeds de beïnvloeding resoluut te veroordelen en deelt u de mening dat dit nog effectiever wordt wanneer (Westerse) landen gezamenlijk optreden? Zo ja, met welke landen bent u van plan hierover gezamenlijk op te trekken?

Ja. Nederland zet zich in de EU, NAVO en G7 in voor een stevigere, effectievere en meer gecoördineerde aanpak van ongewenste buitenlandse inmenging en beïnvloeding. Op deze manier vindt uitwisseling plaats over de verschillende verschijningsvormen en worden geleerde lessen over het verhogen van de weerbaarheid en responsmogelijkheden gedeeld. Zie voor onze inzet ook de eerder genoemde Kamerbrief over de aanpak van ongewenste buitenlandse inmenging7.

Vraag 14

Deelt u de mening van de onderzoekers dat het creëren van «een hub» voor onafhankelijke Chinese journalisten in Nederland belangrijk is, zoals reeds al het geval is van Russische media in Amsterdam? Wat kunt u voor deze groep journalisten doen en hoe staat u deze groep bij?

De betreffende Russische onafhankelijke media voelden zich genoodzaakt door de agressieoorlog van Rusland in Oekraïne hun werk elders in ballingschap voort te zetten. Ze hebben toen zelf besloten zich in Amsterdam te vestigen. Een dergelijk besluit tot vereniging en vestiging is er nog niet vanuit onafhankelijke Chinese journalisten in Nederland. Het voortzetten van onafhankelijke journalistiek, ook door onafhankelijke Chinese journalisten, is erg belangrijk, zowel voor onafhankelijke informatievoorziening als voor het tegenwicht bieden aan propaganda.
De Nederlandse overheid staat in contact met Chinese diasporagemeenschappen in Nederland. Zo kunnen zij incidenten van intimidatie melden en kunnen zaken, in overleg met de betreffende persoon, opgebracht worden bij de Chinese ambassade.

Vraag 15

Hoe staat u tegenover de aanbeveling van de onderzoekers om het mandaat van het meldpunt PersVeilig uit te breiden naar ook sociale en psychologische veiligheid en weerbaarheid? Deelt u deze mening?

Van deze aanbeveling heb ik kennisgenomen. PersVeilig is een gezamenlijk initiatief van de Nederlandse Vereniging van Journalisten (NVJ), het Nederlands Genootschap van Hoofdredacteuren, de Politie en het Openbaar Ministerie en heeft tot doel de positie van journalisten te versterken tegen geweld en agressie op straat, op sociale media en tegen juridische claims. Sociale en psychologische veiligheid horen op dit moment bij de diensten die PersVeilig biedt. Aandacht voor de psychologische en sociale impact en weerbaarheid maakt onderdeel uit van trainingen voor journalisten en werkgevers. Daarnaast is er aandacht voor deze impact bij het adviseren bij een melding. PersVeilig werkt structureel samen met een psycholoog.

Vraag 16

Onderschrijft u alle andere aanbevelingen van het rapport en zo ja, hoe gaat dit kabinet aan de slag met de implementatie hiervan? Zo nee, waarom niet?

Het rapport doet een aantal aanbevelingen, zowel voor de Nederlandse overheid, redacties en belangenorganisaties. Het kabinet neemt alle relevante aanbevelingen serieus en zal deze de komende tijd verder bestuderen. Ze vormen een belangrijke bijdrage aan de discussie om de veiligheid en onafhankelijkheid van Nederlandse journalisten wereldwijd te beschermen. Implementatie vergt een brede aanpak van de betrokken ministeries, vooral OCW, JenV en BZ.

Vraag 17

Van welke landen is nog meer bekend dat soortgelijke praktijken en tactieken worden gebruikt?

Er zijn meer landen die binnen en buiten de landsgrenzen journalisten en burgers intimideren en daarmee de mediavrijheid en vrijheid van meningsuiting inperken. In de Fenomeenanalyse Statelijke Inmenging van de AIVD en de NCTV van 17 oktober jl. wordt dieper in gegaan op hoe algemene intimidatie van buitenlandse diasporagemeenschappen zich voordoet in Nederland.8 Freedom House publiceerde in december 2023 een rapport over journalistiek in ballingschap en transnationale repressie van journalisten.9

Vraag 1

Heeft u kennisgenomen van het bericht «Criminelen ontdekken een nieuwe oplichtingstruc: phishing via QR-codes»?1

Ja.

Vraag 2

Heeft u een beeld van de mate waarin phishing via QR-codes in Nederland plaatsvindt op dit moment?

Betrouwbare schattingen van de mate waarin phishing via QR-codes plaatsvindt zijn moeilijk te maken omdat deze gevallen niet apart worden geregistreerd door de politie of de Fraudehelpdesk.
De Fraudehelpdesk heeft tot op heden nog geen meldingen ontvangen over fraude door middel van QR-codes bij laadpalen, parkeerautomaten of restaurants, zoals genoemd in het artikel. De politie heeft het beeld dat de vormen van oplichting met QR-codes genoemd in het nieuwsbericht nog nauwelijks voorkomen in Nederland.
Misbruik van QR-codes in e-mails komt de politie wel vaker tegen. Het gaat hierbij vooral om bankhelpdeskfraude en andere vormen van fraude met bankgegevens, beleggingsfraude en creditcardfraude. Phishing (per e-mail of per post), telefonische fraude en online op handelssites waarbij de (ver)koper een QR-code moet scannen om de betaling te bevestigen, zijn de meest voorkomende fraudevormen waar QR-codes bij betrokken zijn. De Fraudehelpdesk ontving in 2024 ongeveer 20 meldingen van phishing met QR-codes, waarbij de schade geschat wordt op ongeveer € 160.000. Daarnaast ontvangt de Fraudehelpdesk jaarlijks ongeveer 600.000 e-mails via de geautomatiseerde e-mailcheck. De schatting van de Fraudehelpdesk is dat ongeveer 20% tot 25% van de ingestuurde valse mails een QR-code bevat. Het aantal registraties waarin sprake is van phishing via QR-codes per mail lijkt gestegen.

Vraag 3

Heeft u een beeld sinds wanneer deze modus operandi door criminelen toegepast wordt?

De Fraudehelpdesk is sinds 2018 bekend met phishing via QR-codes. Het Openbaar Ministerie (OM) heeft deze vorm van oplichting voor het eerst genoemd in de Fraudemonitor 2019 en 2020.2

Vraag 4

Hoeveel gevallen van phishing via QR-codes zijn er het afgelopen jaar bij de politie gemeld?

De politie houdt geen aparte registraties bij van het aantal gevallen van phishing via QR-codes.

Vraag 5

Besteedt de politie aandacht aan deze nieuwe vorm van oplichting? Zo ja, op welke manier? Zo nee, waarom niet?

Als er een aangifte van deze nieuwe vorm van oplichting wordt gedaan, wordt de zaak in behandeling genomen en geprioriteerd conform de daarvoor geldende kaders. De politie probeert altijd alert te zijn op nieuwe fenomenen.

Vraag 6

Welke uitdagingen en belemmeringen ondervinden de politie en het Openbaar Ministerie (OM) bij de opsporing en vervolging van criminelen die deze vorm van oplichting inzetten?

Gedigitaliseerde criminaliteit in het algemeen heeft het vermogen om snel te veranderen en heeft vaak een internationale component. Een ander onderscheidend kenmerk is dat personen die zich bezighouden met deze vormen van criminaliteit zoveel mogelijk uit het zicht van de opsporing proberen te blijven door hun identiteit af te schermen.
Daarnaast is er sprake van een hefboomeffect waarmee een crimineel in korte tijd veel slachtoffers kan maken. De vrij openlijke handel in buitgemaakte gegevens op sociale media faciliteert deze online criminaliteit. Verder vloeit geld steeds vaker naar buitenlandse rekeningen waardoor interveniëren moeilijker wordt.

Vraag 7

Welke maatregelen treft u om burgers te informeren over de risico’s van phishing via QR-codes?

Er worden vanuit verschillende publieke en private organisaties campagnes gevoerd gericht op de preventie van gedigitaliseerde criminaliteit als geheel en om te informeren over de risico’s van phishing met behulp van QR-codes. Het kabinet investeert in het vergroten van de digitale weerbaarheid van burgers en bedrijven en steunt voorlichtingscampagnes, die al dan niet in samenwerking met (private) partijen worden vormgegeven. Zo publiceert de Fraudehelpdesk op haar site dagelijks een selectie van de naar hen doorgestuurde valse e-mails, ook die met een QR-code. Bedrijven van wie de naam wordt misbruikt in de mails die door de Fraudehelpdesk worden gepubliceerd, worden hiervan op de hoogte gesteld. Op de website en op sociale media worden tevens regelmatig waarschuwingen voor nieuwe of toenemende fraudevormen gepubliceerd.
Daarnaast worden er op initiatief van de politie, de banken, de Fraudehelpdesk, veiliginternetten.nl, de Betaalvereniging Nederland, het Digital Trustcenter en de Consumentenbond ook regelmatig campagnes georganiseerd om burgers en bedrijven weerbaarder te maken tegen deze vorm van gedigitaliseerde criminaliteit. In oktober 2024 is de Nationale Cursus Digitale Weerbaarheid met financiële steun van het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties (BZK) gelanceerd. In de cursus is een module opgenomen over phishing, waarin phishing door middel van QR-codes ook aan bod komt. De website voorkomfraude.nl van de Nederlandse Vereniging van Banken (NVB) en de initiatieven vanuit de integrale aanpak van online fraude spelen een belangrijke rol in het versterken van de digitale weerbaarheid van kwetsbare groepen. Gelet op de steeds veranderende modus operandi, zijn deze initiatieven blijvend van belang.

Vraag 8

Heeft u contact met bedrijven wiens QR-codes door criminelen gespoofd worden en bent u in gesprek met deze bedrijven om fraude zoveel mogelijk tegen te gaan?

Voor een gerichte en effectieve aanpak is het van groot belang dat bedrijven aangifte doen indien ze te maken krijgen met spoofing. Ze kunnen hier melding van doen bij de politie of dit (anoniem) melden bij Meld Misdaad Anoniem.
Mijn beleid is gericht op het bevorderen van weerbaarheid en op preventie. Het doel hiervan is om zoveel mogelijk schade en slachtoffers aan de voorkant te voorkomen.
Daarom faciliteer ik de voorlichting rondom deze vorm van criminaliteit door de mogelijkheden waarmee criminelen fraude kunnen plegen onder de aandacht te brengen bij zowel burgers als bedrijven. Vanuit mijn ministerie en de Rijksoverheid in den brede zijn er diverse activiteiten en trajecten om de (cyber-)weerbaarheid van zowel burgers als bedrijven te verhogen. Binnen de integrale aanpak van cybercrime worden ook door de deelnemende partners trends en fenomenen met elkaar uitgewisseld en waar nodig worden deze gedeeld met de getroffen branches. De strafrechtelijke aanpak van fraude is belegd bij opsporings- en vervolgingsinstanties.

Vraag 9

Anticipeert u op nieuwe vormen van oplichting waarbij digitale technologieën worden ingezet? Zo ja, welke zijn dit?

Digitale technologieën worden vandaag de dag helaas veelvuldig ingezet door criminelen om strafbare feiten mee te plegen. In een steeds meer gedigitaliseerde maatschappij kan dus ook niet worden uitgesloten dat er (nieuwe) digitale technologieën worden ingezet voor criminele doeleinden zoals oplichting.
Daarom is het groot van belang om continu te anticiperen op nieuwe vormen van fraude. De Financial Intelligence Unit – Nederland (FIU-NL), het Financial Advanced Cyber Team (FACT) van de Fiscale Inlichtingen- en Opsporingsdienst (FIOD) en de Electronic Crimes Task Force (ECTF) zetten zich onder andere in om deze nieuwe fraudefenomenen op te sporen. Van welke aard nieuwe criminaliteitsvormen zullen zijn en welke werkwijze hiermee gepaard gaat, is niet altijd van tevoren te voorspellen. Op 23 mei jl. is uw Kamer bijvoorbeeld door de Minister van Financiën geïnformeerd over de mogelijkheden tot fraude met betaalproducten met behulp van deepfakes/kunstmatige intelligentie.3 Deze nieuwe vormen hebben dan ook de aandacht van het kabinet.

Vraag 10

Kunt u deze vragen afzonderlijk van elkaar beantwoorden?

Ja.

Vraag 1

Is het correct dat de aangewezen «Digital Services Coordinator» in Nederland de Autoriteit Consument & Markt (ACM) is?1 Indien dit niet het geval is, welke entiteit in Nederland vervult dan wel deze rol?

Ja. De Autoriteit Consument & Markt (hierna: ACM) wordt in het uitvoeringswetsvoorstel digitaledienstenverordening aangewezen als digitaledienstencoördinator.2 Uw Kamer heeft dit wetsvoorstel op 15 oktober jl. aangenomen en het wetsvoorstel is op dit moment aanhangig bij de Eerste Kamer. Vooruitlopend op de totstandkoming van dit wetsvoorstel heeft de toenmalige Minister van Economische Zaken en Klimaat de ACM voorlopig aangewezen als digitaledienstencoördinator.3 Dit geeft de ACM reeds een aantal bevoegdheden, maar om haar taken volledig uit te kunnen voeren is een uitvoeringswet noodzakelijk. De Tweede Kamer is hier bij brief van 13 februari 2024 over geïnformeerd.4

Vraag 2

Kunt u kort beschrijven welke taken de ACM in die rol zal gaan uitvoeren en hoeveel fulltime-equivalent (fte) dit (ongeveer) zal gaan vergen?

De taken van de ACM als digitaledienstencoördinator staan beschreven in de artikelen 49 en verder van de digitaledienstenverordening.5 Het gaat onder meer om het toezicht op de naleving van de verordening, klachtenafhandeling en deelname aan het samenwerkingsverband van toezichthouders op EU-niveau in de zogenaamde digitaledienstenraad. In hoofdstuk 5 van de memorie van toelichting bij het uitvoeringswetsvoorstel digitaledienstenverordening zijn deze taken nader toegelicht.
Het kabinet heeft op basis van een kosteninschatting en een uitvoerbaarheids- en handhaafbaarheidstoets structureel middelen beschikbaar gemaakt voor de ACM. Er is in totaal € 6,5 miljoen toegekend, waarmee de ACM 49 fte kan bekostigen.6

Vraag 3

Welke Nederlandse entiteiten hebben van de ACM, in de rol van «Digital Services Coordinator», inmiddels de status van «trusted flagger» gekregen?

Op dit moment hebben nog geen organisaties de status van «betrouwbare flagger» verkregen van de ACM. De ACM beschikt pas over de bevoegdheid om de status van «betrouwbare flagger» toe te kennen zodra de Uitvoeringswet digitaledienstenverordening in werking is getreden.7 Op het moment dat de ACM, zodra zij daartoe bevoegd is, de status van «betrouwbare flagger» toekent aan organisaties, dan zullen die worden opgenomen in het overzicht van organisaties met die status op de website van de Europese Commissie (hierna: EC).8 In dat overzicht zijn alle organisaties te vinden die in andere lidstaten deze status reeds hebben verkregen.

Vraag 4

Kan de Kamer de correspondentie over het afgelopen jaar ontvangen tussen de ACM (in zijn rol van «Digital Services Coordinator» in Nederland) en de Europese Commissie?

De digitaledienstencoördinatoren en de Europese Commissie zijn uit hoofde van artikel 57, eerste lid, van de digitaledienstenverordening verplicht om nauw samen te werken en elkaar wederzijdse bijstand te verlenen ten behoeve van een consistente en efficiënte uitvoering van de verordening. Hieronder valt ook de uitwisseling van informatie. Onder andere over het starten van onderzoeken en het nemen van handhavingsbesluiten. Artikel 84 van de digitaledienstenverordening bepaalt dat informatie die krachtens de verordening is verkregen of uitgewisseld en die onder het beroepsgeheim valt, niet openbaar mag worden gemaakt.
De ACM heeft dus regelmatig contact op allerlei niveaus tussen en de Europese Commissie over de uitvoering van de verordening, zoals de verordening ook voorschrijft. Ik beschik niet over die correspondentie, gelet op het vertrouwelijke karakter ervan en de onafhankelijke positie van de digitaledienstencoördinator onder de verordening, en kan die dus ook niet aan uw Kamer verstrekken.
De digitaledienstenverordening verplicht toezichthouders wel om jaarlijks informatie te publiceren over de uitvoering van hun taken (artikel 55). De digitaledienstenraad publiceert verder zijn werkplan en notulen van vergaderingen.9 Ook de werkgroepen van de digitaledienstenraad publiceren notulen van hun vergaderingen.10

Vraag 5

Kunt u de bovenstaande vragen binnen drie weken beantwoorden?

Dat is helaas niet gelukt.

Vraag 1

Bent u bekend met het bericht van de NOS getiteld «Overheid maakt volop gebruik van AI, maar kijkt vaak niet naar risico’s»?1

Ja, hier ben ik mee bekend.

Vraag 2

Hoe beoordeelt u het feit dat bij meer dan de helft van de systemen die gebruikmaken van kunstmatige intelligentie (AI) binnen de overheid geen gedegen risicoanalyse wordt uitgevoerd, zoals blijkt uit het onderzoek van de Algemene Rekenkamer (ARK)?

Het is belangrijk dat er voor dit soort systemen een gedegen risicoanalyse wordt gemaakt. Het is straks verplicht om voor hoog-risico AI-systemen de risico’s af te wegen onder de AI-verordening. Vooruitlopend op de AI-verordening en ook voor AI-systemen die niet als hoog risico worden gecategoriseerd bestaan er al verschillende instrumenten om een dergelijke risicoafweging te maken, bijvoorbeeld de Impact Assessment Mensenrechten en Algoritmen (IAMA).

Vraag 3

Welke stappen neemt u om ervoor te zorgen dat alle overheidsinstanties de risico's van AI-gebruik adequaat in kaart brengen volgens de geldende wet- en regelgeving, met bijzondere aandacht voor mensenrechten en privacy?

Alle AI-systemen moeten voldoen aan geldende wet- en regelgeving, ook de systemen met beperkte risico’s. Hiertoe bestaan vele instrumenten. In het algoritmekader wordt een overzicht geboden van de bestaande wettelijke verplichtingen, waaronder de AI-verordening. Ook wordt daarin verwezen naar maatregelen en worden verschillende instrumenten samengebracht om organisaties binnen de overheid te ondersteunen. Mensenrechtentoetsen, de AVG en het verbod op discriminatie zijn daar onderdeel van.

Vraag 4

Kunt u uitleggen waarom slechts vijf procent van de AI-systemen is opgenomen in het openbare algoritmeregister, terwijl dit register juist werd opgezet naar aanleiding van de Toeslagenmisdaad? Zo nee, waarom niet?

Niet alle AI-systemen hoeven in het Algoritmeregister te worden geregistreerd. Bijvoorbeeld als het gaat om een experiment dat geen impact heeft (gehad) op burgers of bedrijven, of als de impact van een AI-systeem met name indirect is.
Mij is bekend dat veel overheden, zowel binnen het Rijk als daarbuiten, bezig zijn met de vulling van het register, maar dat het inventariseren, beoordelen en registreren van AI-systemen tijd en capaciteit vraagt. Alle departementen hebben toegezegd ten minste de hoog-risico AI-systemen eind 2025 geregistreerd te hebben. In de Jaarrapportage Bedrijfsvoering Rijk zullen departementen inzicht verschaffen in de precieze voortgang.
Ik stimuleer overheden, zowel binnen de rijksoverheid als medeoverheden, om te publiceren in het algoritmeregister. Daarvoor neemt het Ministerie van BZK proactief contact op met overheden en wordt er ondersteund met verschillende instrumenten, zoals de handreiking algoritmeregister, templates van leveranciers, ondersteuning van een implementatieteam, zogenoemde aansluitsessies, een regiotour, een nieuwsbrief en artikelen met tips van organisaties die al gepubliceerd hebben.

Vraag 5

Hoe gaat u ervoor zorgen dat alle hoogrisico-AI-systemen voor de deadline van 2026 in het register zijn opgenomen, zoals vereist door Europese regelgeving?

Voor registratie in het algoritmeregister verwijs ik u naar vraag 4. Voor wat betreft de Europese databank, verplicht de AI-verordening de registratie van hoog risico AI-systemen door aanbieders en gebruiksverantwoordelijken van deze systemen in een EU-databank. Deze verplichting geldt per 2 augustus 2026 voor nieuwe hoog risico AI-systemen. Het is nog niet precies bekend hoe de EU-databank vormgegeven wordt.

Vraag 6

Welke maatregelen neemt u, gezien de Toeslagenmisdaad en de waarschuwing van de ARK over mogelijke discriminatie door AI-systemen, om te garanderen dat AI-systemen van bijvoorbeeld de Belastingdienst en het Uitvoeringsinstituut Werknemersverzekeringen (UWV) voldoen aan de vereisten van nauwkeurigheid en non-discriminatie?

Het Ministerie van Binnenlandse Zaken investeert in de kennis over biastoetsing binnen de overheid, zodat overheden- die daar zelf verantwoordelijk voor zijn – tijdig de juiste maatregelen nemen om dit te voorkomen. Het Ministerie van BZK heeft in 2021 een handreiking non-discriminatie laten opstellen. Recent is mede op basis van deze handreiking een e-learning module non-discriminatie uitgebracht.2 Daarnaast zijn er ook buiten het ministerie initiatieven die erop gericht zijn om nauwkeuriger aan de vereisten van non-discriminatie te voldoen, denk aan bias detectie tools of een gestandaardiseerde werkwijze voor profileringsalgoritmes. Door algoritmes te controleren aan de hand van deze standaard kunnen (indirecte) discriminatie en andere ongewenste effecten van profilering worden bestreden.3
Verschillende van deze hulpmiddelen komen samen in het algoritmekader, waarin ook de aanbeveling van het Rathenau-instituut4 is meegenomen om de manier waarop biastoetsing plaatsvindt te versterken.

Vraag 7

Deelt u de zorg van de ARK dat er een prikkel bestaat om AI-systemen niet als hoogrisico in te schatten, zodat men niet hoeft te voldoen de strengere Europese regelgeving?

Nee, die zorg deel ik niet. Alle AI-systemen die de overheid gebruikt moeten voldoen aan geldende wet- en regelgeving, waaronder de bepalingen van de AI-verordening die in fases van kracht wordt. Binnen de overheid zijn organisaties momenteel bezig met het inventariseren van de bestaande AI-systemen om vervolgens een inschatting te maken van de classificatie onder de AI-verordening. Op nationaal niveau zal voor deze EU-wetgeving toezicht worden ingericht op hoog-risico AI-systemen, bijvoorbeeld op de verplichting om hoog-risico AI-systemen te registeren in een EU-databank. Voor het niet registeren van deze AI-systemen kunnen sancties worden opgelegd door de toezichthouder. Ook het verkeerd inschatten van AI-systemen die onder de hoog-risico AI-toepassingsgebieden van de AI-verordening vallen, kan leiden tot sancties. Daarnaast spelen ook de Auditdienst Rijk (ADR) en de ARK door onder meer audits en onderzoeken een rol bij het in kaart brengen van risico’s op de inzet van AI bij de rijksoverheid.

Vraag 8

Hoe wordt bij de inzet van AI-toepassingen, zoals de inzet van robothonden voor celinspecties bij de Dienst Justitiële Inrichtingen (DJI), gewaarborgd dat de privacy en rechten van gedetineerden worden beschermd en worden er risicoanalyses uitgevoerd?

DJI verkent de mogelijkheden van innovaties om de maatschappelijke opgave van DJI verder te kunnen verbeteren. Het is belangrijk dat er voor dit soort systemen een gedegen risicoanalyse wordt gemaakt (zie ook antwoord op vraag 2). In het geval van de robothond onderzoekt DJI in hoeverre een robothond de effectiviteit en efficiëntie van een celinspectie kan vergroten met inachtneming van waarborgen van gedetineerden, zoals privacy. De innovatiepilot loopt nog en duurt waarschijnlijk nog 2 jaar.

Vraag 9

Hoe wordt ervoor gezorgd dat er een duidelijke standaard is voor het testen en monitoren van AI-systemen, met betrekking tot nauwkeurigheid en non-discriminatie, gezien het groeiende gebruik van AI in overheidsdiensten?

Aanbieders van hoog-risico AI-systemen moeten ervoor zorgen dat die systemen aan de eisen uit de AI-verordening voldoen. Dit houdt o.a. in dat systemen nauwkeurig werken en niet discrimineren. Deze (abstracte) eisen worden op Europees niveau nader uitgewerkt in concrete technische specificaties. Deze specificaties worden ook wel geharmoniseerde standaarden genoemd. Deze standaarden zijn er nog niet, maar worden momenteel op Europees niveau door o.a. Europese normalisatie-instituten ontwikkeld. Nederland en het kabinet zijn via het Nederlandse normalisatie-instituut (NEN) betrokken bij de uitwerking van deze standaarden.

Vraag 10

Bent u bereid om extra toezicht of huidige controlemechanismen in te stellen om ervoor te zorgen dat AI-systemen niet alleen efficiënt werken, maar ook rechtvaardig en veilig zijn voor burgers?

Op dit moment zijn er al verschillende trajecten die bijdragen aan het borgen van veilige en rechtvaardige AI-systemen.
In het kader van de AI-verordening zal toezicht worden ingericht op de ontwikkeling en het gebruik van AI-systemen. Op AI-systemen met een onaanvaardbaar risico of AI-systemen die een hoog risico vormen voor de veiligheid, gezondheid en grondrechten van burgers, zal onder meer toezicht worden gehouden, waarbij overtredingen kunnen leiden tot hoge boetes. Momenteel werken de betrokken ministeries onder leiding van EZ, BZK en JenV uit hoe het toezicht op de AI-verordening het beste kan worden ingericht. Daarbij wordt het advies van de toezichthouders over deze inrichting betrokken.5
Naast de AI-verordening is er voor de inzet van AI en algoritmes ook (mogelijk) andere wet- en regelgeving van toepassing. Zo verwerken veel risicovolle toepassingen op het gebied van AI en algoritmes persoonsgegevens. Dit AVG-toezicht is de afgelopen jaren structureel versterkt.
De Directie Coördinatie Algoritmes (DCA) bij de Autoriteit Persoonsgegevens (AP) heeft daarnaast als coördinerend toezichthouder op algoritmes en AI oog voor belangrijke (publieke) waarden als rechtvaardigheid en veiligheid, bijvoorbeeld door het signaleren van risico’s en het delen van kennis op dit gebied met andere (sectorale) toezichthouders.

Vraag 11

Welke stappen gaat u ondernemen om in de toekomst getroffen burgers snel en rechtvaardig te compenseren wanneer de overheid discriminerende beslissingen heeft genomen door het gebruik van AI-systemen?

Op verzoek van uw Kamer is een eerste versie van een discriminatieprotocol opgesteld.6 Deze is opgenomen in het algoritmekader. In dit protocol zijn de lessen van en ervaringen met de Toeslagenaffaire en DUO verwerkt. Het kabinet investeert in vroegtijdige toetsing, maar mocht het ondanks alle voorzorgsmaatregelen toch misgaan, is het belangrijk om een werkwijze te hebben om de situatie te herstellen. Het discriminatieprotocol is een handvat, dat overheidsorganisaties kunnen gebruiken om hun eigen werkwijze in te richten. Een onderdeel van het protocol is om een noodplan achter de hand te hebben om een algoritme te kunnen stoppen. Ook richt het protocol zich op het herstellen van de schade. Onderdeel is het informeren van betrokkenen en zorgdragen voor adequate herstelprocedures.

Vraag 12

Is er op dit moment een procedure ontwikkeld om burgers die zijn benadeeld door discriminerende AI-beslissingen actief te helpen bij het herstellen van hun rechten?

Zie antwoord op vraag 11.

Vraag 13

Bent u bereid meer transparantie te bieden over welke AI-systemen in het algoritmeregister als hoogrisico worden ingeschat, specifiek met betrekking tot het risico op discriminatie?

Voor de definitie van hoog-risico AI-systemen wordt gebaseerd op de definitie uit de AI-verordening. In de verordening zijn bepaalde toepassingsgebieden als hoog-risico geclassificeerd, vanwege het risico dat zij vormen voor onze gezondheid, veiligheid en grondrechten. Daarbij is het verbod op non-discriminatie een bijzonder relevante factor. De verantwoordelijkheid voor het juist classificeren ligt bij de overheidsorganisaties zelf, waarop toezicht gehouden kan worden door een toezichthouder op basis van de AI-verordening. Het algoritmeregister maakt het mogelijk om te filteren op AI-systemen die door overheidsorganisaties zelf gecategoriseerd zijn als hoog-risico.7

Vraag 14

Op welke manieren kunnen burgers worden geïnformeerd over de specifieke risico's van deze AI-systemen en hoe zij zich hiertegen kunnen beschermen?

De AI-verordening verplicht gebruikers bij het gebruik van hoog-risico AI-systemen voor besluitvorming, de daardoor geraakte natuurlijke persoon hierover te informeren. Daarnaast heeft de natuurlijke persoon een recht op uitleg bij de inzet van bepaalde hoog-risico AI-toepassingen.
In het regeerprogramma staat verder dat het kabinet werk maakt van transparantie over het gebruik van AI en algoritmes door de overheid. Momenteel wordt nader bezien hoe hier invulling aan kan worden gegeven.

Vraag 15

Welke maatregelen gaat u nemen om ervoor te zorgen dat burgers, en met name kwetsbare groepen, worden beschermd tegen discriminerende algoritmes die door de overheid worden ingezet, zoals aangegeven door de ARK?

Zie o.a. antwoorden op vragen 6, 9, 10 en 11. Het is belangrijk dat de normen goed toepasbaar worden gemaakt, gestandaardiseerde werkwijzen worden ontwikkeld -met name voor de gevoelige (profilerings-)algoritmes, tijdig wordt getoetst, risico’s worden gemitigeerd en een werkwijze achter de hand is om schade te herstellen. Aanvullend wil het kabinet ervoor zorgen dat burgers, met name kwetsbare burgers (of organisaties die hen vertegenwoordigen) worden betrokken en hun input leveren. Dat kan via burgerpanels en/of ethische commissies.

Vraag 16

Hoe zorgt u ervoor dat AI-systemen, zoals die van het UWV en de Belastingdienst, die direct van invloed zijn op burgers, niet leiden tot discriminerende keuzes of ongelijke behandeling op grond van etniciteit of nationaliteit?

Zie antwoord op vraag 6.

Vraag 17

Hoe wordt voorkomen dat AI-systemen, zoals die in het algoritmeregister, onrechtmatige beslissingen nemen die burgers onterecht benadelen en schade toebrengen?

De verantwoordelijkheid hiervoor ligt primair bij de overheidsorganisaties die het AI-systeem inzetten. Zij worden geacht maatregelen te nemen om te voldoen aan wetgeving en daarvoor intern toezicht op te stellen. Het Ministerie van BZK stelt hiervoor hulpmiddelen ter beschikking, zoals de handreiking non-discriminatie by design, het impact assessment mensenrechten en algoritmes (IAMA) en het algoritmekader. Onrechtmatig handelen kan daarnaast opgespoord worden door toezichthouders.

Vraag 1

Heeft u kennisgenomen van het artikel «AI fraude neemt snel toe in de financiele sector»?1

Ja.

Vraag 2

Bent u het ermee eens dat dit een zeer zorgelijke ontwikkeling is?

Ja. De ontwikkeling van kunstmatige intelligentie (in het Engels: Artificial Intelligence (AI)) brengt kansen met zich mee, maar ook risico’s. Een daarvan is dat de techniek kan worden misbruikt door criminelen. Zoals ook staat in het rapport van Signicat, dat wordt aangehaald in het artikel, wordt kunstmatige intelligentie in toenemende mate ingezet bij het plegen van fraude. Dit is een zorgelijke ontwikkeling.

Vraag 3

Welke stappen onderneemt u om AI-fraude in de financiële sector tegen te gaan?

In de Werkgroep Veiligheid van het Maatschappelijk Overleg Betalingsverkeer (MOB) spreekt mijn ministerie met vertegenwoordigers van verschillende betrokkenen, zoals banken, betaalinstellingen, consumentenorganisaties, politie, Openbaar Ministerie en De Nederlandsche Bank over veiligheid in het betalingsverkeer. Fraude in het betalingsverkeer is hier een belangrijk onderdeel van.
Ook heeft dit onderwerp de aandacht binnen de Integrale aanpak online fraude, waar onder coördinatie van de Minister van Justitie en Veiligheid door de Minister van Economische Zaken en mijzelf aan wordt gewerkt.
Het is belangrijk dat bedrijven zelf adequate maatregelen nemen om klanten te beschermen tegen verschillende vormen van fraude en in te spelen op actuele ontwikkelingen, waaronder kunstmatige intelligentie. Tegelijkertijd is het probleem van online fraude een breder maatschappelijk probleem, waar publieke en private partijen samen moeten optrekken om burgers te beschermen.

Vraag 4

Op welke manier worden bedrijven gestimuleerd om maatregelen te nemen?

Zie antwoord vraag 3.

Vraag 5

Veel financiële instellingen geven aan niet over de middelen en expertise te beschikken om deze bedreiging aan te pakken. Gaat u met hen in gesprek over wat er nodig is om dit op orde te krijgen?

Fraude is een zeer actueel onderwerp en daarom ben ik regelmatig in gesprek met financiële instellingen om de nieuwe ontwikkelingen te bespreken. Van banken verneem ik dat zij continu zichtbare en onzichtbare maatregelen nemen om fraude en oplichting te voorkomen. Het is vandaag de dag onderdeel van hun dagelijkse werkzaamheden om in te spelen op de nieuwe technieken die criminelen inzetten om te frauderen, waaronder kunstmatige intelligentie. Ik heb tot nu toe geen signalen ontvangen dat de financiële sector in Nederland op dit moment niet over de middelen en expertise beschikt om deze bedreiging aan te pakken.

Vraag 6

Is het mogelijk om de bescherming van klanten middels biometrische controles en essentiele informatie documenten (Eid’s) te verbeteren?

Momenteel maken banken al gebruik van biometrische controles voor de bescherming van klanten. Banken passen onder andere sterke klantauthenticatie (SCA) of ook wel tweefactorauthorisatie toe. Dit is een veiligheidsvereiste die voortkomt uit de herziene Richtlijn Betaaldiensten (PSD2) en waarbij een betaling of aanpassing in de online bankomgeving wordt goedgekeurd door middel van twee verschillende elementen waar alleen de rechtmatige pashouder of rekeninghouder over beschikt. Dit kan bijvoorbeeld een wachtwoord zijn, maar ook biometrische elementen zoals een vingerafdruk of gezichtsverificatie.
In de vraag wordt verwezen naar essentiële informatie documenten, maar waarschijnlijk wordt gedoeld op elektronische identificatiemiddelen (eID). De financiële sector maakt al gebruik van elektronische identificatiemiddelen. Een voorbeeld is iDIN.

Vraag 1

Bent u bekend met het bericht «Duizenden apparaten in Nederland getroffen door Chinese staatshackers»?1

Ja, alle aangeschreven bewindspersonen zijn bekend met het bericht.

Vraag 2

Sinds wanneer is deze hack bij u bekend? Hoeveel tijd is er verstreken tussen de initiële aanval en het moment dat het onder uw aandacht kwam?

De Nederlandse overheid is enkele dagen voor de publicatie van de FBI op 18 september 2024 in vertrouwen geïnformeerd over deze casus door de VS. De gehackte Nederlandse apparaten waren onderdeel van een botnet dat bekend staat in open bronnen als het Raptor Train-botnet. Dit botnet is in mei 2020 geïnitieerd. Het is niet bekend wanneer de eerste apparaten in Nederland zijn besmet. Het ging hier namelijk om een wereldwijd botnet waarvan ca. 260.000 systemen onderdeel uitgemaakt hebben, waaronder ook ruim 2000 apparaten in Nederland.

Vraag 3

Bent u bekend met welk motief Nederlandse apparaten gehackt zijn, naast het kapen van deze systemen voor het uitvoeren van andere cyberaanvallen? Was deze aanval gericht of ongericht?

Bij het opzetten van een botnet worden apparaten besmet die op dat moment eenvoudig over te nemen zijn. Het doel is meestal zo veel mogelijk verschillende apparaten onder controle te krijgen om deze later gericht te kunnen inzetten. Het botnet zelf is dus ongericht. Ook de cybersecurity advisory van de Amerikaanse diensten geeft weer dat deze cyberoperatie ongericht was.
De Chinese cyberactor, een commercieel bedrijf, hackte doorlopend en wereldwijd kwetsbare apparaten om deze toe te voegen aan het Raptor-Train botnet. Vervolgens bood deze het botnet aan als dienstverlening voor obfuscatie doeleinden. Andere Chinese cyberactoren kregen hiermee toegang tot een middel om hun cyberoperaties langs te routeren en zo de herkomst hiervan te verhullen.
Deze activiteit past binnen het normbeeld van het Chinese cyberecosysteem en de rol van commerciële bedrijven daarbinnen. Deze professionaliseerden hun operaties door gebruik te maken van gehackte infrastructuur, waaronder consumentenapparatuur, zo meldden de AIVD2 en MIVD3 in hun jaarverslagen over 2023.

Vraag 4

Welke gevolgen verbindt u aan het de aanval van Chinese staatshackers? Trekt u hierin gezamenlijk op met de andere getroffen landen?

De Joint Cyber Security Advisory4 van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren5 en het Cybersecuritybeeld Nederland (CSBN 2024)6. Met de Nederlandse Cybersecurity Strategie (NLCS)7 streeft het kabinet naar een digitaal veilig Nederland en verhoogt het de weerbaarheid tegen cyberaanvallen.
De antwoorden op vragen 5, 8, 10 en 11 hieronder geven weer welke mitigerende maatregelen zijn genomen door het National Cybersecurity Centrum (NCSC) en Digital Trust Center (DTC). Over verdere maatregelen tracht het Kabinet zoveel mogelijk naar buiten te treden, in lijn met motie Erkens, maar dit is niet altijd mogelijk. Nederland trekt hierbij zoveel mogelijk op met partners, vooral in EU- en NAVO-verband.

Vraag 5

Op welke termijn verwacht u een totaalbeeld te hebben van de gevolgen, de schaal en het motief van deze aanval? Kunt u de analyse (al dan niet vertrouwelijk) aan de Kamer doen toekomen?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten omvat een analyse van de gevolgen, schaal en motief van dit botnet. Deze analyse is in lijn met het normbeeld dat wordt geschetst in het Dreigingsbeeld Statelijke Actoren en het Cybersecuritybeeld Nederland (CSBN 2024). Verder geven de antwoorden op vragen 6, 7 en 8 hieronder weer wat het huidige, en naar verwachting zo volledig mogelijk nationale totaalbeeld over de gevolgen, de schaal en het vermoedelijk motief is.
Het NCSC heeft door tussenkomst van het Digital Trust Centre (DTC) van het Ministerie van Economische Zaken, waar mogelijk eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is daarbij een algemeen advies meegegeven aan de eigenaren. Het NCSC en het DTC hebben ook op hun websites8 9 algemeen beveiligingsadvies uitgebracht met een verwijzing naar deze Joint Cyber Security Advisory en algemene kennisproducten over het verhogen van weerbaarheid toegevoegd.

Vraag 6

Is er kritische digitale infrastructuur geraakt door deze aanval? Zijn de volledige gevolgen voor de cyberveiligheid van Nederland in beeld?

Nee, voor zover bekend waren de in Nederland besmette systemen geen onderdeel van de Rijksoverheid of vitale infrastructuur. Het ging met name om besmetting van consumentenapparaten.

Vraag 7

Is er mogelijk staatsgeheime informatie geraakt in de aanval? Met welke zekerheid kunt u dat zeggen?

Voor zover bekend waren de besmette systemen geen onderdeel van de kritische infrastructuur, er zijn geen apparaten van de Rijksoverheid of vitale infrastructuur besmet en onderdeel geweest van het Raptor-Train botnet. Voor zover bekend is het botnet ook niet door andere Chinese cyberactoren gebruikt om cyberoperaties uit te voeren tegen Nederlandse of Europese belangen. Zeer waarschijnlijk is er vanuit het botnet geen dreiging geweest voor Nederlandse staatsgeheimen. Gezien het doel van het netwerk was om cyberoperaties te verhullen, kan echter inherent niet worden uitgesloten dat dit op enig moment het geval is geweest.

Vraag 8

Op welk detailniveau is het bekend welke personen, organisaties en apparaten getroffen zijn? Welke rol speelt het Nationaal Cyber Security Centrum (NCSC) nu bij het informeren en de verdere hulpverlening van getroffenen?

Van de Nederlandse gehackte apparaten is het bekend wat de IP-adressen en MAC-adressen waren. De gebruikers van deze apparaten hebben voor zover bekend geen problemen ondervonden van de malware, omdat deze er op gericht was om internetverkeer op heimelijke wijze via het apparaat te routeren. Voor zover bekend hebben de betreffende gebruikers ook geen problemen ondervonden door de Amerikaanse verstoringsoperatie waarbij deze malware verwijderd is van hun apparaten en waarmee het botnet werd uitgeschakeld.
Het NCSC heeft een lijst gekregen met alle IP-adressen van getroffen apparaten. Partijen zijn, waar mogelijk, via het DTC geïnformeerd. Het gaat hier om een klein deel van de totale hoeveelheid getroffen apparaten in Nederland Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het niet ging om apparaten van organisaties behorende tot de doelgroep van het NCSC (Rijksoverheid of vitale aanbieders). Wel hebben zowel het DTC en het NCSC op hun website algemeen advies gepubliceerd en verwijzingen toegevoegd naar het Joint Cyber Security Advisory en bestaande kennisproducten om de weerbaarheid te verhogen.

Vraag 9

Kunt u vaststellen of de getroffen apparaten een gedeelde kwetsbaarheid hadden? Hoe kan deze kwetsbaarheid worden afgedekt? Zou de Cyber Resilience Act (CRA) voorkomen dat dergelijke hacks in de toekomst weer plaatsvinden?

De Joint Cyber Security Advisory van de Amerikaanse, Australische, Britse, Canadese en Nieuw-Zeelandse diensten spreekt over misbruikte kwetsbaarheden in meer dan 70 verschillende typen apparaten, van meer dan 40 fabrikanten. Het betrof zowel apparaten die end-of-lifezijn als apparaten die nog door de fabrikant ondersteund worden.
Aangezien het botnet vat heeft gekregen op veel verschillende type kwetsbare apparaten is er waarschijnlijk sprake van meerdere uitgebuite kwetsbaarheden. De Cyber Resilience Act(CRA) schrijft voor dat producten met digitale elementen (hard- en software) vanaf eind 2027 aan cybersecurityvereisten moeten voldoen om in de EU op de markt te mogen worden aangeboden. Vanaf 1 augustus 2025 gelden er bovendien op grond van de radioapparatenrichtlijn al cybersecurityeisen voor het op de Europese markt aanbieden van draadloos verbonden apparatuur. De Rijksinspectie voor Digitale Infrastructuur (RDI) zal toezien op de naleving van deze eisen. De kans op kwetsbaarheden in apparatuur wordt met deze cybersecurity-producteisen aanzienlijk verkleind. Toch zullen kwetsbaarheden en hacks die daar misbruik van maken nooit volledig kunnen worden voorkomen. Om die reden krijgen fabrikanten op grond van de CRA ook een zorgplicht voor de cybersecurity van de producten gedurende de verwachte gebruiksduur, waarbij zij een gratis veiligheidsupdate moeten verstrekken zodra er een kwetsbaarheid wordt geïdentificeerd, die in beginsel automatisch wordt geïnstalleerd. Hierdoor zal de impact van een eventuele hack zo veel mogelijk worden beperkt.

Vraag 10

Welke rol hebben uw verschillende ministeries bij het verder afhandelen van de gevolgen van deze aanval?

Het NCSC heeft door tussenkomst van het DTC, waar mogelijk, eigenaren van de getroffen apparatuur op de hoogte gesteld. Er is door het DTC een algemeen advies meegegeven aan de eigenaren. Het NCSC heeft zelf geen getroffen organisaties geïnformeerd, aangezien het voor zover bekend niet ging om apparaten van organisaties binnen de Rijksoverheid of van vitale aanbieders. Ook hebben het NCSC en het DTC op hun websites algemeen beveiligingsadvies uitgebracht om dergelijke apparaten veiliger te kunnen maken. Tevens hebben het DTC en het NCSC organisaties geattendeerd op de Joint Cyber Security Advisory en algemene kennisproducten die weerbaarheid tegen digitale aanvallen verhogen.
Het Ministerie van Buitenlandse Zaken onderhoudt contact met partners over mogelijke aanvullende maatregelen. Mochten diplomatieke vervolgstappen t.a.v. het incident in beeld komen, dan zal het Ministerie van Buitenlandse Zaken daarover de coördinatie voeren.

Vraag 11

Met welke organisaties en partijen werken uw ministeries en de NCSC samen, zowel landelijk als internationaal, om de aanval verder af te handelen?

De verdere afhandeling van deze cyberoperatie binnen Nederland is beperkt. Er zijn voor zover bekend geen vitale of overheidsbelangen getroffen waar verdere mitigatie nodig is. Door de Amerikaanse verstoringsoperatie is de malware verwijderd van de gehackte Nederlandse apparaten in het botnet. Het kabinet heeft in de communicatie rondom dit incident gewezen op de beschikbare adviesproducten op de website van het NCSC en DTC over cyberdreigingen voor kwetsbare apparaten van particulieren en midden- en kleinbedrijf om eventuele mitigatie van kwetsbaarheden.

Vraag 12

Kunt u deze vragen afzonderlijk van elkaar en op zo kort mogelijke termijn beantwoorden?

Deze antwoorden zijn in samenwerking van de Ministers van Justitie en Veiligheid, Economische Zaken, Buitenlandse Zaken en Binnenlandse Zaken opgesteld en zijn op een zo kort mogelijk termijn beantwoord.

Vraag 1

Is het Defensie Big Data Advanced Analytics Platform (DBDAAP) ook in gebruik genomen? Zo ja, wanneer?

Ja. Nadat het platform in april 2022 is opgeleverd, hebben in september 2022 de eerste gebruikers gebruik gemaakt van het platform.

Vraag 2

Indien DBDAAP in gebruik is genomen, hoe wordt deze ingebruikname gemeten?

De ingebruikname van DBDAAP wordt «gemeten» aan de hand van het aantal defensiemedewerkers dat gebruik maakt van de aangeboden tooling en het aantal toepassingen dat ontwikkeld wordt op het platform.

Vraag 3

Indien DBDAAP in gebruik is genomen, hoeveel ontwikkelaars hebben in april 2024 ongeveer op het DBDAAP-platform ingelogd?

In april 2024 hebben circa 90 ontwikkelaars ingelogd op DBDAAP.

Vraag 4

Hoeveel van deze ontwikkelaars draaien daadwerkelijk diensten op het DBDAAP-platform?

In april 2024 werkten circa 70 ontwikkelaars aan toepassingen op DBDAAP.

Vraag 5

Indien DBDAAP in gebruik is genomen, hoeveel applicaties draaiden er op 30 april 2024 op het DBDAAP-platform? Kunt u wellicht ook de namen van deze applicaties geven?

Op 30 april draaiden er 34 applicaties op DBDAAP. Vanwege het vertrouwelijke karakter van deze applicaties is het niet mogelijk de namen hiervan te delen.

Vraag 6

Indien DBDAAP in gebruik is genomen, hoeveel gigabyte was er op 30 april 2024 in totaal op het DBDAAP-platform (ongeveer) opgeslagen? Hoeveel inkomend en uitgaand dataverkeer is er (ongeveer) in totaal op deze datum voor het DBDAAP-platform gerealiseerd?

In april 2024 werd er al meer dan 20 terabyte aan data opgeslagen op DBDAAP. Het inkomend en uitgaand verkeer wordt niet bijgehouden.

Vraag 7

Indien DBDAAP in gebruik is genomen, is daarmee het platform DBDAAP ook binnen de gehele krijgsmacht in gebruik genomen?

Ja. Er draaien toepassingen op DBDAAP van alle defensieonderdelen, met uitzondering van de Koninklijke Marechaussee. Vanwege de Wet Politiegegevens vallen de meeste datatoepassingen van de Koninklijke Marechaussee buiten het rubriceringsniveau van DBDAAP.

Vraag 8

Welke krijgsmachtonderdelen hadden DBDAAP op 30 april 2024 eventueel niet in gebruik? Waarom hebben zij dit platform niet in gebruik genomen?

Zie antwoord vraag 7.

Vraag 9

Wat zijn de totale kosten van het project DBDAAP tot op de dag van vandaag?

Tot september 2024 is circa 8,2 miljoen euro uitgegeven aan de ontwikkeling en de exploitatie van DBDAAP.

Vraag 10

Wordt DBDAAP wellicht ook nog doorontwikkeld op dit moment en zo ja, welke partijen zijn hierbij betrokken?

Ja. DBDAAP wordt doorontwikkeld door het datalab van Defensie. De prioriteit voor de doorontwikkeling wordt bepaald door de Chief Data Officersvan de verschillende defensieonderdelen.