Kamervragen
709 kamervragen gevonden
beantwoord onbeantwoord uitgesteld
Alle
3 juli 2017 - 22 augustus 2017
50 dagen
Het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS |
|
Maarten Hijink (SP), Ronald van Raak (SP) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD), Lodewijk Asscher (viceminister-president , minister sociale zaken en werkgelegenheid) (PvdA), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
-
Vraag 1
Kunt u, nu u aangeeft antwoorden op eerdere vragen dat het UWV (UItvoerigsorgaan werknemersverzekeringen) een contract heeft met IBM, garanderen dat data van Nederlandse inwoners die bij het UWV bekend zijn niet in handen kunnen komen van de Amerikaanse overheid?1 2
UWV heeft maatregelen genomen om te borgen dat de persoonsgegevens die IBM verwerkt zodanig zijn beveiligd dat wordt voldaan aan de privacyregelgeving. Zo is IBM contractueel verplicht zich te houden aan de Wet Bescherming Persoonsgegevens. Verder heeft UWV een beveiligingsovereenkomst met IBM gesloten waarbij alle klantspecifieke beveiligingsafspraken tot in detail zijn vastgelegd. Daar waar vereist heeft UWV een European Model Contract gesloten met IBM. In dergelijke modelcontracten (waarvan de tekst is vastgesteld door de Europese Commissie) worden passende waarborgen gegeven voor de bescherming van persoonsgegevens die in lijn zijn met de Europese kaders. Nederland heeft echter geen directe invloed op wetgeving van buiten de EU die de privacyregelgeving zou kunnen doorkruisen. Van een volledige garantie kan dan ook geen sprake zijn (zie ook het antwoord onder 2).
Momenteel loopt een aanbestedingstraject om de datacenterdienstverlening bij UWV opnieuw te verwerven. In de aanbesteding worden uitgebreide, concrete eisen opgenomen over beveiliging. Een beveiligingsovereenkomst gebaseerd op de geldende standaarden vormt onderdeel van de contractset en deze wordt (zoals nu ook bij IBM het geval is) in concrete afspraken uitgewerkt. Ook heeft UWV, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hiermee borgt UWV dat ook bij een nieuw contract voor datacenterdienstverlening een passend beschermingsniveau van persoonsgegevens en een afdoende algemeen beveiligingsniveau wordt geboden. -
Vraag 2
Kunt u garanderen dat de persoonsgegevens van Nederlandse burgers, of dat nu via het UWV of een andere overheidsinstantie is, niet in handen kunnen komen van de Amerikaanse overheid? Zo nee, wat gaat u hierop ondernemen?
Nee, die garantie kan ik niet geven. Er bestaat immers een aantal rechtsgrondslagen om persoonsgegevens aan de Amerikaanse overheid te verstrekken. Een voorbeeld hiervan is de samenwerking op strafrechtelijk gebied, waarbij in het kader van opsporingsonderzoeken gegevens kunnen worden doorgegeven aan de overheden van derde landen, waaronder de Verenigde Staten. Dit kan ook gegevens aangaande Nederlandse burgers betreffen. Deze verstrekking geschiedt in beginsel slechts indien een verdrag met het desbetreffende land daarvoor een adequate grondslag biedt. Toepassing van rechtshulpverdragen tussen Nederland en het desbetreffende land is voor strafrechtelijke samenwerking de meest in aanmerking komende oplossing. Met de Verenigde Staten bestaat een dergelijk verdrag. Ook op andere terreinen, zoals bijvoorbeeld de belastingheffing, bestaan verdragen die voorzien in de doorgifte van persoonsgegevens aan derde landen.
-
Vraag 3
Deelt u de mening dat het opslaan van data op buitenlandse servers de kans vergroot dat deze data in handen komen van buitenlandse overheden, zeker nu Google de gebruikersgegevens moet afstaan? Zo nee, waarom niet? Zo ja, gaat u maatregelen nemen om dit onmogelijk te maken?
Indien gegevens op servers in het buitenland staan, is er sprake van een verhoogde kans op bemoeienis van buitenlandse overheden. Vanzelfsprekend vallen gegevens op servers welke in het buitenland zijn geplaatst onder de jurisdictie van het desbetreffende land. De kans is daarbij aanwezig dat deze gegevens, in zijn algemeenheid en met inachtneming van de ter zake geldende wetgeving in dat land, door instanties in dat land kunnen worden opgevraagd.
Ik ben niet van plan extra maatregelen te nemen om het opslaan van data op buitenlandse servers onmogelijk te maken. Van welke dienstverleners gebruik wordt gemaakt is een afweging die binnen de kaders van wet- en regelgeving wordt gemaakt. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor bijvoorbeeld open data. Overheden die data willen afschermen tegen onbevoegde inzage staan verschillende maatregelen ter beschikking. Het afdwingen van de opslaglocatie is een mogelijke maatregel, maar goede encryptie is bijvoorbeeld ook een optie. De aard van de data en de risico’s die hier verbonden aan zijn, bepalen de mix van deze maatregelen. -
Vraag 4
Waarop baseert u dat op dit moment volgens u de Nederlandse inwoners voldoende beschermd zijn tegen het meekijken van buitenlandse mogendheden?
Zoals reeds aangegeven in de beantwoording van eerdere Kamervragen (Aanhangsel Handelingen, vergaderjaar 2016–2017, nr. 2149) kan niet worden uitgesloten dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Indien er geconstateerd wordt dat het geval is neemt het kabinet maatregelen.
In zijn brief van 21 juni 2017 (vergaderjaar 2016–2017, Kamerstuk 26 643, nr. 477) bij de aanbieding van het Cybersecuritybeeld Nederland 2017 (CSBN 2017) gaf de Staatssecretaris van Veiligheid en Justitie aan dat de grootste dreiging in het digitale domein blijft uitgaan van beroepscriminelen en statelijke actoren.
Hoewel overheid, bedrijfsleven, wetenschap en burgers in Nederland veel inspanningen verrichten om de digitale weerbaarheid te vergroten laat het CSBN 2017 ook zien dat het bijhouden van de groeiende kwetsbaarheid van de maatschappij als geheel een grote uitdaging blijft. Het beeld laat zien dat investeren in de toekomst nodig zal blijven voor de digitale weerbaarheid.
23 juni 2017 - 4 juli 2017
11 dagen
Het bericht dat de Autoriteit Consument & Markt een rekenhulp introduceert voor roamingkosten |
|
Jan Paternotte (D66) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD), Mark Rutte (minister-president , minister algemene zaken) (VVD) |
|
|
|
-
Vraag 1
Bent u bekend met het bericht «Autoriteit Consument & Markt introduceert rekenhulp voor roaming»?1
Ja.
-
Vraag 2
Bent u van mening dat consumenten voldoende ingelicht worden over de beperking van de nieuwe roamingafspraken, aangezien de nieuwe roamingafspraken in media veelal worden betiteld als «roam-like-at-home» terwijl er in de praktijk toch beperkingen bestaan? Wat doet u om ervoor te zorgen dat consumenten zich bewust zijn van de beperkingen?
In de EU-regelgeving is vastgelegd dat de klant bij roaming in een andere EU-lidstaat zijn binnenlandse tarief betaalt (roam-like-at-home), binnen de grenzen van redelijk gebruik van roaming. Telecombedrijven mogen een fair use policy hanteren om te voorkomen dat er misbruik of afwijkend gebruik wordt gemaakt van roaming voor andere doelen dan periodiek reizen in de EU. Ook mogen telecombedrijven de hoeveelheid dataroaming zonder toeslag beperken op basis van een afgesproken formule, en bij wijze van uitzondering alsnog een toeslag vragen voor roaming als zij tegenover hun toezichthouder kunnen aantonen de kosten van roaming niet te kunnen terugverdienen. Deze beperkingen zijn bewust toegestaan om te voorkomen dat telecombedrijven te hoge kosten maken als gevolg van roamende klanten en genoodzaakt zijn hun binnenlandse tarieven te verhogen ter compensatie van die kosten. Het staat telecombedrijven vrij om geen gebruik te maken van de beperkingen. Ik ben van mening dat consumenten op grond van de roamingregels in de EU voldoende worden ingelicht over deze beperkingen. Telecombedrijven zijn verplicht hun klanten te informeren over eventuele beperkingen ten aanzien van het roam-like-at-home principe in hun contract. Daarnaast moeten zij de klant hierover informeren iedere keer dat hij de grens passeert (per sms of e-mail), tenzij de klant heeft verzocht dat niet meer te doen. Bovendien moet een telecombedrijf zijn klant waarschuwen als deze het maximum aantal gigabytes dat hij mag verbruiken voor het thuistarief – voor zover een maximum wordt gehanteerd – heeft opgebruikt. De overheid informeert de consument over zijn rechten middels de website consuwijzer.nl.
Overigens valt bellen vanaf het thuisnetwerk naar een ander netwerk in de EU niet onder het begrip roaming zoals de EU-wetgeving dat hanteert, zodat ik dit niet beschouw als een beperking ten opzichte van het roam-like-at-home principe. Deze vorm van bellen wordt internationaal bellen genoemd en is niet gereguleerd. De roamingafspraken hebben alleen betrekking op bellen of sms-en vanaf een ander netwerk in de EU dan het thuisnetwerk (naar een nummer in de EU), op het ontvangen van een telecomgesprek of sms op een ander netwerk in de EU dan het thuisnetwerk, en op internetten op een ander netwerk in de EU dan het thuisnetwerk. -
Vraag 3
Bent van mening dat de kosten die telecomproviders voor bellen naar het buitenland binnen de EU (in Nederland tarieven tot soms 90 cent per minuut, en in andere lidstaten tot zelfs 1,99 euro per minuut) in rekening brengen in verhouding staan tot de kostprijs van een minuut bellen binnen de EU?2
De kostprijs voor bellen naar een andere lidstaat in de EU bestaat uit het opbouwen van het gesprek op het thuisnetwerk, een vergoeding voor de internationale transit naar het buitenlands netwerk en een vergoeding aan het buitenlandse netwerk voor het afwikkelen van het gesprek. De laatste twee componenten kunnen zorgen voor een hogere kostprijs vergeleken met bellen binnen Nederland. Het is niet mogelijk om een generieke uitspraak te doen over de vraag of het tarief voor bellen naar een andere EU-lidstaat in verhouding staat tot de kostprijs. De tarieven zijn de uitkomst van vrije prijsvorming en hoeven de kostprijs niet te weerspiegelen. Het tarief verschilt bovendien van aanbieder tot aanbieder en per aanbieder soms van abonnement tot abonnement.
-
Vraag 4
Bent u ermee bekend dat 150 Europarlementariers de Europese Commissie gevraagd hebben een voorstel te doen om ook het bellen naar buitenlanden binnen de EU te gaan reguleren om zo excessieve prijzen voor data, telefonie en sms te beperken?3
Ja.
-
Vraag 5
Deelt u de mening dat het wat kosten betreft binnen de EU niet zou moeten uitmaken naar welke Europese lidstaat men belt en dat de vrijheid binnen data-, bel- en sms-bundels ook zou moeten gelden voor bellen en sms’en vanuit het thuisland?
De mogelijkheid om vanuit het thuisland tegen het binnenlands tarief te bellen naar elk land binnen de EU is aantrekkelijk voor de consument, maar heeft nadelen. Het vraagt om EU-regulering die telecombedrijven verplicht voor alle gesprekken vanaf het thuisnetwerk naar een netwerk in de EU het binnenlands tarief te rekenen. Telecombedrijven kunnen het tarief voor internationaal bellen dan niet langer gebruiken als middel om zich te onderscheiden van hun concurrenten in de markt. Ze zouden de gederfde inkomsten door lagere tarieven voor internationaal bellen bovendien kunnen compenseren door hogere binnenlandse tarieven te vragen. Ondertussen lijkt de noodzaak van dit type regulering te zijn ingehaald door de markt. Consumenten die een redelijk tarief willen betalen voor internationaal bellen, kunnen gebruik maken van telecombedrijven en abonnementsvormen die een lager tarief rekenen, van speciale 0900-nummers met lage tarieven voor internationaal bellen4 of zonder kosten bellen over het internet (bijvoorbeeld via Skype, Facetime of Whatsapp). Er is dus keuze op de markt voor internationaal bellen, waar prijsbewuste consumenten gebruik van kunnen maken.
-
Vraag 6
Bent u bereid om u hiervoor in te zetten door aan te sluiten bij de oproep van de 150 Europarlementariërs en in de Europese Raad en de Raad voor het concurrentievermogen te pleiten voor het reguleren van telefonie, sms-verkeer en datagebruik binnen de EU?
Om de redenen genoemd in mijn antwoord op vraag 5 vind ik het niet wenselijk om in raadsverband te pleiten voor het reguleren van internationaal bellen binnen de EU. Mocht de Europese Commissie besluiten het initiatief te nemen tot een wetgevend voorstel, wat niet in de lijn der verwachting ligt, dan zal ik dat beoordelen op zijn merites en uw Kamer hierover informeren.
2 juni 2017 - 22 juni 2017
20 dagen
Het bericht dat de gemeente Groningen de ICT-voorzieningen privatiseert |
|
Ronald van Raak (SP) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Bent u op de hoogte van het feit dat de gemeente Groningen voornemens is om alle generieke ICT-voorzieningen te privatiseren, ondanks bezwaren van experts?1
Ja.
-
Vraag 2
Hoeveel gemeenten hebben hun ICT-voorzieningen op vergelijkbare wijze geprivatiseerd?
Op aanbesteding van ICT-diensten zijn Europese en nationale aanbestedingsregels van toepassing. Dat laat onverlet dat er onder omstandigheden ook kan worden gekozen voor het inbesteden (in eigen beheer uitvoeren) van bepaalde diensten. De keuze hiervoor binnen de gemeente is de verantwoordelijkheid van het College van burgemeester en wethouders en de raad van de betreffende gemeenten. De wijze waarop ICT-diensten worden aanbesteed of inbesteed wordt niet centraal vastgelegd. Ik heb hier dus geen overzicht van.
-
Vraag 3
Vindt u het privatiseren van de ICT-voorzieningen van de gemeente Groningen, waarbij ook nog eens vele mensen hun baan verliezen, wenselijk? Zo ja, waarom? Zo nee, waarom niet?
Zoals ik aangeef in het antwoord op vraag 2 is het aanbesteden of inbesteden van ICT-dienstverlening de verantwoordelijkheid van de gemeenten zelf. De afweging over de gevolgen is aan het College en de Raad. Ik kan als Minister van BZK uw opvatting dat «vele mensen hun baan verliezen» in dit verband noch onderschrijven, noch ontkrachten.
-
Vraag 4
Kunt u garanderen dat de gegevens van de Groningse inwoners veilig zijn, wanneer de ICT-voorzieningen van de gemeente worden geprivatiseerd? Zo nee, wat gaat u doen om deze veiligheid te garanderen?
Veiligheid is altijd een streven en is nooit te garanderen. Gemeenten doen er alles aan om de veiligheid te realiseren. Bij aanbesteding of inbesteding van de ICT-diensten blijft de aanbestedende dienst verantwoordelijk voor de bescherming van persoonsgegevens. Daarop is de Wet bescherming persoonsgevens van toepassing. De Autoriteit Persoonsgegevens ziet daarop toe. Om de veiligheid van gegevens te garanderen hebben de gemeenten zich gecommitteerd aan de Baseline Informatiebeveiliging voor Gemeenten (BIG). Aanbesteding of uitbesteding verandert daar niets aan.
-
Vraag 5
Deelt u de zorg dat op deze manier waardevolle ICT-kennis binnen decentrale overheden verdwijnt, zeker nu tweederde van de gemeenten te maken heeft met datalekken?2
Uitbesteden van dienstverlening op het vlak van ICT is en blijft een gemeentelijke afweging. Het is noodzakelijk dat de gemeente in die gevallen een passend opdrachtgeverschap inricht met een daarvoor voldoende inhoudelijke kennis en ervaring. Uitbesteding en/of samenwerking helpt in die zin gemeenten te voorzien in op dit moment schaarse kennis en vaardigheden van de uitvoering van ICT. Deze schaarste doet zich overigens niet alleen bij gemeenten voor.
Uitbesteding van ICT is op zichzelf geen factor bij het voorkomen van datalekken. De gemeente dient passende technische en organisatorische maatregelen te nemen ter voorkoming van datalekken, dit is ook in een situatie van uitbesteding goed mogelijk. Waar nodig wordt, ingevolge de wet bescherming persoonsgegevens (Wbp), een verwerkersovereenkomst opgesteld waarin de afspraken over de omgang met persoonsgegevens worden vastgelegd. -
Vraag 6
Kunt u aangeven waarom het Bureau ICT Toetsing (BIT) heeft aangegeven dat er bij dit project geen BIT-toets mogelijk was?
In het Instellingsbesluit tijdelijk Bureau ICT-toetsing (Staatscourant Nr. 21178, 23 juli 2015) wordt het bureau belast met de taak te adviseren over de risico’s en slaagkans van ICT-projecten bij ministeries en publiekrechtelijke zelfstandige bestuursorganen, zoals bedoeld in artikel 4 van de Kaderwet zelfstandige bestuursorganen. Het bureau heeft geen bevoegdheid om te adviseren over ICT-projecten bij gemeenten.
-
Vraag 7
Vindt u het wenselijk dat ook gemeenten een BIT-toets kunnen doen bij dit soort grote projecten? Zo ja, gaat u dat mogelijk maken? Zo nee, waarom niet?
Nee. Gemeenten hebben een zelfstandige verantwoordelijkheid als het gaat om het beheersen van grote ICT-projecten. Ik zie daarin geen rol voor het BIT.
-
Vraag 8
Bent u bereid landelijke regels te stellen rondom gemeentelijke privatisering van ICT-voorzieningen? Zo nee, waarom niet?
Nee, er is op dit moment geen aanleiding om de aanbestedingsregels die gelden voor overheidsorganisaties, die voor het laatst in 2016 zijn aangepast, te herzien.
18 mei 2017 - 12 juni 2017
25 dagen
De internationale cyberaanval en de ICT van de Overheid |
|
Jan Middendorp (VVD) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
-
Vraag 1
Kent u het bericht «Waarschuwing voor grote internationale gijzelsoftware-campagne»?1
Ja
-
Vraag 2
Wat wordt er op dit moment concreet gedaan om te zorgen dat ICT-systemen van de rijksoverheid zelf niet geïnfecteerd raken?
Mij zijn geen gevallen bekend van besmettingen bij de rijksoverheid. Ook bij het Nationaal Cyber Security Centrum (NCSC) zijn geen besmettingen gemeld, zoals de Minister van Veiligheid en Justitie in zijn brief van 2 juni heeft aangegeven. Niettemin heeft de aanval van Wannacry malware en zijn impact ertoe geleid dat bij verschillende organisaties van de Rijksdienst is en wordt nagelopen of ook echt op alle relevante plekken de relevante patches zijn toegepast.
Meer in het algemeen is bij de Rijksdienst een stelsel van regelgeving voor informatiebeveiliging van toepassing. Maar daarmee zijn we er niet. In de strategische I-agenda Rijksdienst is daarom «Verstandige aandacht voor informatiebeveiliging en privacy» één van de vijf thema’s.
Verder informeert en waarschuwt het NCSC organisaties binnen de rijksoverheid zodat ook een dreiging van een passend antwoord kan worden voorzien.
Ten slotte wil ik opmerken dat beveiliging en beheer van ICT een cyclisch proces is. Dat betekent dat acties ten behoeve van beveiliging niet eenmalig zijn, maar voortdurend, en met regelmaat terugkeren. -
Vraag 3
Is alle software bij de rijksoverheid voldoende veilig en actueel? Zo nee, welke actie gaat u hiervoor ondernemen?
Zie antwoord vraag 2.
-
Vraag 4
Kan er een overzicht verstrekt worden van de ICT-systemen die draaien onder de verantwoordelijkheid van Binnenlandse Zaken en Koninkrijksrelaties met een beeld van de laatste stand? Hoe wordt het delen van expertise over het voorkomen van dit soort cyberaanvallen met andere ministeries georganiseerd?
Ik beschik over een omvangrijk overzicht van alle ICT-systemen waarvoor ik opdrachtgever en verantwoordelijk ben. Dit overzicht is zeer divers van aard, en bevat naast de grote systemen zoals DigiD ook een veelheid aan componenten die ten dienste staan van de (interne) bedrijfsvoering of kleinere systemen; alles bij elkaar bestaat dit overzicht uit ongeveer 800 elementen. Wat betreft de stand van zaken: van alle elementen in dit overzicht is mijn beeld dat zij niet getroffen zijn door het Wannacryvirus.
De rijksoverheid maakt gebruik van de expertise van het NCSC. Hierbij verwijs ik nogmaals naar de hiervoor genoemde brief van mijn collega van Veiligheid en Justitie. -
Vraag 5
Welke lessen trekt u uit deze cyberaanval? Wat gaat de rijksoverheid anders doen inzake de eigen ICT-systemen ten opzichte van de huidige aanpak, om ervoor te zorgen dat de Rijks- en mede-overheden in de toekomst niet geraakt worden door cyberaanvallen?
Zoals ik hierboven opmerkte, zijn mij geen gevallen bekend van Wannacry besmettingen bij de rijksoverheid. Niettemin constateert de Algemene Rekenkamer helaas ook tekortkomingen in de informatiebeveiliging. De CIO-Rijk is hierover in gesprek met de CIO’s, waarbij specifieke aandachtspunten per departement worden besproken. In het tweede halfjaarlijkse gesprek zal de CIO Rijk de voortgang bespreken op deze aandachtspunten. De Kamer zal eveneens over de voortgang worden geïnformeerd.
Ten aanzien van medeoverheden geldt dat informatiebeveiliging een verantwoordelijkheid is het betreffende bestuursorgaan, dat dus ook zelf verantwoordelijk voor het nemen van eventuele extra maatregelen.
16 mei 2017 - 7 juli 2017
52 dagen
De aanbesteding van mobiele telefonie |
|
Maarten Hijink (SP), Ronald van Raak (SP) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA), Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
|
-
Vraag 1
Wat is uw beleid rondom het opslaan van al dan niet vertrouwelijke gegevens van de rijksoverheid? Vallen belgegevens van medewerkers van de rijksoverheid hieronder?
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving, een afweging moet maken ten aanzien van de gewenste locatie van data. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Belgegevens zoals telefoonnummers, website bezoek (ip-adressen) en verkeersgegevens vallen onder de Wet bescherming persoonsgegevens (Wbp). De Wbp schrijft voor dat persoonsgegevens slechts onder bepaalde omstandigheden mogen worden opgeslagen buiten de Europese Economische Ruimte (EER). Voor aanbieders van telecommunicatiediensten geldt naast de Wbp ook de Telecommunicatiewet. In hoofdstuk 11 van de Telecommunicatiewet zijn de bepalingen opgenomen ter bescherming van de persoonsgegevens en de persoonlijke levenssfeer van de gebruikers van elektronische communicatienetwerken en -diensten.
Het bovenstaande wettelijke kader geldt ook voor de belgegevens van medewerkers van de rijksoverheid. -
Vraag 2
Kunt u aangeven waar de huidige aanbieder van mobiele telefonie voor de rijksoverheid gegevens over het belverkeer van medewerkers van de rijksoverheid opslaat?
VodafoneZiggo slaat persoons- en verkeersgegevens van Nederlandse Vodafoneklanten op in de z.g. switch locaties in Arnhem, Amsterdam, Groningen, Nieuwegein, Utrecht, Rotterdam en Venlo. Daarnaast worden gegevens van Nederlandse Vodafoneklanten opgeslagen in een datacentrum in Ratingen, Duitsland.
-
Vraag 3
Op welke wijze worden eisen gesteld aan de nieuwe aanbieder om te voorkomen dat belgegevens van Rijksmedewerkers onder de USA Freedom Act vallen? Zijn deze eisen vastgelegd in het eisenpakket voor de nieuwe aanbesteding? Zo ja, hoe?1
De aanbestedende dienst verricht de aanbesteding onder de vigerende wet- en regelgeving, waaronder de Aanbestedingswet 2012, de Baseline Informatiebeveiliging Rijksdienst (BIR) en de Wbp. De Aanbestedingswet 2012 laat zeer beperkt ruimte om op voorhand buitenlandse (Europese) partijen, dan wel partijen die afkomstig zijn uit landen die deelnemen aan de Government Procurement Act, uit te sluiten. Uitsluiting van partijen die onder de toepassing van de USA Freedom Act vallen is voor deze aanbesteding vanwege het non-discriminatiebeginsel niet mogelijk.
Om te voorkomen dat in strijd met Nederlandse wet- en regelgeving gegevens door de opdrachtnemer worden verwerkt of gedeeld, zijn eisen in het contract opgenomen. Deze eisen zijn:
Voldoen aan de in de aanbestedingsstukken genoemde kaders betreffende de beveiliging van gegevens waaronder Wbp, ISO standaard voor informatiebeveiliging (27001/2:2013) of gelijkwaardig, BIR, Voorschrift informatiebeveiliging Rijksdienst (VIR) en Voorschrift informatiebeveiliging Rijksdienst bijzondere informatie (VIRBI), waar deze van toepassing zijn. -
Vraag 4
Welke eisen werden in de vorige aanbesteding gesteld aan de opdrachtnemer? Is dit in de nieuwe aanbesteding significant gewijzigd?
Voor de vorige aanbesteding geldt: onder Titel 8 («Geheimhouding en (informatie)beveiliging») van het Staatscontract Mobiele Communicatie OT2010 zijn in artikel 31 («Gebruik Persoonsgegevens Eindgebruiker») de voorwaarden opgenomen met betrekking tot persoons- en gebruiksgegevens (voor een pdf van het Staatscontract, zie: https://www.hisict.nl/contracten/ot2010-mobiele-communicatiediensten).
Op de nieuwe aanbesteding IWR2017|MCD (ICT Werkomgeving Rijk|Mobiele CommunicatieDiensten) zijn de Algemene Rijksvoorwaarden bij IT-overeenkomsten 2016 (ARBIT2016) van toepassing. In artikel 18 («Verwerking persoonsgegevens») van de ARBIT2016 de voorwaarden met betrekking tot de verwerking van persoonsgegevens opgenomen (voor de ARBIT2016, zie: http://wetten.overheid.nl/BWBR0038569/2016-10-04).
Daarnaast zijn de beveiligingskaders vastgelegd de aanbestedingsdocumenten. Zie tevens het antwoord op vraag 3.
Door van toepassingverklaring van de ARBIT2016 en de gestelde voorwaarden met betrekking tot beveiliging en privacy zijn de eisen ten opzichte van de vorige aanbesteding in belangrijke mate gewijzigd. -
Vraag 5
Heeft u ontbindingsclausules in de lopende aanbesteding opgenomen voor het geval de dataveiligheid in het gevaar komt? Is de overname van Vodafone door Liberty Global voor u aanleiding geweest hier gebruik van te maken en is uw beleid op enige wijze hierdoor gewijzigd?
Ja, er zijn ontbindings-/opzeggingsclausules in de lopende aanbesteding opgenomen, te weten:
Vanuit het ARBIT2016 art. 30.3 en art. 30.6. Hierin is onder andere genoemd dat ontbinding van het contract door de opdrachtgever, de Staat, mogelijk is wanneer sprake is van een ingrijpende wijziging in de zeggenschap over de activiteiten van de opdrachtnemer. Daarnaast geldt de overeenkomst voor bepaalde duur en is er geen stilzwijgende verlenging mogelijk. De opdrachtgever kan de overeenkomst onder gelijkblijvende voorwaarden driemaal verlengen, telkens voor een periode van 12 maanden. Indien opdrachtgever gebruik maakt van dit recht doet hij hiervan uiterlijk zes maanden voor het einde van de exploitatieperiode van de Raamovereenkomst schriftelijk en aangetekend mededeling aan de opdrachtnemer.
Van een overname van Vodafone door Liberty Global, het moederbedrijf van Ziggo, is overigens geen sprake. Het gaat om een samenvoeging van de Nederlandse divisies van Vodafone en Ziggo in een gezamenlijke onderneming «VodafoneZiggo Group Holding B.V.». Hierin hebben Vodafone en Liberty Global een even groot eigenaarbelang (50/50). De overgang naar VodafoneZiggo was geen aanleiding om de overeenkomst te beëindigen. Ook is het inkoopbeleid hierdoor niet gewijzigd.
16 mei 2017 - 14 juni 2017
29 dagen
De toekomstige beschikbaarheid van IC-prototypes voor het Nederlandse bedrijfsleven en wetenschappelijk onderzoek |
|
Eppo Bruins (CU) |
|
Sander Dekker (staatssecretaris onderwijs, cultuur en wetenschap) (VVD), Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
-
Vraag 1
Kent u het bericht «EU snijdt in chiptechnologie» in ScienceGuide van 11 mei 2017 over het niet continueren van de financiële steun van de Europese Unie (EU) aan het programma Europractice?1
Ja.
-
Vraag 2
Hoe waardeert u de inschatting van de onderzoekers dat het niet continueren van de steun voor Europractice desastreus zal zijn voor het Europese onderwijs en onderzoek en voor de industrie?
Meer dan 480 universiteiten en 170 onderzoeksinstellingen in 42 landen maken al vele jaren gebruik van Europractice om op kleine schaal prototypes van chips te ontwerpen, fabriceren en testen.
Europractice wordt ondersteund via het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie, thans genaamd Horizon 2020 (H2020). De ondersteuning van projecten in H2020 geschiedt door middel van «Calls for Proposals» die na indiening worden geëvalueerd door externe experts. Geselecteerde voorstellen verkrijgen daarna financiële ondersteuning met een looptijd van 3 tot 4 jaar. Europractice is via dit proces tot nu toe ondersteund (sinds 1995). De huidige Europese financiering loopt tot medio 2018.
De Europese Commissie heeft vorig jaar een «Call for proposals» (ICT-04–2017) opengesteld, waarin het Europractice-PLUS voorstel is ingediend. De Europese Commissie heeft ook andere voorstellen op vergelijkbaar gebied ontvangen. Het Europractice-PLUS voorstel en de andere voorstellen zijn geëvalueerd door externe deskundigen. Het Europractice-PLUS heeft in de evaluatie niet het minimum kwaliteitsniveau behaald om in aanmerking te komen voor financiële ondersteuning.
Indien Europractice alternatieve inkomstenbronnen zou bezien en inzetten, dan is het al of niet verkrijgen van Europese subsidie voor het Europractice initiatief niet direct van negatieve invloed op de beschikbaarheid van prototyping services voor ontwikkeling van integrated circuits(IC) voor onderzoekers en de kosten hiervan. -
Vraag 3
Wat zijn de gevolgen van het niet continueren van de steun voor Europractice voor de Nederlandse wetenschap en voor het Nederlandse hightechbedrijfsleven?
Zie antwoord vraag 2.
-
Vraag 4
Is er een reden waarom een cruciale basisfaciliteit als de productie van prototypes van integrated circuits (IC)uit tijdelijke projectfinanciering wordt gefinancierd? Deelt u de mening dat dit onwenselijk is?
De afgelopen 22 jaar is Europractice ondersteund via Europese projectfinanciering. Ik zet mij in om op Europese Unie niveau een continuering van een Europractice-achtige dienst op EU-schaal te faciliteren. De Europese Commissie is hierbij de eerstverantwoordelijke. Een Europractice achtige dienst dient derhalve te passen binnen het raamwerk van het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie.
-
Vraag 5
Bent u bereid om samen met de wetenschappers en het bedrijfsleven te zoeken naar alternatieve vormen van financiering met een grotere mate van continuïteit dan EU-projectsubsidies?
Het Europractice initiatief is een pan-Europees initiatief dat al vele jaren (sinds 1995) vanuit het Europese Kaderprogramma voor onderzoek, ontwikkeling en innovatie wordt ondersteund. De Europese Commissie is hierbij de eerst verantwoordelijke, maar mijn betrokkenheid, evenals die van andere lidstaten, is hierbij via het H2020 ICT LEIT Committee (het Programme Committee voor Information and Communication Technologies binnen het H2020 onderdeel Leadership in Enabling and Industrial Technologies) gewaarborgd.
Nederland heeft deze kwestie tijdens een zitting van dit Committee aan de orde gesteld op 18 mei jl. De Nederlandse delegatie heeft met een groot aantal andere lidstaten bij de Europese Commissie aangegeven dat Europractice-achtige diensten noodzakelijk zijn en deze zouden niet moeten worden onderbroken.
De Europese Commissie heeft aangegeven dat naar verwachting oktober 2017 een «Call for Proposals» wordt opengesteld, waarin Europractice een vervolgvoorstel kan indienen. Indien in een volgende Call een voorstel wordt ingediend van een voldoende hoog kwaliteitsniveau zou dit in aanmerking kunnen komen voor Europese ondersteuning.
15 mei 2017 - 23 mei 2017
8 dagen
Het bericht dat ‘Nederland minder nieuwe glasvezelverbindingen krijgt’ |
|
Jan Paternotte (D66) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met bericht «Nederland krijgt minder nieuwe glasvezelverbindingen»?1
Ja.
-
Vraag 2
Wat is volgens u de reden dat er de afgelopen jaren minder glasvezel is gelegd in Nederland?
Zoals het onderzoek van Stratix in opdracht van de NOS laat zien, worden er minder huishoudens aangesloten op glasvezel dan 5 jaar geleden. Volgens de monitor van de ACM2 zijn er nu 2,5 miljoen huishoudens die glasvezel tot aan hun voordeur kunnen krijgen. Hiervan nemen 1 miljoen huishoudens daadwerkelijk de verbinding af. Dat de investeringen in glasvezelaansluitingen afnemen is onder andere te verklaren doordat de mobiele en vaste telecominfrastructuren in Nederland in internationaal perspectief van hoog niveau zijn en grotendeels aan de behoefte voldoen. Zo is Nederland al ver met de Europese doelstelling voor 2025 dat alle huishoudens beschikken over een 100Mbps verbinding. Nederlandse huishoudens hebben nu al in 91% van de gevallen de beschikking over een dergelijke snelle vaste verbinding. In het recent door de Europese Commissie uitgebrachte Europe's Digital Progress Report3 wordt Nederland zelfs gezien als land met de beste digitale connectiviteit.
De hoge kwaliteit verbindingen beïnvloedt zodoende de vraag naar een glasvezelaansluiting. Zoals in het NOS-artikel is benoemd, maken de meeste huishoudens met een glasvezelverbinding namelijk geen gebruik van deze verbinding. Een ander aspect dat bij investeringen een rol speelt is of de randvoorwaarden voor deze investeringen op orde zijn. Hiervoor is het bestaan van voldoende concurrentie van groot belang. Het moet onderkend worden dat als er minder spelers op de markt actief zijn dit een negatief effect kan hebben op investeringen. Ik zet me daarom Europees in om te zorgen dat het nieuwe regelgevend kader concurrentie bevorderend werkt. -
Vraag 3
In hoeverre is de afname in de aanleg van glasvezel het gevolg van een marktsituatie met slechts twee grote spelers?
Zie antwoord vraag 2.
-
Vraag 4
Kunt u een actueel overzicht geven van de behoefte aan snellere internetverbindingen bij burgers, bedrijven, scholen, zorginstellingen en andere organisaties? Hoeveel procent van de betreffende groepen heeft behoefte aan een snellere internetverbinding?
In december vorig jaar heb ik uw Kamer een onderzoek gestuurd4 over de ontwikkeling van de vraag naar digitale connectiviteit in de komende 10 jaar en hoe deze overeenkomt met het aanbod. Uit het connectiviteitsonderzoek blijkt dat op hoofdlijnen een goede match tussen vraag en aanbod bestaat. Nederland kent kwalitatief hoogstaande vaste en mobiele netwerken en deze dragen bij aan het gunstige ondernemings- en vestigingsklimaat in Nederland. De gekozen techniek is daarbij niet relevant. Het gaat erom dat gebruikers adequaat in hun vraag worden voorzien.
In het genoemde onderzoek wordt ingegaan op de veranderende connectiviteitsbehoefte. Duidelijk is dat de vraag naar digitale connectiviteit significant toeneemt door onder andere het stijgende gebruik van smartphones door consumenten en de groeiende hoeveelheid apparaten die in verbinding staan met het internet. Deze toenemende digitalisering biedt kansen om onze welvaart te vergroten. Zo kunnen digitale leermiddelen kinderen beter voorbereiden op de toekomst, «connected cars» kunnen bijdragen aan een afname van de filedruk en het verbeteren van de verkeersveiligheid en e-healthtoepassingen kunnen onze gezondheidszorg verbeteren. In het connectiviteitsonderzoek wordt ingegaan op deze ontwikkelingen en de behoeftes van de verschillende gebruikers. Ook wordt specifiek ingegaan op de ontwikkelingen van het koper- en kabelnetwerk. We zien dat deze netwerken steeds meer verglazen en dit in combinatie met technische upgrades zorgt ervoor dat al in het grootste deel van het land snelheden worden behaald van boven de 100 Mbps. Daarnaast zie ik dat er in Nederland ook op verschillende plekken, bijvoorbeeld voor bedrijven, in glasvezelaansluitingen wordt geïnvesteerd. Wel zie ik dat op sommige plekken, de zogenaamde buitengebieden, uitdagingen blijven bestaan rond de beschikbaarheid van snelle internetverbindingen. In december vorig jaar5 heb ik uw Kamer ook geïnformeerd over mijn inzet op dit onderwerp. -
Vraag 5
In hoeverre kan met nieuwe technologieën, zoals DOCSIS3.1 of bonded Vplus, worden voldaan aan die behoefte?
Zie antwoord vraag 4.
10 mei 2017 - 21 juni 2017
42 dagen
Het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS |
|
Maarten Hijink (SP), Ronald van Raak (SP) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Heeft u kennisgenomen van het bericht dat Google gebruikersgegevens in buitenlandse datacentra moet overhandigen aan de VS?1
Ja.
-
Vraag 2
Bent u inmiddels op de hoogte van waar alle Nederlandse overheidsdata zich bevinden? Zo nee, wat gaat u hierop ondernemen?2
Het is niet aan de orde dat de Minister van Binnenlandse Zaken en Koninkrijksrelaties moet beschikken over een actueel overzicht van de locatie waar de data van alle ministeries, provincies, gemeenten en de semipublieke instellingen zijn opgeslagen.
Het beleid voor de rijksoverheid is dat per geval de verantwoordelijke overheidsorganisatie, binnen de kaders van wet- en regelgeving zoals de Baseline informatiebeveiliging Rijk (BIR) een afweging maakt tussen dienstverleners. Voor staatsgeheime data en privacygevoelige data leidt deze afweging tot een andere uitkomst dan voor open data.
Ook decentrale overheden maken binnen de kaders van vigerende wet- en regelgeving hun eigen afwegingen over outsourcing van hun ICT. In het kader van de Baseline Informatiebeveiliging Nederlandse Gemeenten heeft de Informatiebeveiligingsdienst voor gemeenten een leidraad opgesteld die handvatten biedt om rekening mee te houden. -
Vraag 3
Kunt u garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen? Zo nee, maakt het UWV (Uitvoeringsorgaan werknemersverzekeringen) nog steeds gebruik van het IBM-datacenter in Brussel?
Zoals ik in het antwoord op vraag 2 aangaf, is het aan de verantwoordelijke overheidorganisatie om per geval, binnen de kaders van wet- en regelgeving, een afweging te maken ten aangezien van de dienstverlener. Vestigingslocatie kan daarbij een rol spelen. Vanwege de diversiteit aan data kan ik niet garanderen dat Nederlandse overheidsdata niet op servers van Amerikaanse bedrijven zijn opgeslagen.
Het UWV heeft de datacenterdienstverlening uitbesteed aan de markt; op dit moment is dat IBM. Momenteel loopt een aanbestedingstraject om deze dienst opnieuw te verwerven. UWV heeft, op basis van een uitgebreide analyse, waarbij onder meer gebruik is gemaakt van beschikbare rijksbrede kaders, besloten tot het beleggen van de datacenterdiensten binnen de Europese Economische Ruimte. Hierbij kan worden geacht dat een passend beschermingsniveau geboden wordt. -
Vraag 4
Vindt u dat Nederlandse inwoners voldoende beschermd worden tegen het eventueel meekijken van buitenlandse diensten en overheden op dit moment? Zo ja, kunt u garanderen dat er geen buitenlandse mogendheden zijn die op grote schaal data verzamelen over Nederlandse inwoners? Zo nee, wat gaat u hierop ondernemen?
Het kabinet spant zich maximaal in om de Nederlandse bewoners te beschermen tegen het eventueel meekijken van buitenlandse diensten en/of mogendheden. Er kan echter niet uitgesloten worden dat er op dit moment buitenlandse diensten en/of mogendheden zijn die data verzamelen over Nederlandse inwoners. Indien er geconstateerd wordt dat dit wel het geval is neemt het kabinet maatregelen.
-
Vraag 5
Wat gaat u doen om te voorkomen dat data van de overheid en uitvoeringsinstanties op servers van Amerikaanse bedrijven worden opgeslagen?
Ik wil dit niet voor alle soorten data voorkomen. Het vraagstuk waar data kunnen en mogen worden opgeslagen hangt immers af van de aard van de data, zoals ik aangaf in het antwoord op vragen 2 en 3.
-
Vraag 6
Vindt u in het algemeen dat Nederlandse overheidsinformatie goed beveiligd is, ook als u meeneemt dat het Nederlandse Fox-IT is overgenomen door een Engels bedrijf?3
In het algemeen vind ik dat. Aandacht voor dit onderwerp is uiteraard blijvend noodzakelijk. De Algemene Rekenkamer constateert ook in het Verantwoordingsonderzoek 2016 dat er ruimte voor verbetering is.
In antwoord op vragen van het lid Verhoeven aan de ministers van Economische Zaken, van Veiligheid en Justitie en van Binnenlandse Zaken en Koninkrijksrelaties over de overname4 heb ik geantwoord dat het risico dat door die overname Nederlandse staatsgeheimen in handen van niet-bevoegden vallen is ondervangen. -
Vraag 7
Vallen Nederlandse overheidsdata, die op servers van Amerikaanse bedrijven staan, onder de Freedom Act?
Ik kan niet uitsluiten dat Nederlandse overheidsdata die worden verwerkt door dienstverleners uit de Verenigde Staten onder de reikwijdte van een bepaalde vorderingsbevoegdheid vallen. In heel algemene zin geldt dat de Amerikaanse overheden over een ruim aantal bevoegdheden beschikken op grond van verschillende wetten om gegevens te vorderen van bedrijven die over die gegevens beschikken. De reikwijdte van de Amerikaanse wetgeving ter zake beperkt zich niet tot bedrijven of andere belanghebbenden, of vestigingen van die bedrijven of belanghebbenden die zich op Amerikaans grondgebied bevinden, en ook niet tot gegevens van Amerikaanse burgers of bedrijven. De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen illustreert dat voor het bijzondere geval waarop die uitspraak betrekking heeft.
-
Vraag 8
Wat heeft deze Amerikaanse rechterlijke uitspraak voor gevolgen voor Nederland en zijn inwoners? In welke gevallen kunnen gegevens van Nederlandse burgers opgevraagd worden door de Amerikaanse overheid? Kunnen deze burgers hiertegen beroep aantekenen?
De rechterlijke uitspraak waarnaar in vraag 1 wordt verwezen heeft slechts betekenis voor de uitleg van één specifieke vorderingsbevoegdheid en lijkt alleen van belang voor andere gevallen waarin de omstandigheden van het verwerken van persoonsgegevens door Google of vergelijkbare aanbieders gelijk zijn aan die in het geval dat onderwerp is van de uitspraak. Uit het antwoord op vraag 7 volgt dat ik niet kan uitsluiten dat toepassing van vorderingsbevoegdheden naar Amerikaans recht zich mede uitstrekt tot gegevens van de Nederlandse overheid of van Nederlandse burgers die door dienstverleners uit de Verenigde Staten worden verwerkt.
Afhankelijk van de aard van de toegepaste vorderingsbevoegdheid kunnen Europese, en dus ook Nederlandse burgers de mogelijkheden op inzage en correctie krachtens de Judicial Redress Act of 2015 beproeven. Die wet is daar speciaal voor in het leven geroepen. Verder wijs ik erop dat de doorgifte van de gegevens uit de Europese Unie naar de Verenigde Staten moet berusten op één van de grondslagen bedoeld in de artikelen 25 of 26 van richtlijn 95/46/EG, de EU-privacyrichtlijn. De bijlagen van het op 21 augustus 2016 in werking getreden EU – US Privacy Shield 5, dat op bedoelde artikelen van de EU-privacyrichtlijn is gebaseerd bevatten een uitgebreide opsomming van beschikbare rechtsgangen krachtens Amerikaans recht.
4 mei 2017 - 31 mei 2017
27 dagen
Het bericht dat volgens de rechter een datavrije muziekbundel niet in strijd is met netneutraliteit |
|
Maarten Hijink (SP) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
|
-
Vraag 1
Kunt u uw zienswijze geven op de gevolgen van de uitspraak van de Rotterdamse rechter dat de datavrije muziekbundel die T-Mobile aanbiedt niet in strijd is met de netneutraliteit, zoals die in de Nederlandse wetgeving is vastgelegd?1
De rechtbank heeft geoordeeld dat de netneutraliteitsverordening «zonder twijfel geen categorisch verbod op prijsdiscriminatie («acte clair») bevat», waardoor de Telecommunicatiewet op dit punt onverbindend is. Concreet betekent dit dat zero-rating-aanbiedingen, zoals die van T-Mobile, niet op grond van strijd met de Telecommunicatiewet verboden zijn. Tevens volgt uit de uitspraak dat een aanbod als dat van T-Mobile niet zonder meer in strijd is met de netneutraliteitsverordening. Het oordeel van de rechtbank staat er echter niet aan in de weg dat in het geval van het aanbod van T-Mobile (of iedere andere concrete casus waarin sprake is van zero-rating) sprake kan zijn van omstandigheden die maken dat de geboden vorm van zero-rating strijdig is met de verordening. De rechtbank heeft zich in haar vonnis niet uitgelaten over de vraag of zich bij de dienst van T-Mobile zulke omstandigheden voordoen. De Autoriteit Consument en Markt (ACM) zou dit (alsnog) kunnen onderzoeken. De ACM heeft aangegeven een dergelijk onderzoek te zijn gestart.
-
Vraag 2
Deelt u de mening dat een vrij en open internet gebaat is bij het voorkomen van alle vormen van discriminatie tussen soorten data die via het internet worden verstuurd?
Ja.
-
Vraag 3
Op basis waarvan oordeelt de rechter dat u niet bevoegd bent geweest om «zero rating» in de Telecommunicatiewet uitdrukkelijk te verbieden?2
Naar het oordeel van de rechtbank biedt de verordening geen grondslag voor aanvullende wettelijke bepalingen met betrekking tot de reikwijdte en de omvang van het in de verordening neergelegde discriminatieverbod, dat volgens de rechtbank geen categorisch verbod op prijsdiscriminatie is.
-
Vraag 4
Welke mogelijkheden heeft de Autoriteit Consument en Markt (ACM) om dit besluit aan te vechten en bent u op de hoogte van een voornemen van de ACM om dit te doen?
De ACM kan in hoger beroep gaan bij het College van Beroep voor het bedrijfsleven.
-
Vraag 5
Welke consequenties heeft deze uitspraak voor de huidige Telecommunicatiewet? Bent u bereid, indien dit grote gevolgen heeft voor het Nederlandse netneutraliteitsbeleid, hierover in overleg te treden met de Europese Commissie?
De consequentie is dat de Telecommunicatiewet op dit onderdeel door de rechtbank onverbindend is verklaard. Nu de ACM niet in hoger beroep gaat, ligt het in de rede om het categorische verbod op prijsdiscriminatie in de Telecommunicatiewet te schrappen. Hiertoe zal ik de voorbereidingen treffen. Overleg met de Europese Commissie op dit punt zal niet leiden tot wijzigingen. Nog afgezien van de opvattingen van de Europese Commissie in dezen is de Commissie niet bevoegd een rechterlijk oordeel ter zijde te stellen.
-
Vraag 6
Bent u bereid met de Duitse Minister van Economische Zaken te overleggen over het toestaan van zero rating binnen de Europese netneutraliteitsverordening?3
De lidstaten hebben bij de totstandkoming van de verordening binnen de Europese Raad een belangrijke rol gespeeld. Echter de nationale wetgevers hebben geen formele rol bij de handhaving van de verordening. Dit is aan de nationale toezichthouders. De Duitse toezichthouder (Bundesnetzagentur) kan deze zero-rating dienst onderzoeken op basis van de verordening.
De uitspraak van de rechter beslecht een geschil tussen de ACM en T-Mobile over de vraag of prijsdiscriminatie op grond van de netneutraliteitsverordening en de Telecommunicatiewet zonder meer verboden is of niet. De rechter heeft hierbij de ACM in het ongelijk gesteld door te oordelen dat de netneutraliteitsverordening geen categorisch verbod op prijsdiscriminatie bevat en het artikel in de Telecommunicatiewet dat het (vermeende) categorische verbod nader uitwerkt onverbindend te verklaren. Tegen deze uitspraak van de rechter staat voor de bij het geschil betrokken partijen (ACM en T-Mobile) hoger beroep open. De ACM heeft besloten van deze mogelijkheid geen gebruik te maken. Ik respecteer die beslissing. Bij deze handhavingskwestie ligt het besluit om wel of niet in hoger beroep te gaan bij de ACM als onafhankelijk toezichthouder. Conform de Instellingswet ACM dient de Minister van Economische Zaken zich niet te mengen in individuele handhavingszaken van de ACM. Zoals aangegeven in bovenstaande beantwoording onderzoekt de ACM nu, uitgaande van het ontbreken van een categorisch verbod op prijsdiscriminatie, of er specifieke omstandigheden zijn die maken dat de datavrije muziekdienst van T-Mobile in strijd is met de netneutraliteitsverordening.
25 april 2017 - 24 mei 2017
29 dagen
De ICT-storing in het systeem van Amadeus waardoor overal ter wereld reserveringssystemen voor de luchtvaart uitvielen |
|
Maarten Hijink (SP), Cem Laçin (SP) |
|
Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD), Sharon Dijksma (staatssecretaris infrastructuur en waterstaat) (PvdA) |
|
|
|
|
Bronnen
-
Vraag 1
Wat is uw reactie op het bericht dat een storing in het reserveringssysteem van Amadeus overal ter wereld voor overlast heeft gezorgd?1
Ik heb kennis genomen van het feit dat er een storing is geweest in het reserveringssysteem van Amadeus. Naar aanleiding van deze casus heb ik contact gehad met de luchtvaartsector. Uit de gesprekken blijkt dat er slechts sprake is geweest van een kortstondige verstoring die snel is verholpen.
-
Vraag 2
Bent u bekend met de oorzaak van deze storing? Was hier sprake van het moedwillig platleggen van het systeem door hackers of was er een andere oorzaak?
Mij is uit informatie van betrokken partijen gebleken dat vanwege een lokaal hardware probleem in het data centrum bij Amadeus, de systemen bij Amadeus gedurende een korte tijd niet bereikbaar waren. Amadeus heeft hierop aan KLM bevestigd dat hier geen hack of een andere moedwillige actie aan ten grondslag lag. Hierbij is door Amadeus tevens aangegeven dat er door of als gevolg van de storing geen privacygevoelige informatie van reizigers of luchtvaartpersoneel in verkeerde handen is gevallen. Ook andere maatschappijen, voornamelijk in Europa, hebben last gehad van deze storing. Het verhelpen van storingen is uiteraard de verantwoordelijkheid van de eigenaar van desbetreffende systemen, zoals Amadeus.
-
Vraag 3
Kunt u aangeven of tijdens of na de storing privacygevoelige informatie van reizigers of luchtvaartpersoneel in verkeerde handen is gevallen?
Zie antwoord vraag 2.
-
Vraag 4
Welke stappen worden ondernomen om nieuwe storingen in de toekomst te voorkomen? Zijn de systemen van Amadeus in uw ogen voldoende beveiligd tegen hackers en voldoet de technologie nog wel aan de eisen van deze tijd?
De verantwoordelijkheid voor de informatiebeveiliging ligt in dit geval bij de eigenaar van systemen. In het openbaar worden over de veiligheid van individuele systemen geen mededelingen gedaan, juist gelet op de veiligheid. Wel kan ik u aangeven dat tussen de betrokken private partijen onderling sprake is van contractuele afspraken. In het contact met het Ministerie van Infrastructuur en Milieu is door KLM aangegeven dat storingen altijd samen met Amadeus geëvalueerd worden en er afspraken worden gemaakt over verbeterstappen. Deze specifieke storing is door Amadeus onderzocht en er zijn maatregelen genomen. KLM heeft contractuele afspraken met Amadeus over de beschikbaarheid van de systemen, inclusief boeteclausules als Amadeus daar niet aan voldoet.
-
Vraag 5
Welke gevaren ziet u in de wereldwijde inzet van het reserveringssysteem van Amadeus? Is de gevoeligheid van het systeem niet te groot als een storing direct leidt tot vertraging en uitval van vluchten overal ter wereld?
Digitalisering is doorgedrongen in de haarvaten van de samenleving. Het is daarom onontkoombaar dat er een bepaalde afhankelijkheid van ICT-systemen ontstaat, echter het gebruik van dergelijke systemen heeft ook nadrukkelijke voordelen. Zo leidt het gebruik van Amadeus door wereldwijde inzet tot grotere uniformiteit en wordt daardoor de efficiëntie aanzienlijk vergroot. Vanwege de afhankelijkheid is het van groot belang dat door de eigenaar in het licht van de eigen verantwoordelijkheid reeds maatregelen zijn getroffen om de continuïteit van dit systeem te borgen.
-
Vraag 6
Is er een inschatting te maken van de economische schade die deze storing heeft veroorzaakt? Welke gevaren voor de economie en voor reizigers ziet u voor de toekomst als een dergelijke storing zich opnieuw voordoet?
Een schatting is vanuit de overheid niet te geven. De economische schade heeft zich in ieder geval geuit in de vorm van tientallen vertraagde vluchten en een uur durende verstoring van de online ticketverkoop.
-
Vraag 7
Klopt het dat luchtvaartmaatschappijen geen of weinig alternatieven hebben bij een grote uitval van digitale systemen? Hoe kwetsbaar maakt dit de hele sector in geval van toekomstige storingen?
In lijn met de conclusies in het Cybersecuritybeeld Nederland 20152 is het in algemene zin inderdaad zo dat er steeds minder fysieke alternatieven zijn op het moment dat digitale voorzieningen niet werken. Uiteraard maakt dit kwetsbaar. Dit is ook de reden waarom door de sector wordt gewerkt aan passende maatregelen. Zo zijn er draaiboeken om de negatieve gevolgen van grote verstoringen, zoals extreem weer, elektriciteitsstoring en uitval van
ICT-systemen, te beperken, alsmede contractuele afspraken tussen partijen onderling.
Ten overvloede wil ik benadrukken dat, zoals in antwoord op vraag 4 is aangeven, er in het geval van Amadeus geen sprake was van een aanval door een hacker, en dat het dus geen waarschuwing in die zin is. Het is echter wel een illustratie van de toegenomen afhankelijkheid van ICT-voorzieningen.
Op dit moment wordt door het Ministerie van Veiligheid en Justitie samen met de betrokken vakdepartementen gewerkt aan de totstandbrenging van de implementatiewetgeving betreffende de Netwerk- en informatiebeveiligingsrichtlijn (NIB-richtlijn), waarin voor aanbieders van essentiële diensten en digitale dienstverleners zorgplichten betreffende de continuïteit van hun dienstverlening alsook handhaving van de naleving daarvan zijn vastgelegd.
Hierover wordt uw Kamer, conform eerder toezegging, op reguliere wijze door de Staatssecretaris van Veiligheid en Justitie geïnformeerd. Uiteraard staan we hierbij in nauw contact met de private sector. Dit in aanvulling op reguliere overlegstructuren. -
Vraag 8
In hoeverre is deze storing voor u een nieuwe waarschuwing dat onze samenleving steeds kwetsbaarder wordt voor ICT-storingen en acties van hackers? Zijn voor vitale infrastructuren voldoende off-line back-up voorzieningen aanwezig?
Zie antwoord vraag 7.
-
Vraag 9
Bent u bereid extra maatregelen te nemen om cruciale digitale infrastructuur beter te beschermen en hierover in contact te treden met bedrijven en publieke organisaties die hiervoor verantwoordelijk zijn?
Zie antwoord vraag 7.
-
Vraag 10
Deelt u de mening dat de overheid een grotere rol zou moeten spelen in het verbeteren van de cybersecurity in ons land? Dient de bescherming van publieke belangen niet gepaard te gaan met een actievere rol van de overheid in de bescherming van onze digitale infrastructuur?
De overheid heeft de afgelopen jaren ingezet op het verhogen van de digitale weerbaarheid, ofwel de cybersecurity, van de vitale infrastructuur. Zoals reeds aangeven, wordt door de implementatie van de NIB-richtlijn tevens invulling gegeven aan het realiseren van een beveiligingsverplichting voor de vitale infrastructuur.
7 april 2017 - 23 mei 2017
46 dagen
Het bericht dat bedrijven nog te weinig doen aan digitale veiligheid |
|
Maarten Hijink (SP) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD), Klaas Dijkhoff (staatssecretaris justitie en veiligheid) (VVD) |
|
|
|
|
-
Vraag 1
Kent u het bericht «Bedrijven doen nog te weinig aan digitale veiligheid» van de Cyber Security Raad (CSR)?1
Ja.
-
Vraag 2
Welke inspanningen onderneemt u nu om bedrijven op de hoogte te stellen van hun zorgplichten ten aanzien van digitale veiligheid?
Op 5 april jl. heeft de Cyber Security Raad de handreiking Ieder bedrijf heeft digitale zorgplichten gepubliceerd. Deze handreiking bevat een overzicht van generieke zorgplichten die bedrijven hebben op het gebied van cybersecurity. Deze handreiking geeft mij aanleiding om, in aanvulling op eerdere voorlichting over veilig internetten, bedrijven nog eens via diverse kanalen expliciet op de hoogte te stellen van deze zorgplichten. Hierover zal actief worden gecommuniceerd, onder andere via brancheorganisaties, het ondernemersplein en veiliginternetten.nl.
-
Vraag 3
Welke middelen heeft u om deze zorgplichten te handhaven en in welke mate maakt u hiervan gebruik?
De Cyber Security Raad maakt in haar handreiking een onderscheid tussen zorgplichten op het gebied van de veilige verwerking van persoonsgegevens, zorgplichten betreffende het gebruik van ICT en zorgplichten in verband met producten of diensten met een ICT toepassing. Indien een bedrijf persoonsgegevens verwerkt, heeft het zorgplichten op grond van de Wet bescherming persoonsgegevens. Op de naleving van deze plichten wordt krachtens dezelfde wet toezicht gehouden door de Autoriteit Persoonsgegevens.
De krachtens het Burgerlijk Wetboek (BW) bestaande zorgplichten op het gebied van het gebruik van ICT en zorgplichten in verband met producten of diensten met een ICT toepassing kunnen door (private) partijen via de rechter worden afgedwongen. De Autoriteit Consument en Markt ziet toe op de naleving van de wetten en regels op het gebied van consumentenrecht.
Overigens bestaan er ook sectorspecifieke zorgplichten. Bijvoorbeeld wordt nu gewerkt aan de totstandbrenging van de implementatiewetgeving van de Netwerk- en informatiebeveiligingsrichtlijn. Daarin worden voor aanbieders van essentiële diensten en digitale dienstverleners zorgplichten betreffende de continuïteit van hun dienstverlening alsook handhaving van de naleving daarvan geregeld. Hierover wordt de Kamer op reguliere wijze door de Staatssecretaris van Veiligheid en Justitie geïnformeerd. -
Vraag 4
Welke middelen heeft u om bedrijven op hun zorgplicht te wijzen en welke middelen gebruikt u om bedrijven hierbij te ondersteunen?
Hiervoor wordt verwezen naar het antwoord op vraag 2.
-
Vraag 5
Hoe heeft u opvolging gegeven aan het in oktober 2016 verschenen advies Verhagen van de CSR?2 Is hierbij ruimte gecreëerd voor sturing vanuit de overheid?
Tijdens de behandeling van de begroting van het Ministerie van Veiligheid en Justitie is toegezegd opvolging te gegeven aan het advies van Verhagen.3 Middels het organiseren van een aantal ronde tafels wordt het gesprek aangegaan met vertegenwoordigers van het bedrijfsleven en andere relevante maatschappelijke actoren, zoals aanbevolen door Verhagen. Deze gesprekken dienen om publiek-private samenwerking op het gebied van cybersecurity te bevorderen, waarbij sturing vanuit de overheid een aandachtspunt is. De uitkomsten van de gesprekken worden betrokken bij de doorontwikkeling van de cybersecurity strategie.
-
Vraag 6
Hoeveel bedrijven negeren bewust hun verantwoordelijkheden voor wat betreft cybersecurity? Hoeveel van deze bedrijven wentelen de aansprakelijkheid via ontsnappingsclausules af? Hoe handhaaft u op dergelijke, volgens de CSR, illegale ontsnappingsclausules?
Er bestaat geen inzicht in het aantal bedrijven dat hun verantwoordelijkheid voor wat betreft cybersecurity bewust negeert of ontsnappingsclausules hanteert. In het antwoord op vraag 3 is ingegaan op de handhaving van zorgplichten.
-
Vraag 7
Welke mogelijkheden hebben consumenten en ondernemers om verwijtbare schade te verhalen op leveranciers? In welke mate wordt hiervan gebruik gemaakt en tot welke schadevergoedingen leidt dit?
Een leverancier die een product levert dat niet voldoet aan de overeenkomst, is hiervoor jegens de koper aansprakelijk. Consumenten en ondernemers kunnen in dit geval op grond van het Burgerlijk Wetboek aanspraak maken op herstel, vervanging of schadevergoeding. Komen partijen hier onderling niet uit, dan kunnen ze zich zo nodig tot de rechter wenden. Er bestaat geen inzicht in welke mate hiervan gebruik wordt gemaakt en tot welke schadevergoedingen dit leidt.
-
Vraag 8
Verwacht u dat zelfregulering afdoende is om ervoor te zorgen dat bedrijven hun zorgplichten serieus neemt? Zo nee of indien dit niet voldoende blijkt te zijn, bent u bereid aanvullende wettelijke maatregelen te nemen om de risico’s voor burgers en bedrijven in te perken?
Uit onderzoek komt naar voren dat het stimuleren van zorgplichten effectiever is dan strikte handhaving.4 Met het actief onder de aandacht brengen van de door de Cyber Security Raad gepubliceerde handreiking Ieder bedrijf heeft digitale zorgplichten wordt afnemers en leveranciers inzicht gegeven in de bestaande generieke zorgplichten en hoe zij hier in de dagelijkse praktijk invulling aan kunnen geven. Transparantie hierover is een belangrijke eerste stap om zelfregulering te stimuleren. Zoals in het antwoord op vraag 3 aangegeven, gaat het niet alleen om zelfregulering maar bestaan er ook wettelijke zorgplichten.
-
Vraag 9
Hoe groot is de bekendheid van bedrijven met de meldplicht datalekken? Hoe vindt toezicht op en handhaving van naleving van deze meldplicht plaats? Is de Autoriteit Persoonsgegevens in staat om meldingen van datalekken snel en zorgvuldig te verwerken en te monitoren?
De meldplicht datalekken is per 1 januari 2016 in werking getreden. Deze meldplicht houdt in dat organisaties en bedrijven binnen 72 uur een melding moeten doen bij de Autoriteit Persoonsgegevens (AP) zodra er sprake is van een inbreuk op de beveiliging met ernstige nadelige gevolgen (of de aanzienlijke kans daarop) voor de bescherming van persoonsgegevens. De AP heeft daar een meldloket voor ingericht. Ook moet de betrokkene van een inbreuk in kennis worden gesteld, indien deze inbreuk waarschijnlijk ongunstige gevolgen heeft voor diens persoonlijke levenssfeer.
Om de meldplicht datalekken breed onder bedrijven bekend te stellen, is over de meldplicht geregeld gecommuniceerd via diverse kanalen, waaronder veiliginternetten.nl en het ondernemersplein. Tevens heeft de AP beleidsregels uitgebracht. Deze beleidsregels zijn bedoeld om organisaties te helpen bij het bepalen of er sprake is van een datalek dat zij bij de AP, en eventueel aan betrokkenen, moeten melden.
Vanaf de inwerkingtreding monitort de AP de effecten van de invoering van de meldplicht datalekken. Daarbij wordt bezien in hoeverre de meldplicht extra capaciteitsinzet van de AP zal vergen. De uitkomsten van de monitoring tot nu toe laten zien dat de met de meldplicht datalekken gemoeide werklast binnen het huidige budget van de AP kan worden opgevangen. Overigens voorziet de Algemene verordening gegevensbescherming (AVG), die in mei 2018 werking zal krijgen en in de plaats van de Wet bescherming persoonsgegevens zal treden, ook in een meldplicht bij datalekken. De AP heeft adviesbureau AEF de opdracht gegeven de gevolgen van de implementatie van de AVG, waaronder de daarin opgenomen meldplicht datalekken, in kaart te brengen.
16 februari 2017 - 13 maart 2017
25 dagen
Het oponthoud van de aanleg van glasvezel in de provincie Overijssel |
|
Remco Bosma (VVD) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht: «Oponthoud aanleg glasvezel in Achterhoek stelt gemeenten teleur?»1 en het bericht «Onduidelijkheid over kosten glasvezel buitengebied Overijssel»?2
Ja.
-
Vraag 2
Herinnert u zich uw lovende woorden over de combinatie CIF/Cogas tijdens het Algemeen overleg Telecomraad op 30 november 2016?3
Ja.
-
Vraag 3
Deelt u de mening dat snel internet ook cruciaal is voor huishoudens in het buitengebied?
Ja.
-
Vraag 4
Wat is de classificatie van de buitengebieden in Overijssel in termen van Europese staatssteunregels? Behoren zij tot het witte, grijze of zwarte gebied? Welk effect heeft dit op mogelijke subsidieverstrekkingen?
De classificatie kan per gebied in Overijssel verschillen. In gebieden waar geen modern breedbandnetwerk (zogenoemd NGA-netwerk4) voorhanden is en ook niet binnen drie jaar zal worden aangelegd5, kan relatief laagdrempelig steun worden verleend. In deze gebieden (zogenoemde witte gebieden) kan, wanneer aan de voorwaarden in de Algemene groepsvrijstellingsverordening (EU/615/2014) wordt voldaan, staatssteun worden verleend zonder goedkeuring vooraf door de Europese Commissie. In gebieden waar één NGA-netwerk is of binnen drie jaar zal worden uitgerold (zogenoemde grijze gebieden), stelt de Europese Commissie meer eisen om vast te kunnen stellen of de staatssteun noodzakelijk en niet onevenredig marktverstorend is. Er is in die gevallen vooraf goedkeuring van de Europese Commissie nodig. De Europese Commissie beoordeelt dan bijvoorbeeld of een zodanig grote sprong voorwaarts wordt gemaakt met het nieuwe netwerk, dat dit staatssteun rechtvaardigt. In gebieden waar momenteel of binnen drie jaar ten minste twee NGA-netwerken zijn (zogenoemde zwarte gebieden) zal de Europese Commissie waarschijnlijk geen toestemming geven voor de inzet van staatssteun. Deze gebieden bevinden zich overigens naar verwachting niet in het buitengebied.
-
Vraag 5
Klopt het dat bij subsidiëring het verplicht wordt het netwerk open te stellen voor andere aanbieders? Zo ja, klopt het dat dit de boogde opbrengst kan verminderen, waardoor er nog meer subsidie nodig is om snel internet in het buitengebied rendabel te maken?
De EU-staatssteunrichtsnoeren voor breedband schrijven inderdaad voor dat een gesubsidieerd netwerk moet worden opengesteld, ook wel wholesaletoegang genoemd. Wholesaletoegang voorkomt dat met publieke financiering monopolies ontstaan en daardoor een risico op hoge prijzen en beperkte keuze. Wholesaletoegang maakt het mogelijk dat aangesloten burgers en bedrijven in het buitengebied de keuze hebben uit meerdere dienstleveranciers. Wholesaletoegang leidt niet per se tot minder opbrengsten. De wholesaledienstverlener kan een wholesaletarief in rekening brengen aan derden-exploitanten voor het gebruik van het netwerk. Daarnaast kan de concurrentie ervoor zorgen dat meer consumenten gebruik maken van het netwerk. Het wholesaletarief en de extra consumenten komen ten goede aan de rentabiliteit van het netwerk. In de praktijk zien we overigens dat marktpartijen die zonder publieke financiering glasvezel uitrollen, vrijwillig het netwerk openstellen voor dienstenleveranciers.
-
Vraag 6
Hoe staat het met de koepelregeling, waarin provincies relatief eenvoudig kunnen bekijken hoe ze met de Europese Commissie en de Europese staatssteunregels moeten omgaan?
Deze koepelregeling moet worden gezien als een kader voor decentrale overheden dat vooraf duidelijkheid biedt over de wijze waarop zij publieke middelen kunnen aanwenden voor de uitrol van NGA-netwerken, zonder dat zij individueel een eigen steunregeling hoeven voor te leggen aan de Europese Commissie. Op ambtelijk niveau zijn de gesprekken gestart met de Europese Commissie. Zoals toegezegd wordt de Kamer rond de zomer nader geïnformeerd over de koepelregeling (Kamerstuk 26 643 nr. 433).
-
Vraag 7
Welke mogelijkheden zijn er om de beoogde 40.000 huishoudens alsnog aan te sluiten op snel internet zonder als concurrent van marktpartijen op te treden?
Begin 2015 konden circa 330.000 huishoudens en bedrijven in Nederland niet beschikken over snel vast internet. Zoals toegezegd aan uw Kamer breng ik opnieuw in kaart wat op dit moment de resterende witte gebieden in Nederland zijn (Kamerstuk 26 643 nr. 433). Wat betreft Overijssel is bekend dat de betrokken bewonersinitiatieven en gemeenten overeenstemming hebben bereikt met CIF over hervatting van de voorbereidingen voor de aanleg van glasvezel. CIF maakte op 28 februari jl. bekend ook in andere provincies haar activiteiten te hervatten. Daar waar geen marktpartijen actief zijn, ligt er een rol voor decentrale overheden om de uitrol van NGA-netwerken te bevorderen. In mijn brief aan uw Kamer van 16 december jl. (Kamerstuk 26 643, nr. 433) geef ik een overzicht van de ontwikkelingen per provincie en de ondersteuning die ik bied.
16 februari 2017 - 13 maart 2017
25 dagen
Het bericht dat er fouten bij het Agentschap Telecom zijn gemaakt bij de handhaving van de regiogerichtheidseis |
|
Remco Bosma (VVD) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
|
-
Vraag 1
Bent u bekend met het bericht: «RadioNL: Veel fouten Agentschap Telecom bij controle regiogerichtheid?»1
Ja.
-
Vraag 2
Herkent u de bewering van RadioNL dat er onjuist is gehandhaafd? Welke fouten zijn er volgens u wel of niet gemaakt?
Nee, de bewering herken ik niet. Naar mijn oordeel is er op goede en zorgvuldige wijze onderzoek verricht naar de naleving van de regiogerichtheidseis bij de programma’s van RadioNL. Ik heb RadioNL in de gelegenheid gesteld haar zienswijze te geven op de geconstateerde overtredingen en de voorgenomen sanctie. Op 23 februari jl. heeft RadioNL een zienswijze ingediend. Deze zienswijze gaat voornamelijk in op het verschil van inzicht ten aanzien van de regiogerichtheidseis. Het is een herhaling van de reeds bij mij bekende kritiek op genoemde eis. De zienswijze wordt zorgvuldig bestudeerd en zal vervolgens worden meegewogen in de besluitvorming omtrent de op te leggen sanctie.
-
Vraag 3
Hoe wordt de regiogerichtheidseis gehandhaafd? Wat zijn de wettelijke verplichtingen? Waar is dit op gebaseerd?
De regiogerichtheidseis is opgenomen in de vergunningvoorschriften. Het daarin opgenomen percentage regiogerichte programmering hebben vergunninghouders destijds zelf geboden in het kader van de verdeling van de vergunningen door middel van een vergelijkende toets. Dat percentage ligt in veel vergunningen ruim boven het wettelijk minimum van tien procent. Dit minimum percentage volgt uit de Regeling aanwijzing en gebruik frequentieruimte commerciële radioomroep 2003. Het Agentschap Telecom houdt toezicht op de naleving van deze regels. De wijze waarop de regiogerichtheid gehandhaafd wordt, is omschreven in de brieven van Agentschap Telecom van 20 mei en 8 juli 20162 aan de marktpartijen. Aanleiding om de uitgangspunten en de invulling van het begrip regiogerichtheid nog eens overzichtelijk op papier te zetten, vormden de uitspraken van het College van Beroep voor het bedrijfsleven (hierna: CBb) van 29 maart 20163 en de Rechtbank Rotterdam van 4 juni 20154. Deze uitspraken zijn mede bepalend voor de wijze van naleving en eventuele handhaving van de regiogerichtheidseis.
-
Vraag 4
Over welke criteria van de regiogerichtheidseis is er discussie bij de radiozenders?
Naar aanleiding van de hierboven genoemde uitspraak van het CBb heeft Agentschap Telecom de niet landelijke commerciële radiopartijen in de gelegenheid gesteld vragen te stellen en heeft er een bijeenkomst plaatsgevonden waarin Agentschap Telecom heeft aangegeven welke gevolgen deze uitspraak heeft voor het toezicht op de naleving en de eventueel daaropvolgende handhaving van de regiogerichtheidseis. De radiopartijen zijn daarna ruimschoots in de gelegenheid gesteld om hun programmering aan te passen aan het geldend kader. Als reactie daarop heeft een aantal marktpartijen aangegeven zich niet te kunnen vinden in de gegeven uitleg van het agentschap. Het gaat dan met name om het criterium van het uitzendgebied (het zogenaamde groene gebied) en het criterium van het verzoekplatenprogramma. Hoewel de verschilpunten derhalve divers zijn, kan daaruit wel de algemene lijn worden gedestilleerd dat de radiopartijen zich niet kunnen vinden in criteria die eraan in de weg staan dat, al dan niet via een aaneenschakeling van niet-landelijke vergunningen, een semi-landelijk programma kan worden uitgezonden.
Overigens heeft een aantal marktpartijen aangegeven dat zij de programmering inmiddels aangepast heeft aan de geldende eisen. -
Vraag 5
Welke ontwikkeling in de frequentieverdeling is er als gevolg van toenemende handhaving te zien? Wat heeft dit voor effect op de regiogerichtheidseis?2
Zoals ook bij het vorige antwoord is benoemd, is door een aantal radiopartijen aangegeven dat zij de programmering hebben aangepast na de uitspraak van het CBb en de gegeven uitleg daarvan door Agentschap Telecom. Eén niet-landelijke commerciële vergunninghouder heeft drie FM-vergunningen teruggegeven. Deze vergunningen zijn inmiddels ingetrokken en zullen opnieuw worden verdeeld (veiling). Bij een verdeling van teruggegeven vergunningen kan het regiogerichtheidspercentage worden verlaagd tot het minimum van tien procent uit de Regeling aanwijzing en gebruik frequentieruimte commerciële radioomroep 2003. Ik streef ernaar deze verdeling aan het eind van dit jaar te laten plaatsvinden. Ook de radiopartij die deze vergunningen heeft ingeleverd kan aan deze verdeling meedoen.
2 februari 2017 - 1 maart 2017
27 dagen
De berichten ‘Datalekken bij gemeenten; het is een beetje een zooitje’ en ‘Organisaties worstelen met nieuwe privacy wetgeving’ |
|
Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
-
Vraag 1
Kent u de berichten «Datalekken bij gemeenten; «het is een beetje een zooitje»» en «Organisaties worstelen met nieuwe privacy wetgeving»?1 2
Ja.
-
Vraag 2
Deelt u de mening dat het schokkend is dat het beleid rond datalekken bij gemeenten nog steeds een zooitje is, dat gemeenten geen eenduidig beleid voeren rond datalekken, en dat datalekken niet altijd gemeld worden bij de Autoriteit Persoonsgegevens, terwijl dit wel verplicht is sinds januari 2016? Zo ja, hoe is het dan mogelijk dat gemeenten zich nog steeds in heel verschillende mate bewust zijn van de datalekken in hun organisatie en dat nog steeds niet binnen alle gemeenten bekend is dat bijvoorbeeld een verloren usb-stick met gevoelige gegevens ook een datalek is? Zo nee, waarom niet?
Ik deel het geschetste beeld niet. Niet ieder beveiligingsincident is een datalek en niet ieder datalek is meldplichtig. Gemeenten zijn gehouden aan de meldplicht datalekken en de beleidsregels die de Autoriteit Persoonsgegevens (AP) heeft opgesteld, die organisaties helpen bij het bepalen of er sprake is van een datalek. Het is aan AP om te bepalen of organisaties daarin in gebreke zijn.
Gemeenten worden bij hun informatiebeveiliging ondersteund door de Informatiebeveiligingsdienst (IBD). De IBD heeft ondersteuningsproducten ontwikkeld en beschikbaar gesteld aan gemeenten. Daarnaast biedt de helpdesk van de IBD hulp bij de beoordeling van de vraag of een beveiligingsincident een datalek is en of gemeld moet worden bij de AP en/of betrokkenen.
De AP heeft aangekondigd om de gemeenten via de VNG nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden.
Het college van burgemeester en wethouders is verantwoordelijk voor informatiebeveiliging in de eigen organisatie. Ik wijs erop dat gemeenten ook collectief hun verantwoordelijkheid nemen. De gemeenten hebben zich tijdens de bijzondere ALV van de VNG van 2013 via de resolutie «Informatieveiligheid, randvoorwaarde voor de professionele gemeente» gecommitteerd aan de baseline informatiebeveiliging gemeenten (BIG). Dat gezamenlijk normenkader biedt voldoende handvatten om een solide informatieveiligheidsbeleid te voeren. Het is aan de gemeenteraad om het college hierop te controleren. Los van het beleid zijn gemeenten natuurlijk gehouden aan de wettelijke kaders en verplicht om zorgvuldig om te gaan met gegevens. -
Vraag 3
Deelt u de mening dat het tevens zeer schokkend is dat slechts bij 18% van de datalekken bij gemeenten dit aan de betrokkenen gemeld is? Deelt u de mening dat betrokkenen altijd op de hoogte moeten worden gesteld van een datalek aangezien hun gegevens kunnen worden misbruikt? Zo ja, hoe gaat u gemeenten hierop aanspreken? Zo nee, waarom niet?
Als een lek aan de Autoriteit Persoonsgegevens moet worden gemeld, betekent dat niet automatisch dat dit ook aan de betrokkene dient te worden gemeld. De gemeente waar het lek zich voordoet moet daarvoor een aparte afweging maken. De Wet bescherming persoonsgegevens (Wbp) geeft aan dat een melding gedaan moet worden aan de betrokkene als het datalek waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Het is niet aan mij om de genoemde gevallen te beoordelen of het melden of niet melden aan betrokkenen rechtmatig is; dat is aan de toezichthouder, de AP.
-
Vraag 4
Hoe is het mogelijk dat de Autoriteit Persoonsgegevens op dit moment nog geen boetes heeft uitgedeeld aan gemeenten die hun informatiebeveiliging niet op orde hebben? Deelt u de mening dat het huidige beleid rond informatiebeveiliging te vrijblijvend is en gemeenten harder aangepakt moeten worden om hen te motiveren aan hun verplichtingen met betrekking tot het beschermen van privacy en persoonsgegevens te voldoen? Zo ja, wat gaat u hieraan doen? Zo, nee waarom niet?
Informatiebeveiliging bij gemeenten is niet vrijblijvend. Informatiebeveiliging is krachtens de Wbp verplicht. De wetgever heeft de Autoriteit Persoonsgegevens ingesteld om toezicht op de naleving van de wet uit te oefenen. De AP is onafhankelijk. Het is daarom aan de AP en niet aan mij om te besluiten of een boete of een andere interventie op zijn plaats is.
Informatiebeveiliging is een verantwoordelijkheid van de gemeente zelf, waarbij de gemeenteraad een controlerende taak heeft. Ik moet die positie van de gemeenten respecteren en onthoud mij daarom van een oordeel ter zake. De AP heeft, zoals ik aangeef in het antwoord op vraag 2, aangekondigd om de gemeenten nogmaals te wijzen op welke lekken wel en welke lekken niet gemeld dienen te worden. -
Vraag 5
Hoe beoordeelt u de onderzoeken van Reporter-radio (KRO-NCRV) en PwC waaruit blijkt dat gemeenten blijkbaar toch niet zelf in staat zijn om de door hun gebruikte informatiesystemen te beveiligen? Hoe beziet u dit in het licht van uw antwoorden op eerdere vragen over datalekken bij gemeenten3 waarin u stelt dat dit een verantwoordelijkheid van gemeenten zelf is?
Zoals ik in de beantwoording van vraag 4 aangeef, is de beveiliging van informatie een verantwoordelijkheid van de gemeente zelf. Dat er zich incidenten voordoen, betekent mijns inziens niet dat gemeenten niet in staat zijn zelf hun informatiesystemen te beveiligen. Gemeenten worden daarbij actief door de VNG, in het bijzonder de IBD, ondersteund. Daarnaast is het belangrijk dat AP haar werk doet.
-
Vraag 6
Deelt u de zorgen van de indiener over de uitkomst van het PwC Privacy Governance onderzoek dat slechts een op de tien organisaties klaar is voor de gewijzigde privacywetgeving die in mei 2018 van kracht wordt?
In het Privacy governance onderzoek onder 210 organisaties in onder meer de publieke sector geeft 9% van de organisaties aan nu al te voldoen aan de verplichting uit de Algemene Verordening Gegevensbescherming (AVG) om alle verwerkingen van persoonsgegevens inzichtelijk te hebben en te documenteren. Dat is voor deze organisaties een belangrijke stap in de goede richting, maar – zonder de specifieke situatie per organisatie te kennen – zullen ook deze organisaties waarschijnlijk nog verdere stappen moeten ondernemen om aan de AVG te voldoen. Ook hiervoor geldt dat elke organisatie, publiek en privaat, zelf verantwoordelijk is voor naleving van de regels in de AVG en de daarop gebaseerde wetgeving. Dit is inherent aan het juridische systeem van de AVG die elke verantwoordelijke voor gegevensverwerking zelf de verantwoordelijkheid oplegt voor naleving ervan. Vanuit de departementen en koepelorganisaties worden wel enkele faciliterende activiteiten ondernomen om organisaties te ondersteunen bij de implementatie.
-
Vraag 7
Hoe beoordeelt u het resultaat van het onderzoek van PwC dat het erop lijkt dat nog weinig organisaties de voorbereiding op de Algemene Verordening Gegevensbescherming (AVG) in gang hebben gezet en dat slechts 22 procent van de organisaties met regelmaat risicoanalyses zoals het privacy impact assessment uitvoert?
Uit het onderzoek blijkt dat 55% van de onderzochte organisaties standaard of ad-hoc privacy impact assessments uitvoert. 39% doet dit niet en 6% van de respondenten geeft aan het niet te weten.
Sinds 1 september 2013 wordt de PIA standaard toegepast bij ontwikkeling van nieuwe wetgeving en beleid waarmee de bouw van nieuwe ICT-systemen of de aanleg van grote databestanden wordt voorzien (Kamerstuk 26 643 nr. 282).
De beroepsorganisatie van IT-auditors (NOREA) heeft een handreiking voor de uitvoering van een PIA ontwikkeld die breed wordt gebruikt. Ook diverse sectoren, bijvoorbeeld de onderwijssector die werkt met een model PIA van de ICT-samenwerkingsorganisatie van het onderwijs en onderzoek in Nederland (SURF), zijn hier voortvarend mee aan de slag. Het is een goed teken dat organisaties, zowel bij overheid als bedrijfsleven, nu al aan de slag zijn zonder dat er een wettelijke verplichting geldt. -
Vraag 8
Hoe beoordeelt u dit resultaat in het licht van uw antwoorden op mijn eerdere vragen4 waarin u stelt dat organisaties zelf verantwoordelijk zijn voor het beveiligen van de door hen gebruikte informatiesystemen? Deelt u de mening dat uit de onderzoeken blijkt dat gemeenten op dit punt onvoldoende hun verantwoordelijkheid nemen? Zo ja, wat gaat u hieraan doen? Zo nee, wat is volgens u de reden dat gemeenten de voorbereidingen op de AVG nog niet in gang hebben gezet en wat gaat u doen om dit probleem aan te pakken?
Ik kan op basis van de onderzoeken geen conclusies trekken over hoe ver de gemeenten zijn met het zich voorbereiden op de AVG. Ook voor de implementatie zijn de gemeenten zelf verantwoordelijk. De IBD helpt de gemeenten bij de implementatie en heeft daarvoor een aantal specifieke middelen ontwikkeld.
-
Vraag 9
Deelt u de mening dat het onacceptabel is dat slechts 31% van de deelnemers aan het PwC Privacy Governance onderzoek bij de ontwikkeling en implementatie van nieuwe systemen rekening houdt met de verplichting om aandacht te hebben voor privacy van betrokkenen en de bescherming van persoonsgegevens?
Gevraagd naar de stelling «Bij implementatie van nieuwe systemen houden wij altijd in een vroeg stadium rekening met privacy aspecten en de bescherming van persoonsgegevens (Privacy by Design principe)» gaf 31% van de respondenten aan daar nu al rekening mee te houden en 69% niet. In het huidige wettelijke kader van de Wbp is er nog geen wettelijke verplichting om het Privacy by Design principe toe te passen, hoewel dit wel wenselijk is.
Onder de AVG wordt de verwerkingsverantwoordelijke verplicht zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen (privacy by design en privacy by default). In dat licht beoordeel ik dat 31% van de respondenten nu al voldoet, zonder dat er een wettelijke plicht is, als positief. -
Vraag 10
Bent u het ermee eens dat dit zeer zorgelijk is en ertoe leidt dat het probleem met datalekken in stand blijft en datalekken aan de orde van de dag blijven?
Net als de Autoriteit Persoonsgegevens ben ik van mening dat PIA’s en de principes van Privacy by Design, waaronder dataminimalisatie, een positieve bijdrage kunnen leveren aan het voorkomen van datalekken en daarmee aan de bescherming van persoonsgegevens. Dat is ook precies de reden dat deze principes, die bijvoorbeeld door het Rijk zijn omarmd, een plaats hebben gekregen in de AVG. Dat neemt niet weg dat de zorg voor een afdoende niveau van beveiliging van persoonsgegevens een blijvende verplichting is.
-
Vraag 11
Gaat u alle gemeenten verplichten zich te verantwoorden over de kwaliteit van hun informatieveiligheid met ENSIA per 1 juli 2017? Verwacht u dat datalekken hierdoor sterk zullen verminderen? Zo ja, waarom?
Het project ENSIA heef tot doel het ontwikkelen en implementeren van een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid gebaseerd op de BIG.
ENSIA gaat gemeenten helpen om meer inzicht te krijgen in de stand van zaken van de informatieveiligheid zodat ze er beter op kunnen sturen. ENSIA betreft een methodiek die een aantal reeds bestaande assessments/audits op het zelfde moment uitvraagt, waarbij door middel van een collegeverklaring informatiebeveiliging, een assurancerapport door een IT-auditor en een paragraaf informatiebeveiliging in het jaarverslag verantwoording wordt afgelegd aan de raad en aan de betrokken departementen.
Als ENSIA per 1 juli 2017 wordt ingevoerd dan gaan de gemeenten zich in 2018 over 2017 verantwoorden – in eerste instantie aan hun eigen gemeenteraad en in tweede instantie aan de desbetreffende departementen (BZK,SZW en I&M).
Datalekken zijn overigens niet alleen afhankelijk van de beveiliging van ICT-systemen, maar kunnen ook te maken hebben met het menselijk handelen, denk bijvoorbeeld aan het verliezen van een USB-stick met privacygevoelige informatie. Door invoering van ENSIA wordt wel verwacht dat in ieder geval het bewustzijn rondom informatieveiligheid bij gemeenten zal toenemen. -
Vraag 12
Deelt u de mening dat 1 juli 2017 te laat is om dit probleem aan te pakken aangezien datalekken aan de orde van de dag zijn en er een risico bestaat dat er veel gevoelige informatie op straat komt te liggen of misbruikt kan worden?
De datum van 1 juli is gekozen als realistische datum waarop alle betrokken organisaties verwachten klaar te zijn voor de invoering van deze nieuwe wijze van verantwoorden. Versnelde invoering is niet mogelijk doordat de gemeenten hiervoor klaar moeten zijn, het instrument ook ontwikkeld dient te zijn en de afspraken met de IT-auditors gemaakt moeten zijn.
-
Vraag 13
Kunt u garanderen dat na de implementatie van ENSIA informatieveiligheid niet onderworpen wordt aan een eenmalige of ad hoc kwaliteitsmeting maar dat gemeenten vaker verantwoording dienen af te leggen waardoor de informatie continue beveiligd blijft?
ENSIA is niet eenmalig of ad hoc. De ENSIA-verantwoording sluit aan op de jaarlijkse planning- en controlecyclus van de gemeenten. Bovendien hebben de gemeenten met elkaar afgesproken dat zij zich jaarlijks willen verantwoorden via een aparte paragraaf over informatiebeveiliging over de volle breedte van de BIG in het gemeentelijk jaarverslag. Voorts dient via ENSIA jaarlijks verantwoording te worden afgelegd aan de departementen (aan BZK over DigiD, BRP en PUN, aan SZW over SUWInet en I&M over BAG/BGT).
-
Vraag 14
Bent u het ermee eens dat, om dit probleem aan te pakken en de informatiebeveiliging bij gemeenten structureel te verbeteren, gemeenten een autonoom budget moeten krijgen om informatieveiligheid op peil te houden en dat dit budget niet gekoppeld moet worden aan individuele systemen?
Ik ben van mening dat besluitvorming over het gewenste niveau van informatieveiligheid bij gemeenten en over de eventuele noodzaak tot prioritering daarin het beste op lokaal niveau kan plaatsvinden. Ik acht het op voorhand niet noodzakelijk om budgetten voor gemeenten af te zonderen of te oormerken. Een dergelijke maatregel verplicht gemeenten om een ontvangen budget voor informatieveiligheid aan dat doel te besteden. Informatieveiligheid behoeft een integrale inbedding in de organisatie – een benadering die verder strekt dan ICT. Het gaat om organisatie, processen, fysieke maatregelen en ICT.
-
Vraag 15
Hoe garandeert u dat binnen gemeenten aanbestede informatiesystemen ook na oplevering worden bijgewerkt? Is dit ook onderdeel van de Gemeentelijke inkoopvoorwaarden bij IT? Zo nee, waarom niet? Deelt u de mening dat dit een minimale eis bij het aanbestedingsproces zou moeten zijn?
De Gemeentelijke Inkoopvoorwaarden bij IT (GIBIT) zijn donderdag 8 december 2016 vastgesteld door het Verenigingsbestuur van de VNG. De totstandkoming van de GIBIT is onderdeel van het programma Digitale Agenda 2020 die als één van de speerpunten heeft om het ICT-opdrachtgeverschap bij gemeenten te professionaliseren.
Voor de kwaliteit van hun dienstverlening en uitvoering zijn gemeenten steeds meer afhankelijk van ingekochte ICT-producten en -diensten. Deze producten en diensten worden geleverd door bijna tweehonderd verschillende leveranciers. Gemeentelijke Inkoopvoorwaarden helpen gemeenten om te waarborgen dat ze een product krijgen dat ze echt willen, waarvoor duidelijke afspraken zijn gemaakt en dat aansluit bij hun behoefte en doelstellingen. Gemeenten en gemeentelijke samenwerkingsverbanden wordt aanbevolen de GIBIT op te nemen in het inkoopbeleid en te gebruiken bij de inkoop van IT.
In de GIBIT zijn specifieke artikelen opgenomen over privacy, beveiliging en archivering. Het hoofdstuk is van toepassing zodra er (persoons)gegevens met de ICT Prestatie worden verwerkt. Dat zal heel vaak het geval zijn, maar zeker niet altijd (bijv. niet bij hardware).
De GIBIT stelt gemeenten nadrukkelijk in staat om met informatiesystemen te kunnen voldoen aan de Baseline Informatie Beveiliging (BIG). Dit wordt onder meer gedaan via de Gemeentelijke ICT-kwaliteitsnormen waarin de BIG is verankerd. In de GIBIT zijn voorzieningen opgenomen dat leveranciers blijvend moeten voldoen aan deze Gemeentelijke ICT-kwaliteitsnormen, ook indien die normen aangepast worden. Hiermee wordt beoogd dat ook na oplevering bestaande informatiesystemen worden bijgewerkt. Gezien dat deze normen via de GIBIT worden geborgd wordt gemeenten aangeraden om de GIBIT inclusief deze bepalingen van toepassing te verklaren.
In de BIG is het de norm dat tijdig informatie dient te worden verkregen over technische kwetsbaarheden van de gebruikte informatiesystemen. De mate waarin de organisatie bloot staat aan dergelijke kwetsbaarheden behoort te worden geëvalueerd en er behoren geschikte maatregelen te worden genomen (lees: updates en patches) voor behandeling van daarmee samenhangende risico's.
27 januari 2017 - 8 maart 2017
40 dagen
Het bericht dat een Brits bedrijf het IT-beveiligingsbedrijf dat Nederlandse staatsgeheimen beveiligd heeft overgenomen |
|
Ronald van Raak (SP), Jasper van Dijk (SP) |
|
Jeanine Hennis-Plasschaert (minister defensie) (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Waarom is er voor gekozen om een privaat bedrijf Nederlandse staatsgeheimen te laten beveiligen?1
De Nederlandse Staat kan opdrachten verstrekken aan bedrijven voor de ontwikkeling van beveiligingsproducten. De Nederlandse Staat stelt hoge eisen aan dergelijke producten. De kennis en techniek die hiervoor nodig is, is in sommige gevallen slechts aanwezig bij gespecialiseerde, private bedrijven. De Nederlandse overheid beschikt over de expertise om toe te zien op de ontwikkeling, veiligheid en kwaliteit van deze producten.
-
Vraag 2
Wat is uw reactie op de uitlatingen dat «als de Britse geheime dienst echt bij gevoelige informatie wil komen, zal ze lak hebben aan zulke procedurele scheidingen»?
De wettelijke voorschriften en contractuele (beveiligings)eisen die aan een privaat bedrijf worden opgelegd respectievelijk gesteld, zijn gericht op het voorkomen van ongewenste toegang ook tot gevoelige informatie.
-
Vraag 3
Kunt u garanderen dat de Nederlandse staatsgeheimen niet in handen komen van de Engelsen, nu Fox-IT is overgenomen door een Brits bedrijf?
Zie het antwoord op vraag 2.
-
Vraag 4
Hoe kan het dat de Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) niet op de hoogte was van deze bedrijfsovername?
Op grond van de bestaande contractuele afspraken met het betreffende bedrijf bestond niet de verplichting om de NCTV op de hoogte te stellen van een voorgenomen overname. Wel zijn voorafgaand aan de overname de ministeries van Binnenlandse Zaken en Koninkrijksrelaties en van Defensie ingelicht. In het algemeen geldt voorts dat onder de bestaande Nederlandse wet- en regelgeving er geen beperkingen zijn op te leggen aan dergelijke overnames door buitenlandse partijen.
-
Vraag 5
Hoe kan het dat de overheid al jaren voorbereid was op een buitenlandse overname en de ambtenaren er toch door verrast waren?
Zie antwoord vraag 4.
-
Vraag 6
Is er onvoldoende kennis binnen de overheid om staatsgeheimen te beveiligen? Zo ja, wat gaat u hiertegen ondernemen?
Zie het antwoord op vraag 1.
-
Vraag 7
Waarom is er niet eerder, omdat er al rekening gehouden werd met een buitenlandse overname, ingezet op meer kennis van het beveiligen van staatsgeheimen door de overheid zelf?
Zie het antwoord op vraag 1.
-
Vraag 8
Waarom heeft de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) deze deal niet geblokkeerd?
De MIVD beschikt niet over de bevoegdheid om overnames te blokkeren.
4 januari 2017 - 13 februari 2017
40 dagen
Russische hackers die gebruikmaken van Nederlandse server |
|
Ronald van Raak (SP), Sharon Gesthuizen (SP) |
|
Ard van der Steur (VVD), Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Wat is uw reactie op het bericht dat Russische hackers gebruik zouden hebben gemaakt van een Nederlandse server?1
Het kabinet doet in het openbaar geen uitspraken over specifieke casussen. We worden als bewindspersonen langs geëigende kanalen geïnformeerd over ontwikkelingen en incidenten.
Het kabinet zal uw Kamer blijven informeren over ontwikkelingen omtrent cyberdreigingen, onder meer via het Cyber Security Beeld Nederland (CSBN) en de jaarverslagen van de AIVD.
In algemene zin kan worden aangegeven dat het kabinet, onder meer in het CSBN 2016 heeft geconstateerd dat statelijke actoren steeds meer inzetten op digitale middelen voor spionage-, beïnvloedings- en sabotagedoeleinden. Zoals in jaarverslagen van de AIVD is vermeld wordt Nederland misbruikt als doorvoerhaven voor digitale aanvallen. Nederland beschikt over veel bandbreedte, een van ’s werelds grootste internetknooppunten en legio mogelijkheden voor het huren van server(ruimte)s. -
Vraag 2
Op welke manier gaat u zich hierover uitgebreid op de hoogte laten stellen? Bent u bereid ook de Kamer hierover op de hoogte te houden?
Zie antwoord vraag 1.
-
Vraag 3
Klopt het dat dit soort aanvallen niet kunnen worden voorkomen? Zo nee, waarom niet? Wat wordt ondernomen teneinde dergelijke aanvallen zoveel mogelijk te voorkomen?
Het wijdverspreide en steeds toenemende gebruik van digitale technologie maakt het onmogelijk om alle digitale aanvallen te voorkomen. Wat betreft het voorkomen van dergelijke aanvallen, voor zover zij zijn gericht op politieke partijen, verwijzen wij u naar het antwoord op vraag 2 in de beantwoording van de vragen van de van de vaste Kamercommissie voor Binnenlandse Zaken van 23 januari 2017.2 Het verhogen van bewustzijn rondom cybersecurity neemt hierin een belangrijke plaats in.
Verwezen zij in dit verband ook naar het bij uw Kamer aanhangige voorstel voor een nieuwe Wet op de inlichtingen- en veiligheidsdiensten. Met de modernisering van deze wet zal de overheid op grotere schaal zicht kunnen krijgen op digitale aanvallen, daardoor de reikwijdte daarvan eerder kunnen vaststellen en beter in staat zijn tegenmaatregelen te treffen. -
Vraag 4
Klopt het dat spionnen gebruik hebben gemaakt van kwetsbaarheden in het mailverkeer van de Amerikaanse Democratische partij? Hoe worden dergelijke kwetsbaarheden in het Nederlandse mailverkeer voorkomen of opgelost?
Ten aanzien van de Russische activiteiten en intenties jegens de Amerikaanse presidentsverkiezingen verwijs ik naar het openbare rapport dat de Amerikaanse inlichtingengemeenschap op 6 januari jl.publiceerde.
Zoals ook aangegeven in reactie op eerdere vragen van de vaste Kamercommissie voor Binnenlandse Zaken met name vraag 2, zijn politieke partijen zelf primair verantwoordelijk voor het organiseren van hun informatiebeveiliging. Wel werkt het kabinet, zoals eveneens is aangegeven, permanent aan het vergroten van het bewustzijn rondom cybersecurity, in het bijzonder ook in relatie tot de verkiezingen in maart 2017. Zo is er in dat verband bijvoorbeeld vanuit de NCTV, in samenwerking met de inlichtingen- en veiligheidsdiensten, contact met politieke partijen over hun digitale veiligheid.
8 december 2016 - 16 december 2016
8 dagen
Het artikel ‘Een skelettransplantatie voor de BRP’ (Herdruk) |
|
Ingrid de Caluwé (VVD) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Kent u het artikel «Een skelettransplantatie voor de BRP», op de website Computable.nl van 7 december 2016?
Ja.
-
Vraag 2
Wat is uw oordeel over de in dit artikel getrokken conclusie, dat bij het uitfaseren van de codegeneratoren in feite het gehele skelet van het BRP-systeem-in-ontwikkeling is vervangen?
Deze conclusie voert te ver en wekt een verkeerde indruk.
Ter toelichting eerst het volgende: refactoren (Engels: refactoring) is het herstructureren van de broncode van een computerprogramma met als doel de leesbaarheid en onderhoudbaarheid te verbeteren of het stuk code te vereenvoudigen. Het refactoren van broncode verandert de werking van de software niet: elke refactorstap is een kleine, ongedaan te maken stap die de leesbaarheid verhoogt zonder de werking aan te passen.
In de brief bij de voortgangsrapportage Operatie BRP van 25 november jongstleden (Kamerstuk 27 859, nr. 97) heb ik gemeld dat het programma, in overleg met de interbestuurlijke stuurgroep, heeft besloten om het JAVA-model te herstructureren, waardoor de complexiteit van de broncode is afgenomen. Ik heb gemeld dat dat een positief effect heeft op de onderhoudbaarheid en dat de ontwikkeling er door kan worden versneld. Bij de herstructurering van het JAVA-model van de code zijn de codegeneratoren uitgefaseerd. Er zijn geen functionele wijzigingen doorgevoerd.
Het voert dus te ver om te stellen «dat het hele skelet van de BRP is vervangen» zoals in het artikel wordt gesteld. -
Vraag 3
Waarom is in de voortgangsrapportage BRP de uitfasering van de codegeneratoren gepresenteerd als een logische stap in het project en slechts als een verbetering, terwijl het in feite een wezenlijke wijziging van het project behelst en het gevolg is van het niet voldoen aan de kwaliteitseisen van KPMG?
Mijn beeld is dat de uitfasering van de codegeneratoren een onderdeel is van de standaard ontwikkelwerkzaamheden. Vanaf de doorstart1 van het programma in 2013 werkt het programma er stapsgewijs en gecontroleerd naar toe om volledig te voldoen aan het door de stuurgroep vastgestelde normenkader voor de codekwaliteit2. Dit normenkader volgt de industriestandaard voor softwareontwikkeling. KPMG toetst periodiek in hoeverre de broncode aan het normenkader voldoet.
Het volledig gaan voldoen aan het normenkader codekwaliteit is regulier onderdeel van de lopende ontwikkelwerkzaamheden.
Bij de laatste toetsing door KPMG is vastgesteld dat de migratievoorzieningen volledig voldoen aan het kader en dat voor de BRP inmiddels vijf van de zeven gedefinieerde kwaliteitsdoelen gehaald worden.
Bij de ontwikkeling van de BRP werd tot nu toe gebruik gemaakt van codegeneratoren om bouwstenen voor basisfuncties te genereren. Daar is destijds voor gekozen vanuit de (terechte) verwachting dat er gaande de ontwikkeling zeer regelmatig wijzigingen op het gegevensmodel zouden plaatsvinden. Met generatoren kunnen die wijzigingen snel worden verwerkt. Al vanaf de eerste toetsing heeft KPMG opgemerkt dat de generatoren een aandachtspunt vormen bij de overdracht naar beheer, omdat generatoren standaardblokken opleveren die veel regels code beslaan, hetgeen de onderhoudbaarheid niet ten goede komt. Nu in de ontwikkeling het moment is gekomen waarop het gegevensmodel stabiel is en de overdracht naar beheer nadert, is het vraagstuk rond het al dan niet handhaven en in beheer geven van de generatoren door het architectenteam bezien en is besloten om het JAVA-model van de code te herstructureren en de betreffende codegeneratoren uit te faseren, in overleg met de interbestuurlijke stuurgroep. -
Vraag 4
Hoe past de uitfasering van de codegeneratoren in de afspraak met de Kamer – op basis van het overgenomen advies van het BIT – dat nieuwe wijzigingen pas worden doorgevoerd nadat het huidige (lees d.d. oktober 2015) programma operatie BRP is afgerond en alle GBA aansluitingen zijn uitgefaseerd?
De herstructurering van de broncode is geen functionele wijziging. De afspraak om nieuwe wijzigingen pas door te voeren na afronding van het programma betreft nieuwe functionele wijzigingen. In de reactie op het BIT-advies wordt gesproken over «wijzigingen uit de omgeving». Van een functionele wijziging of wijziging vanuit de omgeving is hier geen sprake.
Naast functionele wijzigingen kunnen zich in het programma allerlei wijzigingen voordoen om geconstateerde onzekerheden op te lossen of om zaken te verbeteren. Er wordt van alle wijzigingen die invloed kunnen hebben op planning of begroting melding gemaakt aan de Kamer, zoals bij de herstructurering van de broncode dan ook is gebeurd. Dat is conform de door de BIT geadviseerde transparantie over planning en de onderzekerheden daarin. -
Vraag 5
Hoe komt het dat in de bijlage bij de Kamerbrief van 25 november 2016 onder punt 9. «Status implementatie aanbevelingen BIT» wél wordt vermeld dat er wijzigingen in het project zijn uitgevoerd op verzoek van de Kamer, maar dat daar de uitfasering van de codegeneratoren niet als wijziging wordt vermeld?
Daar staan slechts de «wijzigingen uit de omgeving» vermeld. De refactoring is onder andere genoemd bij de onderdelen Voortgang Algemeen, Quality Assurance (beide onder punt 2) en Voortgang ontwikkelingen ICT-voorzieningen (punt 3).
-
Vraag 6
Welke inschattingen heeft u bij het besluit tot uitfasering van de codegeneratoren gemaakt over de verwachte verbetering van de functionaliteit van het systeem, het benodigde extra budget en de eventueel benodigde extra tijd?
In de voortgangsrapportage wordt toegelicht dat de herstructurering van het Java-model ten goede komt aan de onderhoudbaarheid en de beheerbaarheid. Andere, voor het resterende ontwikkeltraject belangrijke effecten zijn versnelling van het ontwikkeltempo, kortere inwerktijd voor nieuwe ontwikkelaars en kortere oplostijd van bevindingen. De doorlooptijd van de «refactoring» (12 weken) is een investering, die (langs de weg van de hiervoor beschreven effecten) terugverdiend kan worden. De stuurgroep stuurt daarop. Zoals in de Kamerbrief toegezegd, ga ik bij de volgende voortgangsrapportage in op het effect van de herstructurering.
-
Vraag 7
Hoe komt het dat u tijdens het debat over de begroting van uw ministerie voor 2017 heeft aangegeven dat de uitfasering van de codegeneratoren mogelijk tot uitloop en tot extra kosten kan leiden, terwijl dit in de voortgangsrapportage april-oktober 2016 (Kamerstuk 27 859 nr. 97, met bijlagen) nog niet is vermeld?
Ik heb in mijn brief gemeld dat de herstructurering een positief effect heeft op de onderhoudbaarheid en dat de ontwikkeling er door kan worden versneld. Ik heb daarbij echter ook gemeld dat de in de rapportageperiode opgeleverde releases maar beperkt nieuwe functionaliteit bevatten. En dat de niet gerealiseerde functionaliteit wordt doorgeschoven naar volgende releases.
Zoals in de Kamerbrief toegezegd, ga ik bij de volgende voortgangsrapportage nader in op het effect van de herstructurering, in de context van de gevalideerde integrale planning. Ik heb u in de voortgangsbrief gemeld dat ik het programma en de interbestuurlijke stuurgroep heb gevraagd in de komende maanden de nodige stappen te ondernemen om de validatie van de integrale planning af te ronden en daarbij (conform BIT-advies) ook weer de onzekerheden in kaart te brengen, zodat ik uw Kamer in het voorjaar van 2017 nader kan informeren.
Naast het effect van de herstructurering worden andere onzekerheden meegenomen, waarop in de komende periode duidelijkheid komt. Het gaat dan bijvoorbeeld om de impact van het gaan registreren van het buitenlands persoonsnummer en het registreren van levenloos geboren kinderen.
Zoals in de brief van 25 november gemeld zal de volgende voortgangsrapportage ingaan op het effect van de herstructurering van de broncode, de ontwikkeling van de complexe onderdelen van de bijhouding, de uitkomsten van het onderzoek naar de implementatie van de leveringsfunctionaliteiten en de afstemming met de ketenpartners. Daarbij zal ik uw Kamer dan de gevalideerde integrale planning (ontwikkeling, acceptatie/inbeheername en implementatie) van het programma doen toekomen.
Overigens heb ik BIT gevraagd – zoals in de Voortgangsrapportage is gemeld – om in het voorjaar van 2017 een toets uit te voeren op de plannen voor de inbeheername van de nieuwe voorzieningen. Ook vraag ik BIT om een toets op het ontwikkelprogramma van Operatie BRP, inclusief de codekwaliteit en de ontwikkelsnelheid. Ik zal BIT vragen ernaar te streven de toets af te ronden in het voorjaar, zodat ik u over de uitkomsten van deze toetsen kan informeren in de volgende voortgangsrapportage. -
Vraag 8
Wat is uw oordeel over de «lappendeken» van software, zoals gesteld in het artikel, met de conclusie dat er straks een systeem staat dat al bij invoering zeer slecht onderhoudbaar zal zijn?
KPMG beoordeelt voortdurend de kwaliteit van de software. Alle rapportages daarvan zijn te vinden op www.operatiebrp.nl. In de meest recente rapportage van KPMG stellen de auditors juist dat de onderhoudbaarheid is toegenomen3. Bij de laatste toetsing is vastgesteld dat de migratievoorzieningen volledig voldoen en dat voor de BRP inmiddels vijf van de zeven gedefinieerde kwaliteitsdoelen gehaald worden. KPMG blijft gedurende de ontwikkeling toetsen en het doel is om volledig te gaan voldoen aan het normenkader en het is regulier onderdeel van de lopende ontwikkelwerkzaamheden. Ik herken de kwalificatie «lappendeken» dan ook niet.
-
Vraag 9
Bent u bereid deze vragen zo spoedig mogelijk, maar in ieder geval vóór het aanstaande Kerstreces te beantwoorden?
Ja.
7 november 2016 - 29 november 2016
22 dagen
Het bericht ‘Overname levert NXP-topman 391 miljoen op’ |
|
John Kerstens (PvdA), Henk Nijboer (PvdA) |
|
Jeroen Dijsselbloem (minister financiën) (PvdA) |
|
|
|
|
Bronnen
-
Vraag 1
Bent u bekend met het bericht «Overname levert NXP-topman 391 miljoen op»?1
Ja.
-
Vraag 2
Begrijpt u de maatschappelijke onrust die ontstaan is omtrent deze absurd hoge beloning? Deelt u de mening dat een dusdanige beloning van bijna 400 miljoen euro exorbitant is? Deelt u de mening dat hierdoor een stap terug in de tijd wordt gezet naar de jaren van voor de crisis?
Ik begrijp dat er ophef is ontstaan over dit bericht. Ik heb geen oordeel over de in de media genoemde hoogte van het bedrag dat de uitvoerend bestuurder van NXP zou overhouden aan de aangekondigde overname van NXP. Ik verwijs hiervoor naar het antwoord op vragen 2 tot en met 5 van Kamerlid Klein.
-
Vraag 3
Deelt u de mening dat door dit soort beloningen Nederlandse bedrijven worden aangemoedigd de korte in plaats van de lange termijn in ogenschouw te houden?
Ik acht het van belang dat de bezoldiging van bestuurders op zodanige wijze wordt vormgegeven dat deze bijdraagt aan de lange termijn waarde van de onderneming. Dit kan bijvoorbeeld door bestuurders gedeeltelijk te belonen in aandelen en hen te verplichten deze enige tijd te houden. Ik heb begrepen dat in de praktijk een verschuiving heeft plaatsgevonden van het toekennen van opties als bezoldiging naar het toekennen van aandelen (vgl. het Volkskrant artikel van 29 januari 2015 «Opties uit de gratie als beloning voor topbestuurders» en het nalevingsrapport van de Monitoring Commissie Corporate Governance Code van december 2009). Niettemin zijn er bedrijven die bestuurders deels met opties belonen. De Nederlandse corporate governance code stelt voorwaarden aan beloning in opties en aandelen. Zo worden opties in ieder geval de eerste drie jaar na toekenning niet uitgeoefend, worden aandelen die zonder financiële tegenprestatie aan de bestuurders worden toegekend, aangehouden voor telkens een periode van ten minste vijf jaar en wordt het aantal toe te kennen aandelen en opties afhankelijk gesteld van de realisatie van vooraf aangegeven en uitdagende doelen. De Code werkt op basis van het pas toe of leg uit-principe. Ik verwijs hiervoor tevens naar het antwoord op vragen 2 tot en met 5 van Kamerlid Klein.
-
Vraag 4
Deelt u de mening dat beloningen aan de top in een redelijke, normale verhouding moeten staan tot die van gewone werknemers? Maakt u zich ook zorgen over de berichten dat deze verhouding wederom uit elkaar groeit? Wat bent u voornemens hieraan te doen?
Ik acht het van belang dat bij het vaststellen van de bezoldiging van bestuurders van een onderneming de verhouding daarvan tot de beloning van werknemers bij deze onderneming wordt meegewogen. Dit komt onder meer tot uitdrukking in principe II.2 van de Nederlandse corporate governance code. Het richtlijnvoorstel bevordering aandeelhoudersbetrokkenheid (COM 2014 213) bevat een voorstel om de beloningsverhoudingen tussen bestuurders en werknemers inzichtelijk te maken. Het kabinet onderschrijft het belang van het inzichtelijk maken van de verhouding van de beloning van bestuurders tot die van werknemers (Kamerstukken II,2013/2014, 22 112, nr. 1866). Dit onderhandelingen over dit richtlijnvoorstel bevinden zich op dit moment in de fase van de informele triloog. Bovendien wordt het voorstel tot wijziging van de Wet op de ondernemingsraden in verband met de bevoegdheden van de ondernemingsraad inzake de beloning van bestuurders (Kamerstukken II,2014/2015, 34 494, nrs. 1–3) in uw Kamer behandeld, dat het gesprek tussen ondernemer en ondernemingsraad beoogt te stimuleren over de ontwikkeling van de beloningsverhoudingen binnen de onderneming.
-
Vraag 5
Klopt het dat NXP voor bijna 50 miljoen euro aan subsidies heeft ontvangen van de overheid? Wat zijn de mogelijkheden nu aandeelhouders zoveel geld verdienen aan de verkoop van NXP om deze subsidies terug te vorderen?
NXP Semiconductors is de voormalige halfgeleiderdivisie van Philips. Het bedrijf is in 2006 verzelfstandigd. In de periode 2006–2016 heeft NXP in totaal € 96 miljoen subsidie ontvangen vanuit het Rijksbrede innovatiebeleid. Tegenover de totale subsidie staat een R&D-inspanning van NXP van € 305 miljoen.
Van het totaal aan innovatie-subsidies aan NXP is ongeveer twee derde onderdeel van projecten in zogenaamde publiek-private samenwerking (PPS). Daarbij zijn meerdere partijen betrokken, inclusief publieke kennisinstellingen. In de periode 2006–2016 is de totale omvang van PPS-projecten waar NXP een partner in was, € 667 miljoen. Aan deze projecten is in totaal € 218 miljoen subsidie toegekend, waarvan € 61 miljoen aan NXP en € 157 miljoen aan andere organisaties dan NXP. NXP heeft in totaal € 231 miljoen bijgedragen in PPS.
Onderstaande tabel geeft een samenvatting. Een overzicht van alle subsidies (directe en PPS) aan NXP is opgenomen in de bijlage.2
(miljoenen €; afgerond)
Totale projectkosten
Totale projectsubsidie
Projectkosten NXP
Subsidies NXP
Directe subsidies (geen PPS)
–
–
74
35
PPS met NXP
667
218
231
61
Totaal
667
218
305
96
In de tabel en het overzicht in de bijlage is mogelijke fiscale ondersteuning buiten beschouwing gelaten. Op grond van de fiscale geheimhoudingsbepalingen van artikel 67 van de Algemene wet inzake rijksbelastingen (AWR) kunnen geen mededelingen worden gedaan over de uitvoering van de belastingwet bij een individuele belastingplichtige. Subsidies vanuit «Europa» zijn ook buiten beschouwing gebleven. Dat geldt zowel voor KP/Horizon2020 projecten die volledig uit Europese middelen gefinancierd worden, als bijdragen uit Europese middelen aan Eureka projecten.
De subsidies hebben de innovatiekracht van de topsector High Tech Systemen en Materialen (HTSM) versterkt en hoogwaardige werkgelegenheid in Nederland gecreëerd. De omvangrijke investeringen van NXP in PPS zijn van groot belang geweest voor versterking van de Nederlandse kennisinfrastructuur. Zo heeft NXP in de periode 2013–2016 voor ruim € 10 miljoen bijgedragen aan onderzoek bij Nederlandse kennisinstellingen. Op grond hiervan is via de TKI-toeslagregeling € 2,7 miljoen extra naar kennisinstellingen gevloeid ten behoeve van nieuwe PPS-en. Een groot deel van de directe subsidies aan NXP is tijdens de crisisjaren cruciaal geweest voor behoud van kenniswerkers voor de Nederlandse HTSM-sector.
Het op 1 november 2016 door RTL Z genoemde bedrag van minstens € 50 miljoen overheidssubsidies is een inschatting van RTL Z op basis van een lijst met subsidiebedragen die in 2015 in het kader van een beroep op de Wet Openbaarheid van Bestuur (WOB) door het Ministerie van Economische Zaken is vrijgegeven. Op grond van die lijst, die betrekking heeft op de periode 2009–2014, kunnen geen uitspraken worden gedaan over de omvang van de subsidies aan NXP, aangezien in die lijst, van overwegend PPS-projecten, alleen de penvoerders van projecten en de subsidiebedragen per project staan vermeld. Een deel van de in die lijst vermelde projectsubsidies is dus niet bij NXP maar bij projectpartners terecht gekomen. Bovendien is in die lijst niet zichtbaar wat NXP heeft ontvangen in projecten waarbij een andere partij penvoerder was.
Voor het terugvorderen van een subsidie moet er sprake zijn van (opzettelijk) verstrekte onjuiste informatie op grond waarvan de subsidie is vastgesteld. Er zijn geen aanwijzingen dat hiervan sprake is bij de geïnventariseerde R&D-projecten met NXP-participatie. Terugvordering van subsidie is daarom niet aan de orde. Overigens is ook de termijn waarbinnen dat mogelijk zou zijn geweest (<5 jr) voor veel projecten intussen verstreken. -
Vraag 6
Deelt u de mening dat, net als in de financiële sector, het variabele beloningsbeleid in het bedrijfsleven moet worden beperkt?
De financiële sector is een sector waarin, mede gelet op de financiële crisis, stringente regulering op het terrein van de variabele beloningen, noodzakelijk is gebleken onder meer vanwege de invloed op het financiële stelsel. Voor private ondernemingen buiten de financiële sector ligt dat anders. Ik verwijs hiervoor naar het antwoord op vragen 2 tot en met 5 van Kamerlid Klein.
-
Vraag 7
Hoe moet deze beloning worden gezien in het licht van de wettelijk regeling ten aanzien van tegenstrijdig belang en meer specifiek het amendement Tang-Irrgang dat heeft geregeld dat bij fusies en overnames het eigen financieel belang van bestuurders wordt bevroren, zodat zij dit niet kunnen laten meewegen bij het wel of niet laten doorgaan van een fusie of overname?2 Is de bezoldiging van de topman van NXP in strijd met deze wetgeving? Indien deze wetgeving niet van toepassing is op Nederlandse bedrijven die in het buitenland beursgenoteerd zijn, bent u dan bereid om deze wet zo aan te passen dat deze ook geldt voor bedrijven die wel in Nederland gezeteld zijn?
Artikel 2:129a BW bevat een regeling inzake tegenstrijdig belang. Op grond daarvan nemen uitvoerende bestuurders geen deel aan de besluitvorming in het bestuur over hun bezoldiging. Voor het amendement Tang/Irrgang verwijs naar de antwoorden op vragen 9 tot en met 11 en 13 tot en met 16 van Kamerlid Klein.
20 oktober 2016 - 16 november 2016
27 dagen
De mislukte aanbesteding van Zaakgericht Werken (ZGW) door de Dienst ICT Uitvoering |
|
Sharon Gesthuizen (SP) |
|
Henk Kamp (minister economische zaken en klimaat) (VVD) |
|
|
|
|
-
Vraag 1
Herinnert u zich uw antwoorden op mijn eerdere vragen over de mislukte aanbesteding van Zaakgericht Werken door de Dienst ICT Uitvoering (DICTU)?1
Ja.
-
Vraag 2
Welke voorwaarden bestaan er voor het intrekken van een aanbesteding en dezelfde opdracht te gunnen langs andere weg, in dit geval een minicompetitie?
Er is in casu geen sprake van «dezelfde opdracht». De opdracht die is uitgezet in de minicompetitie onder de Raamovereenkomst Applicatieontwikkeling DICTU is een andere dan de opdracht zoals uitgezet in de Europese aanbesteding. De oorspronkelijke opdracht (die is ingetrokken) had als doel de ontwikkeling van een generieke «Zaakgericht Werken» (ZGW)-dienst voor meerdere organisaties. De minicompetitie had als primair doel om één of twee partners te selecteren die samen met DICTU cloud-diensten (dus niet alleen de ZGW-dienst maar ook andersoortige diensten, zoals documentmanagement of financieel management) gaan ontwikkelen. Als eerste concrete diensten zijn in die minicompetitie, als onderdeel van de opdracht, de inrichting van een Zaakgericht Werken-dienst ten behoeve van Agentschap Telecom (AT) en de Inspectie voor de Gezondheidszorg (IGZ) opgenomen.
-
Vraag 3
Is in dit geval aan deze voorwaarden voldaan en op welke wijze is met de partijen die wel aan de aanbesteding konden deelnemen en niet aan de minicompetitie hierover gecommuniceerd?
DICTU heeft bij het intrekken van de Europese aanbesteding gehandeld overeenkomstig het gestelde in de aanbestedingsleidraad, namelijk dat DICTU zich het recht voorbehoudt om de aanbesteding geheel of gedeeltelijk, tijdelijk of definitief te stoppen. Hierover is met alle betrokken partijen gecommuniceerd.
De minicompetitie betrof een andere opdracht en ging tussen de vijf partijen die deel uitmaken van de door DICTU gesloten raamovereenkomst. Slechts drie van de negen partijen die hebben deelgenomen aan de Europese aanbesteding, maken ook deel uit van de raamovereenkomst. -
Vraag 4
Hebben deze partijen de mogelijkheid gekregen de beslissing om een minicompetitie met dezelfde vraagstelling te houden aan te vechten?
De vraagstelling in de minicompetitie was een andere dan die in de Europese aanbesteding.
-
Vraag 5
Is bij de oorspronkelijke aanbesteding sprake geweest van een vaste prijs voor de opdracht en waren er criteria voor meerwerk? Is dit het geval geweest bij de minicompetitie?
In de oorspronkelijke aanbesteding is inderdaad sprake geweest van een vaste prijs. Partijen moesten een prijs bieden voor de levering van een generiek platform voor Zaakgericht Werken ten behoeve van DICTU en de inrichting op dit platform van het zaaksysteem ten behoeve van AT en IGZ. Bovendien moest vijf jaar onderhoud in de vaste prijs worden opgenomen.
In de minicompetitie is aan partijen gevraagd een indicatieve prijs op te geven voor de zogenaamde pré-projectfase van de inrichting van Zaakgericht Werken ten behoeve van AT en IGZ. Het gaat hierbij om de voorbereiding van de daadwerkelijke uitvoering. Dit heeft er mee te maken dat in de opdracht voor de mincompetitie is uitgegaan van een gefaseerde uitvoering, waarbij na elke fase een besluit volgt over de volgende fase inclusief kosten. -
Vraag 6
Waarom zijn de afspraken tussen DICTU enerzijds en Agentschap Telecom (AT) en de Inspectie Gezondheidszorg (IGZ) anderzijds over financiering, leveringsvoorwaarden en een kostenmodel niet voorafgaand aan de minicompetitie gemaakt?2
Het uitgangspunt is gebleven dat het zaaksysteem wordt verrekend op basis van het gebruik. Bij de minicompetitie is in de uitvraag aan de partijen gevraagd conform dit model de kosten te specificeren. Daarmee wordt al in de uitvraag het risico van het verschil in afname verlegd naar de marktpartijen. De overige afspraken over leveringsvoorwaarden en inhoud waren eveneens onderdeel van de specificatie bij de uitvraag. De beoordeling van de offertes is afzonderlijk door AT en IGZ gedaan, zij kwamen onafhankelijk van elkaar tot dezelfde conclusie. De kosten maakten een gewogen onderdeel uit van de beoordeling van de offertes. De weging van de onderdelen van de uitvraag is op voorhand met AT en IGZ afgestemd.
-
Vraag 7
Zijn deze afspraken inmiddels gemaakt? Zo nee, welke risico’s brengt dit met zich mee voor DICTU?
Zie het antwoord op de vorige vraag.
-
Vraag 8
Zijn de stappen die reeds zijn gezet door het houden van de minicompetitie omkeerbaar? Zo nee, waarom zijn dan toch onomkeerbare stappen gezet in tegenstelling tot wat het BIT-advies stelde?
In lijn met het BIT-advies over het eerste aanbestedingstraject is voor het huidige traject gekozen voor een gefaseerde aanpak bij de implementatie voor AT en IGZ. Bij iedere fase wordt door de partijen beoordeeld of er qua financiën, voorwaarden en inhoud nog aan de verwachtingen wordt voldaan. De leveranciersafspraken zijn in lijn met deze gefaseerde aanpak. Inmiddels hebben AT en IGZ beide de eerste «proof of concept»-fase doorlopen en groen licht gegeven voor de volgende fase.
-
Vraag 9
Kunt u garanderen dat AT en IGZ in de huidige vorm van het project duidelijkheid hebben en krijgen over inhoud en opbouw van de op te leveren dienst?
Bij de eerste »proof of concept»-fase hebben AT en IGZ aangegeven een goed beeld te hebben gekregen van de dienst. In de volgende fase zal dit beeld steeds verder aangescherpt worden.
30 september 2016 - 26 oktober 2016
26 dagen
Het bericht “Gemeenten boos om tariefstijging Vicrea” |
|
Manon Fokke (PvdA), Astrid Oosenbrug (PvdA) |
|
Ronald Plasterk (minister binnenlandse zaken en koninkrijksrelaties) (PvdA) |
|
|
|
|
-
Vraag 1
Kent u het bericht «Gemeenten boos om tariefstijging Vicrea»?1
Ja.
-
Vraag 2
Heeft u er zicht op hoeveel gemeenten met de software van Vicrea werken en worden geconfronteerd met een onverwachte tariefstijging? Zo ja, hoeveel gemeenten krijgen te maken met deze tariefstijging? Zo nee, kunt u zich deze informatie verschaffen?
Volgens de inventarisatie van VNG en KING werken 195 gemeenten met Vicrea-software. Uit een voorlopige analyse blijkt dat er sprake is van prijsverhogingen tussen 40% – 1.150% bij een steekproef van 21 gemeenten.
-
Vraag 3
Kunt u de bewering van Vicrea plaatsen dat de verhoging te maken heeft met de investeringen die nodig zijn om het bedrijf verder te professionaliseren, met als doel «een algehele kwaliteitsverbetering van diensten, processen en producten», en met het proactief inspelen op trends die voor opdrachtgevers van groot belang worden? Zo ja, vindt u dat deze kosten horen tot het ondernemersrisico of dat ze aan afnemers doorberekend kunnen worden?
De bewering laat ik voor rekening van de betreffende leverancier.
VNG en KING streven in nauwe samenwerking en overleg met gemeenten en leveranciers naar een voortdurende kwaliteitsverbetering van de dienstverlening door gemeenten. De toepassing van adequate softwareproducten is in dat verband één van de middelen. Met betrekking tot de softwareproducten hebben VNG en KING met ca. 160 leveranciers een convenant gesloten waarin leveranciers, waaronder Vicrea, zich verplichten overeengekomen koppelingsstandaarden toe te passen. VNG en KING monitoren per kwartaal wat de voortgang is van de adoptie van open standaarden door leveranciers.
Voor handhaving van het convenant organiseren VNG en KING eens per kwartaal een compliancy-rapport, publiceren daarover en spreken leveranciers aan. VNG en KING hebben een uitvraag gedaan naar gemeenten om te onderzoeken of er behoefte bestaat om het voortouw te nemen voor een gezamenlijke actie.
Ik acht het een zaak van leverancier en afnemer om te bepalen of er sprake is van een ondernemersrisico of dat de kosten moeten worden doorbelast. -
Vraag 4
Deelt u de mening dat het voor gemeenten mogelijk moet zijn om gemakkelijk naar een andere leverancier over te stappen als deze dezelfde diensten aanbiedt? Zo ja, deelt u ook de mening dat het gebruik van open standaarden ertoe kan bijdragen dat gemeenten flexibeler kunnen zijn in hun overstap naar een andere aanbieder? Zo nee, waarom niet?
Het antwoord op beide vragen luidt ja. De voorwaarde is wel dat de geleverde softwareproducten voldoen aan de afgesproken standaarden. Daarnaast klinkt overstappen eenvoudiger dan het is. Het is meer dan alleen het aanschaffen van nieuwe software: het is ook het aanpassen van processen en systemen en het opleiden van mensen. Dat kost tijd.
-
Vraag 5
Hoe verhoudt dit zich tot de motie Oosenbrug/Gesthuizen (Kamerstuk 33 326, nr. 21) waarin de regering wordt verzocht ervoor te zorgen dat voor eind 2015 bij alle aanbestedingen correct omgegaan wordt met de relevante open standaarden, te onderzoeken hoe de overheid door exitstrategieën minder afhankelijk kan worden van ICT-aanbieders, in elke aanbesteding van een nieuw ICT-project het bestek zodanig op te stellen dat opensourcetoepassingen een gelijke kans maken, en bij de keus voor een closedsourcetoepassing deze toe te lichten?
De essentie van de motie wordt bij gemeentelijke aanbestedingen breed toegepast. Reeds lopende trajecten waarbij niet altijd een aanbesteding nodig is vallen daar echter buiten. In de zaak Vicrea is er sprake van een voortzetting van reeds bestaande contracten en is er derhalve niet altijd sprake van een aanbesteding. De realisatie van de geciteerde motie zal in de praktijk dus over meerdere jaren plaats vinden.
-
Vraag 6
Ondersteunt u gemeenten op dit moment in efficiëntere aanbesteding van digitale middelen zodat gewaarborgd wordt dat gemeenten niet afhankelijk worden van één aanbieder? Zo ja, hoe ondersteunt u gemeenten op dit moment en ziet u mogelijkheden om de ondersteuning aan gemeenten uit te breiden? Zo nee, waarom niet en hoe gaat u deze ondersteuning op korte termijn vormgeven?
Ik beschouw een efficiëntere aanbesteding van digitale middelen zodat gewaarborgd wordt dat gemeenten niet afhankelijk worden van één aanbieder, primair als een verantwoordelijkheid van de gemeenten. VNG en KING hebben die verantwoordelijkheid genomen en als volgt ingevuld:
-
Vraag 7
Op welke wijze is er controle op het gebruik van open standaarden bij aanbestedingen van software van gemeenten? Wat is de rol van de gemeenteraden en wethouders bij de sturing op het gebruik van open standaarden?
Het gebruik van open standaarden is verplicht op basis van de afspraken met het Forum Standaardisatie en wordt als zodanig ook vermeld bij aanbestedingen.
Wethouders hebben een besluitvormingstaak en de gemeenteraden een controlerende taak op dit gebied. De wethouder draagt de verantwoordelijkheid om het overheidsbeleid ten aanzien van de toepassing van open standaarden te waarborgen. -
Vraag 8
Is het kennisniveau binnen gemeenteraden en bij wethouders volgens u voldoende om te kunnen sturen op de aanbesteding van digitale middelen? Zo nee, hoe gaat u ervoor zorgen dat de kennis binnen gemeenteraden en bij wethouders wordt vergoot en deelt u de mening dat de eerder voorgestelde oprichting van een kenniscentrum voor open source, open standaarden, en open data hieraan zou kunnen bijdragen?
Wethouders en gemeenteraden moeten kennis hebben om te beoordelen of de functionele wensen en behoeften van de gemeenten worden gerealiseerd door de toepassing van IT-middelen, met inachtneming van de regels en voorwaarden ten aanzien van (open) standaarden. In die gevallen waar specifieke kennis noodzakelijk is, kan worden teruggevallen op VNG en KING. Daarnaast kan ook nog worden teruggevallen op: